Сертифицированные ОС - Форум по вопросам информационной безопасности
Сертифицированные ОС - Форум по вопросам информационной безопасности
| Автор: allgood | 86220 | 04.02.2018 18:37 |
|
Добрый день форумчане! Подскажите, есть один вендор...так вот данная компания сертифицирует по новым требованиям ОС, есть заключение лаборатории, сертификата пока нет.... не могу понять какие функции безопасности она реализует, представитель компании прислал по аналогии с мерами 17 приказа, но указал, что объекты файловой системы ОС не может идентифицировать, как это? есть и другие особенности..., ознакомившись с профилем защиты ОС.А4 понял лишь одно, что должно разрабатываться задание безопасности, в нем и отражены все меры (функции безопасности).
Нет правда еще самого приказа, может в нем все написано, но как функции безопасности сертифицированных ОС соотносятся с мерами 17, 21 приказа для автономных и сетевых вариантов построения систем? Проведя оценку имеющихся сведений выходит, что ОС не реализует необходимые меры, требуются наложенные СЗИ, но найти совместимые большая проблема.....ЧТО ДУМАЕТЕ? |
|
| Автор: WORM, MK | 86271 | 05.02.2018 12:49 |
|
Сертификат на ОС не говорит о том, какие меры 17-го (и других) приказов закрываются/не закрываются этой ОС. Сертификат на ОС говорит о том, что она соответствует, как минимум, требованиям Профиля защиты (а если в ОС есть еще какие-то функции безопасности, то это отражается в ЗБ).
Т.е. Вы берете сертифицированную ОС, смотрите, какой функционал ЗИ она закрывает и ДУМАЕТЕ, какие меры из приказа ФСТЭК Вам удастся этой ОС закрыть, а для каких понадобятся навесные СЗИ. Как-то так. Скажем, сертифицированным Далласом вы ведь тоже не все меры 17-го приказа закроете, а только часть из них. Здесь то же самое. |
|
| Автор: oko | 86274 | 05.02.2018 14:31 |
|
to WORM
+1 to allgood <объекты файловой системы ОС не может идентифицировать> - а действительно, как это так? Ни имен, ни путей, ни дескрипторов, ни индексов? Сдается мне, хохма тут в чем-то другом (либо ОС настолько "хитрая", что вряд ли влезет в требования Профилей, ага)... |
|
| Автор: all good | 86307 | 06.02.2018 07:29 |
|
спасибо!мои соображения подтвердились, думал изначально, что это “лекартво от всех бед”, но необходимо как всегда огород городить, а учитывая всеобщую истерию по переходу на отечественное ПО....жесть....нет времени разбираться, получится набор из несовместимого ПО, в том числе СЗИ
|
|
| Автор: Breghnev | 86416 | 06.02.2018 15:22 |
|
Что насчёт НДВ? СЗИ от НСД проходят проверку на НДВ, о чём в сертификате на любую из них есть соответствующая отметка. А как насчёт ОС, АВ, МЭ, СКН? В сертификатах на эти средства защиты, выданных на соответствие современным требованиям, никаких отметок об НДВ нет. В то же время данные требования никто не отменял (п. 4.4.5 ТТЗИ-2016). Проясните ситуацию, пожалуйста.
|
|
| Автор: ustav | 86433 | 06.02.2018 15:54 |
|
"требования по безопасности информации к средствам защиты информации, утвержденные ФСТЭК России в пределах своих полномочий начиная с декабря 2011 г., включают требования по соответствующему уровню контроля отсутствия недекларированных возможностей для классов защиты этих средств" (с)
|
|
| Автор: Breghnev | 86449 | 06.02.2018 17:10 |
|
to ustav
Отлично, спасибо. С ИСПДн и ГИС понятно. Что насчёт ГТ? |
|
| Автор: oko | 86474 | 06.02.2018 18:15 |
|
to Breghnev
Вы в Профиль соответствующий загляните (который ДСП для СЗИ под ГТ, ага) - вопросы исчезнут... |
|
| Автор: Breghnev | 86603 | 07.02.2018 09:02 |
|
to ustav
А как вы понимаете следующий абзац за тем, который вы процитировали: "При использовании в государственных информационных системах соответствующего класса защищенности и для обеспечения установленного уровня защищенности персональных данных средств защиты информации... соответствие уровню контроля отсутствия недекларированных возможностей указывается в сертификатах соответствия требованиям по безопасности информации на эти средства защиты информации"? Сертификаты вижу, а вот указание в них на то, что СЗИ соответствуют какому-то уровню контроля на НДВ - не вижу. |
|
| Автор: Breghnev | 86604 | 07.02.2018 09:31 |
|
to oko
Я не могу заглянуть в эти Профили, у меня их нет. Я так понимаю, нам и не положено, раз мы не занимаемся разработкой и сертификацией СЗИ. Не знаю, что там в Профилях для СЗИ под ГТ, но в открытых Профилях для "конфи" (в частности, ПРОФИЛЬ ЗАЩИТЫ ОПЕРАЦИОННЫХ СИСТЕМ ТИПА «А» ЧЕТВЕРТОГО КЛАССА ЗАЩИТЫ ИТ.ОС.А4.ПЗ) я привязки класса защиты СЗИ к уровню контроля на НДВ не нашёл. Можно конкретнее? К тому же, как я понимаю, Профили эти предназначены для разработчиков и сертификационных лабораторий, а не для лицензиатов по ТЗИ и органов по аттестации, и уж тем более не для владельцев объектов информатизации. В любом случае соответствие СЗИ требованиям по НДВ должно быть отражено в открытом документе (проще всего - в сертификате), чтобы любой владелец объекта мог убедиться в пригодности применения данного СЗИ на своём объекте. Это подтверждается информационным сообщением, ссылку на которое выше давал ustav (по крайней мере касаемо ГИС и ИСПДн). Хватило бы, наверное, простой приписки, как делали раньше для многих средств защиты: "...и может применяться для защиты информации на объектах Х категории". Но тут и такого нет, просто соответствие Профилю. |
|
Страницы: 1 2 >
Просмотров темы: 7362
Добавить сообщение
Copyright © 2018-2022, ООО "ГРОТЕК"