Сертификация в ФСТЭК

Что вы хотели бы видеть в следующих версиях?
Ответить
Гость

Сертификация в ФСТЭК

Сообщение Гость »

Планируется ли сертификация продуктов WTARE во ФСТЭК на отсутствие не декларированных возможностей и прочего.
Сейчас у многих Заказчиков требуется сертификация во продуктов ФСТЭК
aka
Разработчик
Разработчик
Сообщения: 11800
Зарегистрирован: Ср окт 01, 2003 12:06 am
Откуда: Роcсия, Тольятти
Контактная информация:

Re: Сертификация в ФСТЭК

Сообщение aka »

Скорее нет чем да. Если только кому-то это не понадобится настоялько сильно, чтобы он взялся объяснять, что надо для этого делать...

У вас БИОС сертифицирован в ФСТЭК? Микрокод в свичах и маршрутизаторах сертифицирован в ФСТЭК? И это не мешает им пользоваться. Относитесь к WTware как к БИОСу. WTware не выполняет прикладных программ и не имеет доступа к данным.
Гость

Re: Сертификация в ФСТЭК

Сообщение Гость »

ну при чем тут биос, микрокод и т.д
если хотите у ФСТЭК есть список сертифицированных коммутаторов, роутеров и прочего активного сетевого оборудования.
ФСТЭК стратифицирует так же и настольные систему и операционки.
Кстати, в связи с Законом о защите персональных данных, скоро без наличия сертификата ФСТЭК нельзя будет задвинуть какое-нибудь программно аппаратные решения в некоторые предприятия, деятельность которых связана Законом о защите ПД. Уж точно это будет сложнее чем раньше. И зачем нам в это случае (нежелание сертифицироваться) продвигать ваши решения??
aka
Разработчик
Разработчик
Сообщения: 11800
Зарегистрирован: Ср окт 01, 2003 12:06 am
Откуда: Роcсия, Тольятти
Контактная информация:

Re: Сертификация в ФСТЭК

Сообщение aka »

Кто говорил о нежелании сертифицироваться? Желание есть. А дальше что? На сайте ФСТЭК я ничего не понял. Если ты знаешь, что и куда надо нести, чтобы получить сертификат - рассказывай, это нужно и вам, и нам. Если не знаешь, нечего волну поднимать.
andreybryzgin
Сообщения: 2
Зарегистрирован: Пн мар 01, 2010 10:00 pm

Re: Сертификация в ФСТЭК

Сообщение andreybryzgin »

Значит, желание сертифицироваться есть..

Давайте подумаем, есть ли необходимость?

Вы как разработчик и продавец, наверняка знаете, кто и в каких количествах закупает ваш продукт. Проанализируйте, насколько велика среди клиентов доля обработчиков гос. тайны? Беру на себя смелость угадать: их ноль или пара процентов (исключительно для экспериментов или применения в сегментах сети, не обрабатывающих ГТ). Почему? Потому, что в информационных системах классов 3А, 2А, 1А, 1Б, 1В, то есть, тех, которые соответствуют требованиям ФСТЭК для обработки ГТ, необходимо применение сертифицированных средств, иначе, не аттестоваться. Информационные же системы более низких классов могут содержать несертифицированные компоненты. В случае ИС, обрабатывающих модные в этом сезоне персональные данные, применение сертифицированных средств обязательно только в ИСПДн первого класса.

Теперь немного про саму сертификацию.
Занятие это не сказать чтобы чрезвычайно сложное, но финансово оно весьма затратно. Для того, чтобы получить сертификат Вам нужно найти ближайшего лицензиата ФСТЭК, заплатить ему денег и предоставить на испытания продукт и необходимую документацию, через время Вам всё кроме денег вернут, да в придачу дадут ещё красивый сертификат с голограммою. =) А гордое имя вашего продукта появится вот в этом реестре, что, кстати, является неплохой рекламой. Без шуток. Особенно для тех, кого обязывают использовать сертифицированное.

Что же мешает вам прямо сейчас сдать программу на тесты?
Во-первых, необходимо определиться с тем, по какому критерию её будут оценивать. Самыми модными критериями являются отсутствие НДВ(недекларированные возможности) и соответствие ТУ(технические условия). Если попробовать разобраться что же это означает, то фактически, средство, сертифицированное "по ТУ" гарантированно выполняет те функции, которые вы сами указали в пресловутом ТУ, а сертифицированное "по НДВ" не выполняет функций сверх оговоренного вами же функционала. То есть, по сути, имея серый цвет мы получаем справку о том, что наш цвет не темнее серого и ещё одну о том, что он не светлее серого. Полезно? Очень..

