Альтернативная измерительная площадка - Форум по вопросам информационной безопасности

А можно услышать фамилию специалиста из ФСТЭК, который такую позицию занимает? Короче, фамилию - в студию!!! Сообщество должно знать таких своих "героев"!

Для 66sergey, Тех ЗИ | 24860.
Почему бредятина, в том же ГОСТ от 2008 года по испытанием ТС на СИ ПЭМИН -ГОСТ Р 53115-2008 " Защита информации. Испытание технических средств обработки информации на соответствие требованиям защищенности от несанкционированного доступа. Методы и средства" п.4.2.6 -чёрным по белому написано что АИП подлежит метрологической аттестации как испытательное оборудование по ГОСТ Р 8.568 "ГСОЕИ.Аттестация испытательного оборудования. Основные положения", а делают это метрологические органы. ГОСТ пока ещё не включили приказом в перечень обязательных для системы сертификации РОСС.RU.0001.01БИОО, но это видимо дело времени. А если метрологические службы будут смотреть "как надо", учитывая "борьбу с коррупцией", то процентов 90 лицензиатов как минимум могут "вывалиться" за несоответствие АИП требованиям. Иметь реальную АИП, это даже не те деньги чтобы купить измерительный приёмник за 5-10 лимонов, это другие деньги, совсем другие. А кто из текущих лицензиатов ФСТЭК, которых уже наверное не одна сотня, сможет себе это позволить, максимум десятка два-четыре.

Кстати, ГОСТ Р 53115-2008 " Защита информации. Испытание технических средств обработки информации на соответствие требованиям защищенности от несанкционированного доступа. Методы и средства" разрабатывался головной организацией по метрологии Минобороны - 32НИИ МО, а они то наделены указом президента функциями метрологического надзора, в отличаи от ФСТЭК.

Я бы не стал утверждать подобное без однозначных к тому оснований. В слабоумнх не числюсь, надеюсь в этом-то сомнений нет?
Озвучить здесь фамилию заместителя директора 32 ГНИИИ? Легко. Вот только не будет ли вам стыдно перед хорошим специалистом, грамотным инженером и его ведущими сотрудниками? За выражения...
Кстати спорить с таким подходом можно и, возможно - нужно. Но, поверьте, опровергнуть такой подход совсем непросто. Я-то ГОСТ-ы, в том числе в области военной метрологии, читал. Как Вы - Вам виднее... Но аргументы более чем серьёзные и подтвердённые действующими регулирующими документами. Хотя прямого указания, пока, нет.
Если кому-то очень нужно ФИО - напишите мне - отвечу однозначно. Здесь - не буду, я привык людей уважать, особенно когда точно есть за что.
Чак

Да, конечно не знаю, кто из экспертов ФСТЭК проверяет при лицензировании (продлении лицензий) соответствие АИП, но скорее всего, как было озвучено выше, процентов 90 - "конкретная липа". Кому то может быть жалко заявителя, а кому то выгодно, утверждать не берусь. А учитывая отсутствие деления направления СИ ТС на подвиды, сюда попадают АИП (стенды) и для СИ ПЭМИН СВТ, и для СИ ОТСС и ВТСС речевого диапазона (ГОСТ ведь от 100Гц) и ещё всякое разное не для открытого форума.
Поэтому тема перехода к обязательной метрологической аттестации АИП как измерительного оборудования имеет под собой реальную почву. "Кто" и "что" сейчас измеряет на своих "так называемых АИП", допущенных к использованию ФСТЭК - нельзя сказать вслух. Подход для подавляющего большинства лицензиатов будет конечно жестковат мягко говоря, если как положено, а не по принципу "кому как" и "кто ближе". Но порядка должно стать больше. В общем поддерживаю, хотя чем обернётся лично, прогнозировать трудно.
А кто подскажет, юридически допускается иметь договор аренды на использование (почасовая оплата с обязательными отметками использования в журнале и т.д.) АИП сторонней организации, предоставляющейе услуги по её использованию на правах аренды. В принципе существуют нормативы трудозатрат, выдал 100 к-тов ПЭВМ, должен был арендовать столько то часов, в течение которых другой арендовать не мог. Всё проверяется при желании. Создание "реальной АИП" дело конечно затратное и здесь можно было бы проработать вопрос коллективного подхода по использованию или аккредитации организаций, предосталяющих подобную "метрологическую услугу".
Какие мнения трудовых масс?

