вторник, 28 августа 2012 г.

Истории о сертификации

Решил коротенечко рассказать некоторые интересные моменты по сертификации средств защиты из своего опыта. Мало ли кому пригодится.

История №1 - не слушайте испытательные лаборатории

Заявлял я как-то на сертификацию несколько продуктов. Встал закономерный вопрос - сертифицировать их как что? Единственным документом на сегодня, определяющим что может быть средством защиты, является положение о сертификации №199 т 27.10.95 (и то оно для гостайны). И вот смотрю я перечень типов средств защиты в приложении 1 и понимаю, что некоторые продукты не попадают под этот список. Начинаю звонить в испытательную лабораторию (названия приводить не буду). Рассказываю, что хочу сертифицировать, говорю, что пойдем по схеме "на соответствие ТУ + отсутствие НДВ". На что мне уверенным голосом заявляют, что так не получится, ибо ни в каком РД ФСТЭК не упоминается такой тип средств защиты, а значит придется сертифицировать просто как защищенное средство обработки информации на отсутствие НДВ. Договариваемся, выдают цену. Тут я хочу посоветовать запросить цены по нескольким лабораториям, лично я нашел ту, в которой мне согласились выполнить работу в 1,5 раза дешевле. И вот дальше становится интересней. В процессе согласования заявки на сертификацию во ФСТЭК его представители мне вдруг заявляют, что сертифицировать надо все-таки по схеме ТУ+НДВ как средство защиты, попытка транслировать слова представителей испытательной лаборатории не менее уверенно отвергается. Отсюда делаем практический вывод - мнение о том что, если функционал (тип) средства защиты не упоминается ни в одном из РД ФСТЭК, то его сертифицировать как средство защиты нельзя - неверно.

История №2 - что такое ключевая информация

Одним из продуктов, которые подавались на сертификацию, являлся генератор паролей. Вобщем-то ничего особенного с функциональной точки зрения, но когда есть требования по сложности паролей, то штука удобная. И вот тут, ФСТЭК меня вообще удивила - мне было сказано, что данное средство не может быть сертифицировано в рамках их нормативной базы, поскольку существуют требования к генераторам случайных чисел в ФСБ и мне нужно обратиться туда. Я полез разбираться и выяснил, что данные требования устанавливаются только при формирования ключевой информации. Нас же продукт генерировал только пароли, которые никакого отношения к термину "ключевая информация" в рамках нормативной базы ФСБ не имеют. Но представители ФСТЭК были непреклонны, мне было отказано даже в попытке сертифицировать продукт на отсутствие НДВ, что вообще меня удивило. Единственное, что мне удалось - это получить от них письмо с официальным отказом в сертификации. Какой отсюда вывод? Общеизвестный - переубедить представителей регулятора как минимум крайне сложно (у меня не получилось).

История №3 - бонус затрат к сертификации

Ну этот момент пожалуй даже подводным камнем не назовешь, просто для тех, кто будет проходить эту процедуру впервые. Учтите, помимо сертификационных испытаний, которые вам проведет испытательная лаборатория, нужно будет пройти также через экспертное заключение корректности выводов испытательной лаборатории независимой организацией. Т.е. с вас после всего ещё сдерут порядка 80000-100000 руб за каждый продукт.

Вот такие вот истории пришли на память.

17 комментариев:

  1. вторая история понравилась.. и вывод абсолютно верный!

    т.к. названий продуктов все равно нет, то можно и раскрыть стоимость сертификации.. для самых любопытных =)

    ОтветитьУдалить
    Ответы
    1. Уговорил ))
      Тариф на ТУ фиксированный + тариф на отсутствие НДВ, он идет уже исходя из размера исходников. У нас цены получились 350 и 700 тыш рублей, сертифицировали партии. Причем цена для количества экземпляров до 200, насколько я помню, была неизменной. Так что можно не стесняться, только болванки успеть нарезать..

      Удалить
  2. Михаил, а зачем сертифицировать генератор паролей? Я честно не понимаю.

