Контакты
Подписка
МЕНЮ
Контакты
Подписка

НДВ - Форум по вопросам информационной безопасности

НДВ - Форум по вопросам информационной безопасности

К списку тем | Добавить сообщение


Автор: Stick, АО | 73854 14.07.2017 13:24
Коллеги, прошу написать название организаций, которые проверяют ПО на предмет отсутствия НДВ на соответствие РД. Защита от НСД. Часть 1. ПО СЗИ. Классификация по уровню контроля отсутствия НДВ. Интересует контроль отсутствия до 2 уровня включительно.

Автор: Федор | 73859 14.07.2017 15:03
ФСТЭК России выдает сертификаты на отсутствие НДВ

Автор: Alex_kl | 73863 14.07.2017 15:48

Автор: oko | 73864 14.07.2017 15:58
to Stick
Реестр ФСТЭК, графа "Испытательная лаборатория", поиск по ключевому сочетанию "по 2 уровню контроля" (чтоб наверняка, ага)...

Автор: Анон | 74086 21.07.2017 13:11
Кто может подсказать, если нет сертификата на отсутствие НДВ, то можно как-нибудь обосновать отсутствие угроз 1 и 2 типа из пп 1119, не проводя испытаний?

Автор: ustav | 74087 21.07.2017 13:20
Как я слышал, ФСТЭК с удовольствием "съедает" объяснения вроде "накатываются актуальные обновления", "проводятся регулярные пен-тесты" и т.д.
Лично моё мнение - это "липа". Я бы отталкивался от возможностей потенциального нарушителя согласно методичке от ФСБ № 149/7/2/6-432 от 31 марта 2015 года ;)

ЗЫ: НДВ-4 (контроль полноты и отсутствия избыточности), если честно - это тоже полная липа.

Автор: oko | 74088 21.07.2017 13:43
to ustav
+1 по всем пунктам

Автор: WORM, MK | 74098 21.07.2017 19:37
2 ustav & oko

А много вы знаете системного и прикладного ПО, имеющего сертификат на НДВ? Особенно по уровню 3+? (раз уж 4-й уровень - "липа").

А есть требования по уровню контролю НДВ в системном и прикладном ПО? Если есть, назовите руководящий документ.

Автор: oko | 74164 22.07.2017 12:54
to WORM
Absit invidia verbo, товарищ! Предлагаю не кидаться друг на друга с околориторическими вопросами :)
Мое мнение (после событий 1-2 летней давности), что контроль НДВ по любому уровню - в большинстве своем полная липа. Недавно довелось вертеть в руках СПО для военной техники (и последующей обработки ГТ-данных, накапливающихся в ней). Тоже НДВ, тоже 2 уровень контроля. При этом недокументированных функций и багов, включая эскалацию привилегий, методом пробного пуска за полдня удалось наковырять с десяток. Любопытно, что задача была другой - они сами в руки бросались...
Тут, правда, есть двойной нюанс: кто разработчик и кто проверяющий. Линтер-ВС (в последней модификации) не липа, PostgresPro не липа. В части сертификации по НДВ, разумеется. Есть еще несколько примеров из области АСУТП, где применяется специализированный проверенный софт. Как говорится, было бы желание не бабло пилить, а работать на благо себя и других...
Что же до требований. Есть тот самый 17 Приказ ФСТЭК. В котором явно сказано про контроль НДВ для К2-К1. Собственно, вы и сами знаете. И не мне вас учить, что, зачастую, невозможно защитить ИС с определенной совокупностью ОПО+ППО навесными СЗИ, прошедшими сертификацию. Т.е. ППО (и, желательно, ОПО тоже) должны иметь в своем составе встроенные средства защиты, а также пройти проверку по НДВ. ФСТЭК, кстати, нас сейчас активно нагибает на такой вариант для одного весьма крупного Заказчика. Т.е. регулятор тоже "рубит фишку"...

Автор: WORM, MK | 74166 22.07.2017 13:15
2 oko
Так-то оно так. Но все-таки 17-й приказ говорит о контроле НДВ в ПО СЗИ, а вовсе не в СПО/ППО.
И меня всегда смущает вот что: при защите ГТ отсутствие сертификата на НДВ в прикладном ПО никак не усложняет жизнь защитника: ни на что отсутствие сертификата не влияет.
А если у нас, не дай Бог, персональные данные, то без сертификата на НДВ в ППО мы сразу попадаем на более высокий УЗ. Вот с чего бы?

Остаюсь при своем мнении: актуальность угроз НДВ определяется не наличием/отсутствием сертификата, а методикой ФСТЭК.

И еще раз повторю вопрос: назовите руководящий документ, на соответствие которому Вы желаете иметь сертификат на СПО/ППО.

Просмотров темы: 2757

К списку тем | Добавить сообщение



Добавить сообщение

Автор*
Компания
E-mail
Присылать уведомления да
нет
Текст сообщения*
Введите код*