Нужно отметить что "по НДВ и ТУ" сертифицирован "самый сертифицированный" антивирус всех времён и народов.

Иными словами, если у вас есть грамотная документация, то ничто кроме отсутствия финансов не может Вам помешать сертифицировать продукт.

Более серьёзным критерием при сертификации является соответствие требованиям РД(регламентирующих документов). Самыми известными из которых являются РД АС,РД СВТ и РД МЭ, который, впрочем, вам совсем не нужен. Регламентирующие документы очень чётко описывают требования, которым должно соответствовать ваше средство, чтобы пройти сертификацию. Всего скорее, программу придётся дописывать, добавлять поддержку программно-аппаратных комплексов защиты от НСД. Впрочем, по деталям этого вопроса лучше консультироваться у местного лицензиата ФСТЭК. Думаю, специалисты на безвозмездной основе могут сориентировать по типу сертификации для вашего продукта и целевому уровню.

И, да, чуть не забыл. Сертификат получается на версию программы. Каждый патч или апдейт, установленный на сертифицированную версию прекращает действие данного конкретного сертификата.

Если есть ещё какие-то вопросы или необходимы уточнения к написанному - постараюсь ответить.
aka
Разработчик
Разработчик
Сообщения: 11800
Зарегистрирован: Ср окт 01, 2003 12:06 am
Откуда: Роcсия, Тольятти
Контактная информация:

Re: Сертификация в ФСТЭК

Сообщение aka »

andreybryzgin писал(а):В случае ИС, обрабатывающих модные в этом сезоне персональные данные, применение сертифицированных средств обязательно только в ИСПДн первого класса.
ИСПДн первого класса - это ИСПДн, обрабатывающая любое одно из двух:
- любое количество персональных данных (ПД) категории 1,
- более чем 100 000 субъектов ПД категории 2.

Категория 1 — ПД, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни.

Категория 2 — ПД, позволяющие идентифицировать субъекта ПД и получить о нем дополнительную информацию, за исключением ПД, относящихся к категории 1.

Т.е. если в базах вашего предприятия нет граф "расса, национальность, сексуальная ориентация" и в базах вашего предприятия хранится информация о менее чем ста тысячах человек, то можно использовать несертифицированное ПО. В том числе WTware.

Верно?

andreybryzgin писал(а):Теперь немного про саму сертификацию.
Занятие это не сказать чтобы чрезвычайно сложное, но финансово оно весьма затратно. Для того, чтобы получить сертификат Вам нужно найти ближайшего лицензиата ФСТЭК, заплатить ему денег и предоставить на испытания продукт и необходимую документацию, через время Вам всё кроме денег вернут, да в придачу дадут ещё красивый сертификат с голограммою. =) А гордое имя вашего продукта появится вот в этом реестре, что, кстати, является неплохой рекламой. Без шуток. Особенно для тех, кого обязывают использовать сертифицированное.
1. Открываю http://www.fstec.ru/_doc/reestr_tzki/_reestr_tzki.xls Или не этот список? Там написано ".НА ДЕЯТЕЛЬНОСТЬ ПО ТЕХНИЧЕСКОЙ ЗАЩИТЕ". Проверка ПО это деятельность по защите?
2. Нахожу там территориально ближайших к нам товарищей.
3. Узнаю условия получения сертификата на программный продукт "по НДВ и ТУ".
4. Когда осилим эти условия - выполняю.
5. С этим сертификатом втварь сможет использоваться везде кроме организаций, обрабатывающих государственные тайны.

Верно?
andreybryzgin писал(а):Если есть ещё какие-то вопросы или необходимы уточнения к написанному - постараюсь ответить.
Спасибо!!!
andreybryzgin
Сообщения: 2
Зарегистрирован: Пн мар 01, 2010 10:00 pm

Re: Сертификация в ФСТЭК

Сообщение andreybryzgin »

ИСПДн первого класса - это ИСПДн, обрабатывающая любое одно из двух:
- любое количество персональных данных (ПД) категории 1,
- более чем 100 000 субъектов ПД категории 2.

Категория 1 — ПД, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни.

Категория 2 — ПД, позволяющие идентифицировать субъекта ПД и получить о нем дополнительную информацию, за исключением ПД, относящихся к категории 1.

Т.е. если в базах вашего предприятия нет граф "расса, национальность, сексуальная ориентация" и в базах вашего предприятия хранится информация о менее чем ста тысячах человек, то можно использовать несертифицированное ПО. В том числе WTware.

