Сертифицированные ОС - Форум по вопросам информационной безопасности

to Breghnev
Не дергайте фразы из контекста. В вашей последней цитате не хватает ключевого "...сертифицированных на соответствие требованиям безопасности информации, установленным в технических условиях (заданиях по безопасности) и (или) иных нормативных документах ФСТЭК России..."
И либо загляните в Профили, либо еще раз прочтите сообщение тов. ustav'a (не ссылку, а текст), либо юзайте поисковик по форуму - этот вопрос уже трижды на моей памяти поднимался и разбирался...

to oko
Я специально убрал часть фразы, чтобы не нагромождать, ввиду того, что вырезанное мной никакого значения (на мой взгляд) в свете обсуждаемого вопроса не имеет.
Вы со мной не согласны. Давайте разбираться тогда снова в нашем великом и могучем.

"При использовании в государственных информационных системах соответствующего класса защищенности и для обеспечения установленного уровня защищенности персональных данных средств защиты информации, сертифицированных на соответствие требованиям безопасности информации, установленным в технических условиях (заданиях по безопасности) и (или) иных нормативных документах ФСТЭК России, соответствие уровню контроля отсутствия недекларированных возможностей указывается в сертификатах соответствия требованиям по безопасности информации на эти средства защиты информации."

Вот что вижу я: "при использовании СЗИ, сертифицированных на соответствие требованиям ФСТЭК, уровень контроля НДВ _должен быть указан в сертификате соответствия_ ФСТЭК на данное СЗИ". Вы читаете это как-то иначе? Поделитесь, пожалуйста.

to Breghnev
Тов. Нефедьев, разлогинтесь...

КОГДА И ГДЕ: <При использовании в государственных информационных системах соответствующего класса защищенности и для обеспечения установленного уровня защищенности персональных данных...>;
ЧЕГО: <... средств защиты информации...>;
КАКИХ "ЧЕГО": <...сертифицированных на соответствие требованиям безопасности информации, установленным в технических условиях (заданиях по безопасности) и (или) иных нормативных документах ФСТЭК России...>
ТО, ДЛЯ ЭТИХ "ЧЕГО" : <...соответствие уровню контроля отсутствия недекларированных возможностей указывается в сертификатах соответствия требованиям по безопасности информации...>
+
<Отмечаем, что требования по безопасности информации к средствам защиты информации, утвержденные ФСТЭК России в пределах своих полномочий начиная с декабря 2011 г., включают требования по соответствующему уровню контроля отсутствия недекларированных возможностей для классов защиты этих средств>

ИТОГ: для СЗИ (АВЗ, СОВ, МЭ, НСД и т.п.), сертифицированных по ТУ, в сертификате должна быть приписка и про НДВ. Для СЗИ, сертифицированных по Профилям защиты приписка не требуется, потому что класс Профиля = уровню контроля НДВ.

Если желаете и впредь делиться своими разборами "великого и могучего", то пишите не здесь, а на сайте создателя Агасофии - с таким подходом найдете с ним общий язык, ага...

И всё-таки что насчёт ГТ? По этому поводу тоже есть какое-нибудь подобное волшебное информационное письмо?

to Breghnev
Прочтите в четвертый раз цитату, касающуюся СЗИ, сертифицированных по Профилям, а не как раньше по ТУ:
<Отмечаем, что требования по безопасности информации к средствам защиты информации, утвержденные ФСТЭК России в пределах своих полномочий начиная с декабря 2011 г., включают требования по соответствующему уровню контроля отсутствия недекларированных возможностей для классов защиты этих средств>.
Если смысл слов вам до сих пор не понятен, то, pro bene commune, меняйте профессию или хотя бы форум...

ЗЫ Совсем забыл, что вы ждете отмашки от регулятора под каждый чих. Понимаю, типичная позиция. Только давайте на ней сейчас и закончим, а то это уже перестает быть забавным...

Breghnev | 86670
"И всё-таки что насчёт ГТ? По этому поводу тоже есть какое-нибудь подобное волшебное информационное письмо?"
Читайте НМД по ЗГТ, там тоже написано что, и в каких случаях использовать.

to Евгений
>Читайте НМД по ЗГТ
Вы какой-то конкретный документ имеете в виду?

to Breghnev
День добрый.
Открываем представленный вами профиль (ИТ.ОС.А4.ПЗ) и лезем в раздел "Требования доверия к безопасности объекта оценки". В таблице 7.7 приведены требования доверия. Относительно НДВ нам интересны компоненты доверия ADV_IMP.2(Полное отображение представления реализации ФБО) и ADV_IMP_EXT.3 (Реализация ОО), помеченные звездочкой. Если посмотрите , что значит звездочка (*) то вопросы уже должны отпасть, но всё же я продолжу объяснение.

ADV_IMP.2(Полное отображение представления реализации ФБО) гласит, что заявитель должен предоставить исходные тексты (ИТ), для которых должны проводиться проверки:
- контроль исходного состояния ПО;
- контроль полноты и отсутствия избыточности ИТ на уровне файлов.
Открываем РД "НДВ" приведенные выше проверки приведены в п.3.2.2 и частично в 3.2.3 для 4 уровня контроля отсутствия НДВ.
ADV_IMP_EXT.3 (Реализация ОО) гласит следующее "В прослеживании между реализацией ОО и представлением реализации должно быть продемонстрировано соответствие между реализацией ПО: загрузочные модули ПО, [назначение: иные типы элементов реализации ПО] и их представлением реализации: исходные тексты ПО, [назначение: иные формы представления реализации]", другими словами это перефразированное требование РД "НДВ" п.3.2.3
- контроль соответствия исходных текстов ПО его объектному (загрузочному) коду.

Подведем итог: представленные требования доверия перекрывают требования РД "НДВ". При выдаче сертификата на соответствие ЗБ по данному профилю/требованиям подразумевается, что СЗИ соответствует требованиям РД "НДВ" для 4 уровня контроля (конкретного для данного профиля!!!).

Так что коллеги внимательнее читаем документы :)