Сертификация на НДВ (ФСТЭК) - Форум по вопросам информационной безопасности

Борис | 57787

Нет, сертификация по НДВ производится и для обычного ПО.

...которое содержит фнкции безопасности и в силу этого считается средством защиты информации :)
Логика примерно такая :)

То есть, если мы заявляем, что наше ПО не имеет подобных функций (ибо мы не имеем лицензии на производство средств защиты и не можем вообще-то сказать обратного) - то всё должно защищаться иным ПО (если клиент хочет следовать закону и защищаться), а от нас сертификата на НДВ не требуется?

Борис,
Эта тема уже обсуждалась на форуме и по практике если вы как разработчик ПО будете подавать заявку на его сертификацию по НДВ, то ФСТЭК обязательно потребует от вас наличие лицензии на разработку и производство средств защиты конфиденциальной информации

Игорь,
Ситуация такова, что мы не планируем подавать заявку во ФСТЭК, а планируем отказать клиенту в предоставлении сертификата отсутствия НДВ на основании того, что оная сертификация проводится для средств защиты, а мы таковое не производим.

Борис,
Просто обсуждаемая ранее на форуме тема была очень похожа на вашу - там заказчик тоже требовал у разработчика ПО, которое также не являлось средством защиты, провести его сертификацию на НДВ и при подаче такой заявки ФСТЭК или орган по сертификации (не помню уже) потребовал наличие у разработчика лицензию

Вы сперва определитесь, что первично, "ПО не имеет функций" или "мы не имеем лицензий".

В первом случае ПО не подлежит сертификации и даже захоти вы ее пройти, ваша заявка будет отклонена. Во втором случае вы можете попасть в неприятныу ситуацию, когда клиент ткнет пальцем в в форму ввода пароля в вашем ПО и совершенно справедливо поинтересуется: "Какого мужского полового органа?"

Если серьезно, то вам следует отталкиваться от проектной документации на систему. Если в проектной документации описано, что ваше ПО выполняет некоторые функции безопасности в системе (например, в нем есть разграничение доступа пользователей), то таки да, ваше ПО в этой системе является еще и средством защиты информации, и может потребоваться его сертификация.

А наличие или отсутствие лицензий конкретно в вашем вопросе не влияет вообще ни на что. Вы можете писать софт сло встроенными функциями безопасности, просто чтобы его сертифицировать, вам придется обратиться к лицензиату, который поработает прокладкой между вами и ФСТЭК.

Всем здравствуйте! Наша ситуация по сертификации на НДВ зашла в тупик. Прошу комментариев.

Исходные условия:
Имеем АСУ ТП (ж.д. сфера). Состоит из двух ПЭВМ под Линуксом (для работы двух разных людей) + комплекс устройств ввода-вывода. Локалка изолированна от внешних сетей.

Закончился сертификат ФСТЭК на НДВ-4. пошли за новым, ТАКИМ ЖЕ.
Закинули документы в ИЛ (исп. лаб.), получили Решение ФСТЭК, в котором проверяемым показателем признан только НДВ-4, кроме этого "Экспертизу результатов испытаний провести в таком-то ОС". Т.е. до этого момента все было хорошо.

ОС посмотрев наши материалы отвечает, мол ваше ПО содержит СЗИ (!) и вы должны проверяться не только на НДВ-4, но и на соответствие ТУ. Хотя ещё ИЛу мы заявили, что не выполняем функции СЗИ. Камнем преткновения стало "разграничение доступа", которое якобы они обнаружили (в тексте нашли слово PASSWORD). В нашем случае действительно оператор АСУ ТП, работающий на АРМ перед началом работы вводит свой пароль (даже без логина), но в нашем случае это реализовано не для целей защиты информации. Ввод пароля - это в своем роде замена бумажному журналу, в котором пришел человек в начале дня и расписался в нем (т.е. зафиксировал часы начала работы); ушел - ещё раз "расписался" (введя пароль). Так грубо говоря его начальник видит время начала и окончания работы. Здесь не закладывалось никакой защиты. Посторонние не имеют доступа к АСУ ТП, т.к. пропускной режим. От кого защищаться - не понятно.

Получается, что всё это прошло мимо ИЛ и ФСТЭК (даже глазом не повели) и в самом конце наткнулись на вилы со стороны ОС. В первом сертификате никакой экспертизы не было и был только НДВ-4.
Теперь выходит, что нужно "разворачивать" Решение, править ТУ (добавлять СЗИ), готовить оценку уязвимости, анализ среды функционирования и др.; проводить испытания по новой - т.е. проверки на соответствие ТУ (за что ИЛ просит немалые деньги). Хотелось бы избежать такого поворота событий.
Мы идем на все эти проверки добровольно - нам нужно только "НДВ-4". Выходит так, что будто мы идем сдавать экзамен по математике, а нас при этом пытаются заставить сдавать литературу.
Оснований, т.е. согласно какому конкретно документу мы обязаны проходить проверку на соответствие ТУ (как СЗИ) - никто из участников сказать не может. Мол это "автоматически".

Подскажите куда грести дальше? Всего лишь нужен сертификат на НДВ-4 (большая часть пути за плечами). Функций СЗИ в принципе не признаем, т.к. "похожие" на них вещи закладывались совсем для других целей.
Заранее благодарю за комментарии.

Добрый день. Oleg,
1. Как правильно заметил тов. malotavr, если софт не содержит функционала по безопасности - сертификации он не подлежит.
2. Вместе с тем, ввод пароля с целью учета времени работы - относится к т.н. "регистрации событий безопасности".
3. Не поясните, а зачем вам "сферический конь в вакууме" (я про НДВ-4 в отрыве от всего остального)?

ustav,
1. Тем не менее первый сертификат ФСТЭК был только на НДВ (с СЗИ как-то обошлось).
2. Ок, пусть это "относится" к "регистрации событий безопасности". Мы не против, кто и как его классифицирует) В нашем случае это не является функцией безопасности, такого не закладывали - назначение другое.
3. Такого коня хочет "заказчик". И потом почему сразу "конь в вакуме" :) Хотим доказать, что в нашем ПО нет левых функций - нет закладок. Всё, больше ничего другого. Добровольно хотим.
А с точки зрения защиты информации - заказчику не кого бояться - физически доступ только у персонала (фильтрует контрольно-пропускной режим), сеть изолирована, usb-порты отключены - понять можно.