Верно?
Не совсем. Мы с вами упустили из виду СТР-К (мой косяк), который, хоть и является документом-призраком(с 2006 года никакого "К" больше а есть ограниченное пользование), но, тем не менее, живее всех живых. Его необходимо применять при подготовке объекта к любой аттестации. Так вот, в документе этом рекомендовано применение сертифицированных средств во всех системах, которые готовятся к аттестации. Несоблюдение этих РЕКОМЕНДАЦИЙ приведёт, всего скорее, к неаттестации, потому как лицензиат наверняка не захочет брать на себя лишней ответственности. В СТР же сертифицированные средства - требование.

Кроме того, по классам: первый класс значительно ближе чем кажется. Так, к примеру, при отсутствии чёткого перечня (а он отсутствует) данных, которые касаются состояния здоровья и интимной жизни, под первый класс подпадают ИСПДн всех поликлинник и больниц, ЖЭКов (ведь, наличие брака и детей относится к личной сфере), итд итп


1. Открываю http://www.fstec.ru/_doc/reestr_tzki/_reestr_tzki.xls Или не этот список? Там написано ".НА ДЕЯТЕЛЬНОСТЬ ПО ТЕХНИЧЕСКОЙ ЗАЩИТЕ". Проверка ПО это деятельность по защите?
Здесь структура системы сертификации, тут перечень органов по сертификации, а здесь - испытательных лабораторий.
2. Нахожу там территориально ближайших к нам товарищей.
3. Узнаю условия получения сертификата на программный продукт "по НДВ и ТУ".
4. Когда осилим эти условия - выполняю.
5. С этим сертификатом втварь сможет использоваться везде кроме организаций, обрабатывающих государственные тайны.

Верно?
Тут дело не в гос. тайне, а в классе защищённости АС, где будет функционировать Варь. Гос тайна может обрабатываться только в системах классов 3А, 2А, 1А, 1Б, 1В (но в системах этого класса может обрабатывать не только гостайна) и если Вы сертифицируете Ваш продукт на высокие уровни НДВ и ТУ, то ничто не помешает использовать его и на объектах с ГТ.

Извиняйте что так путано выходит объяснение, наверняка общение со ФСТЭК будет более продуктивным и предметным, потому как в этом вопросе я теоретик и на практике с сертификационными испытаниями не сталкивался, потому знания несколько поверхностны и несистемны, если утвердитесь в мысли о необходимости получения сертификата - отпишите, пожалуйста, сюда, что и как делали, будет интересно.

Ну и в качестве пищи для размышления советую обратить внимание на конкурентов. Среди них уже сертифицированные разработки конторы Свемел на базе соляриса (SunRay) и предприятия ОКБ-САПР (аккорд-NT/2000). Аккорд, в частности, может применяться в АС до класса 1Б и в ИСПДн до первого класса включительно. Конкуренты более чем серьёзные. Про аккорд знаю что заявляется схожий с Вашим решением функционал при загрузке по PXE.

Это я к тому, что, возможно, с такими мощными и именитыми соседями по реестру аттестация может и не принести желаемых плодов.

И, собственно, то, зачем я вообще оказался на Вашем форуме. Спасибо за программу, она легка, изящна, беспроблемна и полезна даже в усечённой версии. Удачи вам в развитии и продвижении проекта.
Гость

Re: Сертификация в ФСТЭК

Сообщение Гость »

еще обязательной сертификации подлежат все средства защиты информации. это защита от несанкционированного доступа и криптографические средства защиты информации при ее передаче (VPN) НСД в случае терминала на мой взгляд не актуальна, так как разграничение доступа и контроль использования устройств можно отрулить на сервере. а вот OpenVPN без сертификата это очень печально. мы рассматриваем вопрос масштабного внедрения вашего продукта. но вот эта загвоздка заставляет задуматься. и еще очень настораживает привязка лицензии к MAC-адресу
aka
Разработчик
Разработчик
Сообщения: 11800
Зарегистрирован: Ср окт 01, 2003 12:06 am
Откуда: Роcсия, Тольятти
Контактная информация:

Re: Сертификация в ФСТЭК

Сообщение aka »

Гость писал(а):OpenVPN без сертификата это очень печально
В природе существую какие-то другие терминалы, в которые бесплатно встроен сертифицированный клиент VPN?
Гость писал(а):еще очень настораживает привязка лицензии к MAC-адресу
Это могло настораживать в 2003, когда втварь только начинала продаваться. С тех пор прошло восемь лет, продано много тысяч втварей. Я не вижу ни на форуме, ни в нашей почте отзывов о том, что привязка к МАКу вызывает какие-то проблемы.
ДмитрийПН

Получила ли Windows-терминалы WTware сертификат от ФСТЭК?

