Контакты
Подписка
МЕНЮ
Контакты
Подписка

Сертификация на НДВ 4 категория Биометрия - Форум по вопросам информационной безопасности

Сертификация на НДВ 4 категория Биометрия - Форум по вопросам информационной безопасности

К списку тем | Добавить сообщение


Страницы: 1 2 >

Автор: Максим, БИотех | 93455 17.05.2018 14:11
Доброго дня коллеги!

Есть задача на получение сертификата ФСТЭК по 4 уровню контроля отсутствия недекларированных
возможностей для нашей системы биометрической идентификации человека . Ходили к разным компаниям в итоге имеем:
1. Необходимо получить лицензию ФСТЭК для разработчика СЗИ (т.к. с 1.08.2018 - это обязательно)
2. Подать документы на НДВ
3. Результат может быть не положительный - т.к. у нас используются вероятностные алгоритмы , а вот за правдивость их отвечает ФСБ и тут возникают какие то не разрешимые коллизии. Плюс есть какой то РД внутри ФСТЭК (для ДСП) который что-то там определяет как и что сертифицировать но его никто не видел :).

B еще вопрос нужно получать сертификат СЗИ - хотя у нас не обрабатываются ПД. В нашей системе хранится только 2 кода - биометрический и идентификатор для СКУД. А в СКУДе уже все данные есть.
Помогите разобраться как съесть этого слона :).

Автор: Кирк | 93463 17.05.2018 16:32
Слона надо есть по частям, п.1, 2, 3. :-)
Для начала см. здесь:
Утвержденный и зарегистрированный текст нового положения ФСТЭК по сертификации
https://minjust.consultant.ru/documents/39437

Автор: oko | 93464 17.05.2018 16:40
<Есть задача на получение сертификата ФСТЭК> и <еще вопрос нужно получать сертификат СЗИ - хотя у нас не обрабатываются ПД> не согласуются между собой. Так в чем вам помогать? В том, чтобы детально определиться, надо вам это (сертификация) вообще или не надо?
Если вы разработчик систем биометрической идентификации человека и планируете их (эти системы) продавать + планируете их продавать (внедрять) в информационные системы, к которым предъявляются требования по защите информации ограниченного доступа (читай, ИСПДн, ГИС, ГТ и т.д.), то, да, вам нужно проводить сертификацию вашего продукта. И лучше чем организации, специализирующиеся на сертификации по линии соответствующего регулятора (ФСТЭК, ФСБ, МО и т.д.) вам ни один форум не подскажет...
А если у вас ситуация иная... подождите, прогревается модуль экстрасенсорики... готово:
1. Есть некая ИС, в которой что-то там обрабатывается;
2. Кто-то вам сказал, что ОПО и ППО этой ИС следует сертифицировать;
3. Вы, не разобравшись, поперли в органы по сертификации и наткнулись на, мягко говоря, разводку (органам сертификации пофигу, какая у вас там первичная задача - они либо проводят сертификацию, либо нет, за ваши бабки и ваше же желание);
4. Теперь мучаетесь вопросами из разряда "что сильнее: цапля или поллитра касторки"?
Конкретизируйте, собственно, цель и задачи. А то весьма противоречивое изложение получается, ага...

Автор: Максим, БИотех | 93465 17.05.2018 17:15
МЫ разработчик ПАК биометрической идентификации. Цель - продавать изделия на всякие разные объекты - в первую очередь там где требуется высокая защищенность от проникновения посторонних людей.
Приходим к заказчику показываем как работает как интегрируется с его СКУД. - а дальше у заказчика вопрос покажите сертификат - мы спрашиваем какой хотите - отвечают "фиг знает ФСТЭК от НДВ например" :). Отсюда такая задача....

Дальше мы пошли по рынку сертификационных контор - и тут началось. единого мнения у них нету. У всех все разное . Кто говорит что у вас часть требований СЗИ и нужно там получать сертификат на СЗИ - кто-то говорит про неведомый РД во ФСТЭК по биометрии и вам никогда не получить сертификат на НДВ. и т.п.

Вот такая задача .
Спасибо
Ну в принципе для себя я решил, полностью самому погрузится во все документы и дальше определяться.

Автор: malotavr | 93470 17.05.2018 20:42
Поясняю.

1. Сертифицировать вы, чистоттеоретически, можете что угодно - лишь бы были функции безопасности.
2. Конкретно за требования безопасности к биометрии отвечает ФСБ, их недавно назначили крайними. Поэтому на практике ФСТЭК, скорее всего, не согласует вам заявку на сертификацию даже на НДВ. Поэтому испытательные лаборатории не хотят связываться с задачей, которую почти гарантированно не смогут выполнить.
3. Сертифицироваться в ФСБ вы тоже не сможете, потому что требования к биометрии еще не утаерждены.

Автор: oko | 93471 17.05.2018 21:23
to Максим, Биотех
Так намного яснее, спасибо...
Про конкретику сертификации не в курсе (не моя кафедра) - тов. malotavr вроде бы все однозначно сказал. Но хотелось бы вставить и свои 5 копеек...
1. НДВ на СКУД просят странные люди, которые:
а) считают СКУД ИСПДн (да-да, я в курсе про разъяснения РКН, но на практике часто доказывал обратное, ссылаясь на их же опусы в других разъяснениях);
б) считают, что в ИСПДн нужны сертифицированные СЗИ везде, где только можно (нужны, но только к месту).
Расскажите им об этом...
2. Сертифицировать как СЗИ можете софт без "ответной части" (сиречь, без модуля биометрической идентификации - только обвязку, которая от этого модуля получает входные данные). Договориться с сертиф.лабораторией (написав соответствующие ТУ) не большая проблема. На выходе получите сертификат на НДВ и ТУ. С учетом того, что по НДВ вообще любой код можно провести вне зависимости от того, какой там регулятор на что обязан требования выставлять и зачем...
Вывод: пишите, доказывайте, продавливайте. Авось с вашей легкой руки у нас появятся какие-нибудь ИТ.СБИ.А4.ПЗ по линии ФСТЭК, ага...

Автор: malotavr | 93511 18.05.2018 13:18
> Авось с вашей легкой руки у нас появятся какие-нибудь ИТ.СБИ.А4.ПЗ по линии ФСТЭК, ага...

Требовпния разрабатывают Минкомсвязь (алгоритмы биометрии) и ФСБ (бещопасность биометрии). У ФСТЭК таких полномочий нет.

Автор: oko | 93513 18.05.2018 14:34
to malotavr
Это пока биометрический в КИИ не пошла. Тогда мигом и профили появятся, и задачи переориентируются...
imho, Минсвязи в этом делать нечего. Нет там ни понимания вопросов, ни специалистов...

Автор: malotavr | 93521 18.05.2018 21:13
> Минсвязи в этом делать нечего

Это вы мне рассказываете? :) Тем не менее, биометрия уже в ЕСИА, используется для удаленной идентификации клиентов банков, и под это дело "самыми компетентными" по биометрии назначены именно эти <censored>. См. новую статью 14.1 трехглавого закона.

Автор: malotavr | 93523 18.05.2018 21:23
З.Ы. А как раз в КИИ ФСТЭК не требует применять сертифицированные СЗИ

Страницы: 1 2 >

Просмотров темы: 3625

К списку тем | Добавить сообщение



Добавить сообщение

Автор*
Компания
E-mail
Присылать уведомления да
нет
Текст сообщения*
Введите код*