    ОтветитьУдалить
    Ответы
    1. Так уж получилось, что специфика заказчиков, с которыми мы работаем требует использования сертифицированных средств защиты. Понятно, что можно заложить генератор без сертификата и не объявлять его средством защиты, но документация тогда получается некрасивая. Была возможность заложить в бюджет работы сертификацию, мы решили это сделать. А в Минобороны сертифицированный генератор паролей вообще востребованная вещь.

      Удалить
  3. По историям:
    1 - Конечно нужно "прогонять" проект по нескольким ИЛ.
    2 - Крипта - все верно ФСТЭК отправил в ФСБ.
    3 - Это не бонус. Это стандартная процедура. см. http://goo.gl/5aQiC
    На викисеке эта особенность прокомментирована.

    Если что - обращайтесь, это моя тема...

    ОтветитьУдалить
    Ответы
    1. Спасибо, если что - буду иметь ввиду..

      Удалить
    2. Насчет п.2, мне все-таки непонятно каким образом пароли могут относиться к ключевой информации в криптографии? В этой связи вспомнился ещё 1 парадоксальный момент - сертифицировать генератор паролей во ФСТЭК не дали, а вот средство контроля целостности - пожалуйста, хотя вот уж здесь-то как раз по логике вещей вотчина ФСБ.

      Удалить
    3. И вот кстати только-что случайно наткнулся - http://regost.ru/sertifikat-sootvetstviya-fstek/

      К объектам, для которых оформляется сертификат соответствия ФСТЭК, относятся следующие:
      ...
      - системы генерации паролей для доступа к информационным ресурсам;

      ПАРАДОКС!!! ))

      Удалить
    4. В части "regost.ru" - это их личное мнение и источник так себе...
      Вот по пункту 2 копнем глубже.

      Итак есть некая поделка - "генератор паролей". Вероятно, думаю вы уточните, состоит из двух модулей:
      1 - ПДСЧ (генератор случайных чисел по ГОСТ) = криптуха
      2 - некая прикладная программа которая использует результаты ПДСЧ для формирования паролей, удобного вывода, может быть даже применения в системе и т.п.

      Так вот, если в составе изделия "генератор паролей" обе части - ФСТЭК не уполномочен проверять ПДСЧ и отсылает в ФСБ.

      Есть еще такой документ кроме 199...

      Положение
      о сертификации средств защиты информации
      Утверждено постановлением Правительства Российской Федерации от 26 июня 1995 г. № 608
      (с изменениями и дополнениями от 23 апреля 1996 г. № 509; от 29 марта 1999 г. № 342; от 17 декабря 2004 г. № 808)

      Удалить
    5. Вот сразу с первого пункта у меня возникает вопрос - почему датчик случайных числе я должен реализовывать в соответствии с требованиями ФСБ, если там они предъявляются для датчиков, используемых для генерации ключевой информации? У меня же датчик используется для других целей, значит положения этого документа на него не должны распространяться.

      Удалить
    6. А кто говорит что должен? ФСТЭК не говорит... Если разработчик хочет генератор псевдослучайных чисел (последовательностей) и хочет затем его сертифицировать - то это к ФСБ... видимо об этом речь. Однако, если взять например ФИКС (поделка ЦБИ) то там для подсчета КС ранее использовался алгоритм не гостовый а "прошедший широкую апробацию". В последних версиях уже используется в том числе гостовый...http://www.cbi-info.ru/groups/page-344.htm
      при этом сертификат ФСТЭК только на НДВ-2 !
      В формуляре заявлен ГОСТ по которому вроде бы как должна быть сертификация ФСБ. Такого сертификата я не наблюдаю.
      Получается, что кому то можно, кому то нельзя ;)

      Удалить
    7. Вот ещё пример - в ФСБ требования по системам обнаружения атак существуют уже, однако ФСТЭК успешно позволяло сертифицировать СОВ у себя на ТУ (до выхода требований к СОВ). Почему в данном случае они не отказывали?

      Удалить
    8. Насчет датчика - в том-то и дело, что программа была реализована единым модулем как система генерации паролей (в ней использовался обычный встроенный программный псевдослучайный датчик) и в таком виде была подана на сертификацию. И вот все равно не дали сертифицировать.

      Удалить
  4. Вот почитай интересный проект документа с вопросами для ФСТЭК, думаю будет интересно
    http://goo.gl/EJOp9

    ОтветитьУдалить