Сообщение ДмитрийПН »

Добрый день! Рассматриваем вопрос развертки локальной сети организации на терминалах от WTware на своем железе.
В связи с чем возникает вопрос Есть ли у данных терминалов лицензия ФСТЭК?
aka
Разработчик
Разработчик
Сообщения: 11800
Зарегистрирован: Ср окт 01, 2003 12:06 am
Откуда: Роcсия, Тольятти
Контактная информация:

Re: Получила ли Windows-терминалы WTware сертификат от ФСТЭК

Сообщение aka »

Нет. Так же, как их нет у BIOS'ов ваших компьютеров и у прошивок свичей. WTware не взаимодействует с данными. Непонятно, что сертифицировать.
KVIK
Сообщения: 402
Зарегистрирован: Сб июн 17, 2006 5:45 pm
Откуда: Украина, Черновцы
Контактная информация:

Re: Получила ли Windows-терминалы WTware сертификат от ФСТЭК

Сообщение KVIK »

aka писал(а):WTware не взаимодействует с данными.
Да ну?

А как же Гугль Хром, работа с флешками, ввод имя юзера и пароля? Это только на вскидку.
aka
Разработчик
Разработчик
Сообщения: 11800
Зарегистрирован: Ср окт 01, 2003 12:06 am
Откуда: Роcсия, Тольятти
Контактная информация:

Re: Получила ли Windows-терминалы WTware сертификат от ФСТЭК

Сообщение aka »

Гугл хром это да. Но его можно выкинуть :)

Работа с флешками, ввод имя юзера и пароля - чем втварь в этом случае от биоса отличается? Нажатые кнопки передаем на сервер, графические примитивы с сервера рисуем на экране. Втварь не знает, пароль это или имя для таблицы рекордов Минера.
Гость

Re: Сертификация в ФСТЭК

Сообщение Гость »

В связи с выходом Постановления Правительства № 1119 в подзаконные акты Закона о защите ПДн № 152-ФЗ внесены существенные изменения. В частности, отменены положения "трехглавого" постановления ФСТЭК/ФСБ/МИТиС № 55/86/20 о классификации ИСПДн.

Теперь требования к защите ПДн зависят не от класса ИСПДн, а от требуемого уровня защищенности. УЗ в свою очередь зависит от уровня угроз. А УУ в первую очередь зависит от наличия/отсутствия недокументированных возможностей в прикладном и системном ПО. И единственный способ показать отсутствие НДВ в ПО - использовать в ИСПДн только сертифицированное в ФСТЭК ПО.

WTWare не является прикладным ПО ИСПДн. Но оно будет являться системным ПО. Во всяком случае, привлеченные Роскомнадзором эксперты из ФСТЭК докажут это с полпинка, даже если это не так.

Так что, единственный способ уйти с 1-го уровня угроз на 3-й с целью того, чтобы достаточно было обеспечить 3-4 уровень защиты - это получить сертификаты безопасности ФСТЭК на все экземпляры ПО: на серверную Винду, на платформу 1С, на SQL и т.д. В том числе и на клиентскую часть WTWare. Потому что обеспечивать первый уровент защищенности - это крайне хлопотно и очень-очень дорого. Во всяком случае, гораздо дешевле купить сертифицированный экземпляр WTWare. Если, конечно, сертификация возможна.
aka
Разработчик
Разработчик
Сообщения: 11800
Зарегистрирован: Ср окт 01, 2003 12:06 am
Откуда: Роcсия, Тольятти
Контактная информация:

Re: Сертификация в ФСТЭК

Сообщение aka »

Я как обычно ничего не понял.

Как ТОЧНО должна называться бумага, которая нужна?

Покажи пример такой бумаги у какой-нибудь другой программы.
Antonio
Сообщения: 208
Зарегистрирован: Пт фев 25, 2011 12:18 pm
Откуда: СПб

Re: Сертификация в ФСТЭК

Сообщение Antonio »

aka писал(а):
Гость писал(а):OpenVPN без сертификата это очень печально
В природе существую какие-то другие терминалы, в которые бесплатно встроен сертифицированный клиент VPN?
Если мне не изменяет мой склероз, какая-то из наших контор, также занимающаяся токенами, вроде бы написала патч для OpenVPN, позволяющий использовать ГОСТовское шифрование.
Андрей С

Re: Сертификация в ФСТЭК

Сообщение Андрей С »

Здравствуйте! Имеются ли какие-нибудь новости относительно возможности сертификации ФСТЭК Вашего продукта?
aka
Разработчик
Разработчик
Сообщения: 11800
Зарегистрирован: Ср окт 01, 2003 12:06 am
Откуда: Роcсия, Тольятти
Контактная информация:

Re: Сертификация в ФСТЭК

Сообщение aka »

Нет.
Ответить

Вернуться в «Планы развития. Пожелания.»