Для Сидор:
Конкретно на эту тему информации нет. И, полагаю, не только у меня. Правда у меня, конкретно в 2009-10 годах, консультировалась пара организаций при получении лицензии ФСТЭК именно с арендованной АИП. Поскольку больше от них "просьб о помощи" не было, значит прошло нормально. Поэтому можно предложить аналогию. Вообще получении лицензии ФСТЭК на базе арендованного оборудования (особенно по КИ) - нормальная практика. Если АИП - средство измерения, то подход должен быть, как минимум, аналогичный. Кстати, при реальной аренде, нормально организованной, это для владельца АИП и возможность как-то оправдать затраты на её создание. Сложно? Да, но выходы-то искать надо!
В части характеристик существующих АИП - сам промерив их приличное количество, вынужден согласиться. Правда вся халтура с АИП сегодня весьма весомый, но не единственный источник "погрешностей" при проведении СИ (назовём, вежливо, так ;-) ).
Чак

Да!!! Борьба с коррупцией крепчает, как и маразм регуляторов. Теперь и 32 центр ломится в ПЭМИН, как медведь в посудную лавку. Бабла захотелось?! Стадо гоблинов!
За свои слова отвечу, не переживайте. Я когда озвучил эту тему одному своему приятелю - руководителю исп. лаборатории в системе ГОСТ Р, он очень долго смеялся...
А относить испытательное оборудование к средствам измерений - это, как минимум, ошибка, как максимум - злоупотребительное начетничество в определенных целях. Средства измерений не аттестовываются, а поверяются, в некоторых случаях - калибруются. Аттестовываются эталоны и стандарты физических величин. Но это совсем другая песня... Все остальное - это не средства измерений. Давайте к примеру возьмем обязательную для СИ ПЭМИН поворотную платформу и диэлектрический стол или антенный штатив. Тоже ведь испытательное оборудование, не так ли? Их на основании вышеприведенной фразы из ГОСТа по НСД (кстати при чем тут НСД, когда речь идет о ТКУИ?) тоже будем считать средствами измерений и метрологически аттестовывать? Ну если так, то тогда может кто-то назовет хоть одну метрологическую характеристику вышеприведенных "средств измерений". А потом пойдем дальше... Мне просто интересно, как такие "средства измерений" потом будут включать в реестр. Хотя, когда страху нет, можно, конечно, и площадку в реестр включить.
Кроме того, даже сам уважаемый человек из 32 центра, о котором тут упоминали (я знаю о ком идет речь, при случае позвоню ему, спрошу) еще лет этак 5 назад говорил о том, что все наши ПЭМИНовские измерения - это сущий произвол и издевательство над измерениями ЭМИ, и что условия площадки не вносят при такой метОде определяющих ошибок. Есть много факторов, которые более существенны для результата. Поэтому все рассуждения о том, что порядка будет больше - в пользу бедных. На самом деле (утверждаю из собственного опыта) для АИП достаточно выполнить рекомендации, указанные в ГОСТ Р 51320 по оборудованию АИП и, в том числе, по разного рода расстояниям разноса, все получается, в том числе и результаты достаточно хорошо совпадают для разных площадок. Реальная проблема порядка и повторяемости результатов по моему глубокому убеждению кроется в другом. Просто многие конторы (особенно крупные монстры на рынке услуг по ПЭМИН) выполняют специсследования по 200...300 (а то и больше) комплектов ПЭВМ в неделю. Т.е. по-настоящему (как требуется в НМД) мало кто заморачивается при специсследованиях тем, что может реально повлиять на результат. По крайней мере, когда идут однотипные комплекты.
Правильно тут Сидор написал слова "метрологическая услуга" в кавычках. Нет тут никакой метрологии.

Господа!
Насколько правильно оценивать защищенность по ПЭМИ на объекте по результатам Лабораторных СИ с точки зрения Физики?

Для Viktor:
Ни на сколько.
Прочтите внимательнее НМД, на объекте проводят оценку эффективности защиты. Лабораторные, они же стендовые" к этому вообще не имеют отношения.
Ни по "физике", ни по НМД, ни по процедуре аттестационных испытаний при защите ОИ на базе средства СВТ или АС. Более подробно здесь не стоит, открытый же ресурс. В документах всё написано...
Чак

Да, добавлю, лабораторные СИ и их результат только некий ранний этап для принятия решения о построении системы защиты. Не более, но и не менее.
Чак