Автор: Андрей, ОКБ САПР | 54910 | 19.12.2014 17:08 |
To Практик:
"Здесь надо проводить соответствующую оценку, учитывать возможности потенциального нарушителя, условия функционирования и пр. " Эта оценка называется сертификацией. Набор требований к СЗИ прописан в документах ФСТЭК и в сертификате пишется, какому классу и пр. СЗИ соответствует. Если у Вас есть основания не доверять сертификату, то необходимо обращаться во ФСТЭК, а не на форум." Я писал про оценку не в плане оценки соответствия СЗИ требованиям безопасности, а про характеристики ОИ. Факторы, влияющие на выбор СЗИ того или иного типа, могут быть самыми разными, и как раз зависят от характеристик ОИ. Поэтому необходимо учитывать требования Технических условий СЗИ. |
Автор: Genomm | 54934 | 24.12.2014 10:39 |
Уважаемый коллеги!
Немного офтоп, но тем не менее тоже касается доверенной загрузки - является ли наличие сертификата соответствия ФСТЭК и голографического знака обязательным для средства доверенной загрузки при аттестации АС по 1г? Казалось бы очевидный ответ "да" не является очевидным как оказалось :)) наш поставщик СЗИ уверяет что раз в РД ФСТЭК по требованиям к АС в графе применение сертифицированных СЗИ стоит прочерк то это значит в АС класса 1г применение сертифицированный СЗИ не обязательно..моя ссылка на пункт 2.16 СТРК и п. 5.1.3. позиция 11 не возымели действия....дело осложняется тем что данную АС буду я же и аттестовывать :) помогите найти аргументы в пользу наличия сертификата или я не прав и сертификат не нужен (хотя если это так то моя вера в человесество и ФСТЭК уже больше не будет прежней;)) заранее спасибо :) |
Автор: Игорь | 54937 | 24.12.2014 14:04 |
Genomm | 54934
Встречный вопрос. А зачем Вам средства доверенной загрузки для класса 1Г? Требований обязательности доверенной загрузки для АС в НМД нет. Они появились только в 21 и 17 приказах в базовых мерах для соответственно 1 и 2 уровней защищенности ПДн, или 1 и 2 классов защищенности ГИС, причем обязательность использования сертифицированных СЗИ прописана только для ГИС в 17 приказе ФСТЭК. |
Автор: Genomm | 54948 | 26.12.2014 06:52 |
Для Игоря. Вы не поверите но НИГДЕ в РД АС нет упоминания про именно "доверенную загрузку ОС" даже для более высоких классов чем 1Г :) Посмотрите ГОСТ РО 0043—00 2013 "Защита информации. аттестация ОИ. Программа и методика" Приложение Д. Пункт Д.6.4.2.4 "Проверка средств загрузки операционной системы АС в обход подсистемы идентификации и аутентификации" там очень хорошо написано для чего это надо .
|
Автор: sekira | 54949 | 26.12.2014 07:32 |
Для чего надо понятно.
Но ГОСТ не обязателен и ТРЕБОВАНИЙ нет! |
Автор: Genomm | 54953 | 26.12.2014 09:48 |
Многоуважаемый Sekira, я повторюсь, но если исходить из написанного в РД по НСД то требований к доверенной загрузке нет ни для одного класса АС...но во вех комплексах СЗИ от НСД используемых для гос. тайны данный механизм обеспечен (секрет нет,акорд,страж и т.д.) и для чего это сделано как вы сами написали "понятно"...но если нет требований то к чему такие сложности ? ;) ...или все таки есть кроме требований РД ФСТЭК еще и банальная логика :)
|
Автор: Genomm | 54954 | 26.12.2014 09:52 |
И прости те но опять же...куча сертифицированного софта под 1 Г,всякие ОС и СУБД... к чему это все если нет требований по наличию сертифицированных СЗИ!?
|
Автор: Genomm | 54955 | 26.12.2014 09:57 |
И прости те но опять же...куча сертифицированного софта под 1 Г,всякие ОС и СУБД... к чему это все если нет требований по наличию сертифицированных СЗИ!?
|
Автор: Александр | 55670 | 06.02.2015 17:26 |
to Андрей, ОКБ САПР
"Традиционно, данное требование выполняется аппаратными модулями доверенной загрузки" "Тут главное ответить на вопрос: как проконтролировать целостность самого программного СЗИ НСД, чтобы можно было доверять результатам его работы и не впасть в рекурсию?" В начале года появилась информация, что ФСТЭК сертифицировал модуль доверенной загрузки ALTELL TRUST (без аппаратной реализации), разработанный Российской компанией «АльтЭль». ALTELL TRUST функционирует на уровне базовой системы ввода-вывода (UEFI BIOS) российской разработки, благодаря чему ему не требуется установка дополнительной платы аппаратного замка. По этой причине ALTELL TRUST невозможно извлечь из защищаемого устройства, а специальный механизм защищает BIOS от перезаписи злоумышленниками. Высокий класс защиты позволяет использовать ALTELL TRUST для защиты информации, составляющей коммерческую или государственную тайну, в автоматизированных системах с классом защищенности до 1Б включительно (до уровня «совершенно секретно»). Я думаю, что имеют право на существование оба варианта реализации средства доверенной загрузки: аппаратный и программный. Здесь уже вопрос цены закупки и внедрения в ИС. |
Автор: malotavr | 55671 | 06.02.2015 19:23 |
> В начале года появилась информация, что ФСТЭК сертифицировал модуль доверенной загрузки ALTELL TRUST (без аппаратной реализации),
Вообще-то это чип EEPROM, припаиваемый к материнской плате. Сертификат выдан на прошивку чипа. Чисто программных средств доверенной загрузки не бывает. |
Просмотров темы: 25793