Автор: Максим, БИотех | 93455 | 17.05.2018 14:11 |
Доброго дня коллеги!
Есть задача на получение сертификата ФСТЭК по 4 уровню контроля отсутствия недекларированных возможностей для нашей системы биометрической идентификации человека . Ходили к разным компаниям в итоге имеем: 1. Необходимо получить лицензию ФСТЭК для разработчика СЗИ (т.к. с 1.08.2018 - это обязательно) 2. Подать документы на НДВ 3. Результат может быть не положительный - т.к. у нас используются вероятностные алгоритмы , а вот за правдивость их отвечает ФСБ и тут возникают какие то не разрешимые коллизии. Плюс есть какой то РД внутри ФСТЭК (для ДСП) который что-то там определяет как и что сертифицировать но его никто не видел :). B еще вопрос нужно получать сертификат СЗИ - хотя у нас не обрабатываются ПД. В нашей системе хранится только 2 кода - биометрический и идентификатор для СКУД. А в СКУДе уже все данные есть. Помогите разобраться как съесть этого слона :). |
Автор: Кирк | 93463 | 17.05.2018 16:32 |
Слона надо есть по частям, п.1, 2, 3. :-)
Для начала см. здесь: Утвержденный и зарегистрированный текст нового положения ФСТЭК по сертификации |
Автор: oko | 93464 | 17.05.2018 16:40 |
<Есть задача на получение сертификата ФСТЭК> и <еще вопрос нужно получать сертификат СЗИ - хотя у нас не обрабатываются ПД> не согласуются между собой. Так в чем вам помогать? В том, чтобы детально определиться, надо вам это (сертификация) вообще или не надо?
Если вы разработчик систем биометрической идентификации человека и планируете их (эти системы) продавать + планируете их продавать (внедрять) в информационные системы, к которым предъявляются требования по защите информации ограниченного доступа (читай, ИСПДн, ГИС, ГТ и т.д.), то, да, вам нужно проводить сертификацию вашего продукта. И лучше чем организации, специализирующиеся на сертификации по линии соответствующего регулятора (ФСТЭК, ФСБ, МО и т.д.) вам ни один форум не подскажет... А если у вас ситуация иная... подождите, прогревается модуль экстрасенсорики... готово: 1. Есть некая ИС, в которой что-то там обрабатывается; 2. Кто-то вам сказал, что ОПО и ППО этой ИС следует сертифицировать; 3. Вы, не разобравшись, поперли в органы по сертификации и наткнулись на, мягко говоря, разводку (органам сертификации пофигу, какая у вас там первичная задача - они либо проводят сертификацию, либо нет, за ваши бабки и ваше же желание); 4. Теперь мучаетесь вопросами из разряда "что сильнее: цапля или поллитра касторки"? Конкретизируйте, собственно, цель и задачи. А то весьма противоречивое изложение получается, ага... |
Автор: Максим, БИотех | 93465 | 17.05.2018 17:15 |
МЫ разработчик ПАК биометрической идентификации. Цель - продавать изделия на всякие разные объекты - в первую очередь там где требуется высокая защищенность от проникновения посторонних людей.
Приходим к заказчику показываем как работает как интегрируется с его СКУД. - а дальше у заказчика вопрос покажите сертификат - мы спрашиваем какой хотите - отвечают "фиг знает ФСТЭК от НДВ например" :). Отсюда такая задача.... Дальше мы пошли по рынку сертификационных контор - и тут началось. единого мнения у них нету. У всех все разное . Кто говорит что у вас часть требований СЗИ и нужно там получать сертификат на СЗИ - кто-то говорит про неведомый РД во ФСТЭК по биометрии и вам никогда не получить сертификат на НДВ. и т.п. Вот такая задача . Спасибо Ну в принципе для себя я решил, полностью самому погрузится во все документы и дальше определяться. |
Автор: malotavr | 93470 | 17.05.2018 20:42 |
Поясняю.
1. Сертифицировать вы, чистоттеоретически, можете что угодно - лишь бы были функции безопасности. 2. Конкретно за требования безопасности к биометрии отвечает ФСБ, их недавно назначили крайними. Поэтому на практике ФСТЭК, скорее всего, не согласует вам заявку на сертификацию даже на НДВ. Поэтому испытательные лаборатории не хотят связываться с задачей, которую почти гарантированно не смогут выполнить. 3. Сертифицироваться в ФСБ вы тоже не сможете, потому что требования к биометрии еще не утаерждены. |
Автор: oko | 93471 | 17.05.2018 21:23 |
to Максим, Биотех
Так намного яснее, спасибо... Про конкретику сертификации не в курсе (не моя кафедра) - тов. malotavr вроде бы все однозначно сказал. Но хотелось бы вставить и свои 5 копеек... 1. НДВ на СКУД просят странные люди, которые: а) считают СКУД ИСПДн (да-да, я в курсе про разъяснения РКН, но на практике часто доказывал обратное, ссылаясь на их же опусы в других разъяснениях); б) считают, что в ИСПДн нужны сертифицированные СЗИ везде, где только можно (нужны, но только к месту). Расскажите им об этом... 2. Сертифицировать как СЗИ можете софт без "ответной части" (сиречь, без модуля биометрической идентификации - только обвязку, которая от этого модуля получает входные данные). Договориться с сертиф.лабораторией (написав соответствующие ТУ) не большая проблема. На выходе получите сертификат на НДВ и ТУ. С учетом того, что по НДВ вообще любой код можно провести вне зависимости от того, какой там регулятор на что обязан требования выставлять и зачем... Вывод: пишите, доказывайте, продавливайте. Авось с вашей легкой руки у нас появятся какие-нибудь ИТ.СБИ.А4.ПЗ по линии ФСТЭК, ага... |
Автор: malotavr | 93511 | 18.05.2018 13:18 |
> Авось с вашей легкой руки у нас появятся какие-нибудь ИТ.СБИ.А4.ПЗ по линии ФСТЭК, ага...
Требовпния разрабатывают Минкомсвязь (алгоритмы биометрии) и ФСБ (бещопасность биометрии). У ФСТЭК таких полномочий нет. |
Автор: oko | 93513 | 18.05.2018 14:34 |
to malotavr
Это пока биометрический в КИИ не пошла. Тогда мигом и профили появятся, и задачи переориентируются... imho, Минсвязи в этом делать нечего. Нет там ни понимания вопросов, ни специалистов... |
Автор: malotavr | 93521 | 18.05.2018 21:13 |
> Минсвязи в этом делать нечего
Это вы мне рассказываете? :) Тем не менее, биометрия уже в ЕСИА, используется для удаленной идентификации клиентов банков, и под это дело "самыми компетентными" по биометрии назначены именно эти <censored>. См. новую статью 14.1 трехглавого закона. |
Автор: malotavr | 93523 | 18.05.2018 21:23 |
З.Ы. А как раз в КИИ ФСТЭК не требует применять сертифицированные СЗИ
|
Просмотров темы: 3625