Решил коротенечко рассказать некоторые интересные моменты по сертификации средств защиты из своего опыта. Мало ли кому пригодится.
История №1 - не слушайте испытательные лаборатории
Заявлял я как-то на сертификацию несколько продуктов. Встал закономерный вопрос - сертифицировать их как что? Единственным документом на сегодня, определяющим что может быть средством защиты, является положение о сертификации №199 т 27.10.95 (и то оно для гостайны). И вот смотрю я перечень типов средств защиты в приложении 1 и понимаю, что некоторые продукты не попадают под этот список. Начинаю звонить в испытательную лабораторию (названия приводить не буду). Рассказываю, что хочу сертифицировать, говорю, что пойдем по схеме "на соответствие ТУ + отсутствие НДВ". На что мне уверенным голосом заявляют, что так не получится, ибо ни в каком РД ФСТЭК не упоминается такой тип средств защиты, а значит придется сертифицировать просто как защищенное средство обработки информации на отсутствие НДВ. Договариваемся, выдают цену. Тут я хочу посоветовать запросить цены по нескольким лабораториям, лично я нашел ту, в которой мне согласились выполнить работу в 1,5 раза дешевле. И вот дальше становится интересней. В процессе согласования заявки на сертификацию во ФСТЭК его представители мне вдруг заявляют, что сертифицировать надо все-таки по схеме ТУ+НДВ как средство защиты, попытка транслировать слова представителей испытательной лаборатории не менее уверенно отвергается. Отсюда делаем практический вывод - мнение о том что, если функционал (тип) средства защиты не упоминается ни в одном из РД ФСТЭК, то его сертифицировать как средство защиты нельзя - неверно.
История №2 - что такое ключевая информация
Одним из продуктов, которые подавались на сертификацию, являлся генератор паролей. Вобщем-то ничего особенного с функциональной точки зрения, но когда есть требования по сложности паролей, то штука удобная. И вот тут, ФСТЭК меня вообще удивила - мне было сказано, что данное средство не может быть сертифицировано в рамках их нормативной базы, поскольку существуют требования к генераторам случайных чисел в ФСБ и мне нужно обратиться туда. Я полез разбираться и выяснил, что данные требования устанавливаются только при формирования ключевой информации. Нас же продукт генерировал только пароли, которые никакого отношения к термину "ключевая информация" в рамках нормативной базы ФСБ не имеют. Но представители ФСТЭК были непреклонны, мне было отказано даже в попытке сертифицировать продукт на отсутствие НДВ, что вообще меня удивило. Единственное, что мне удалось - это получить от них письмо с официальным отказом в сертификации. Какой отсюда вывод? Общеизвестный - переубедить представителей регулятора как минимум крайне сложно (у меня не получилось).
История №3 - бонус затрат к сертификации
Ну этот момент пожалуй даже подводным камнем не назовешь, просто для тех, кто будет проходить эту процедуру впервые. Учтите, помимо сертификационных испытаний, которые вам проведет испытательная лаборатория, нужно будет пройти также через экспертное заключение корректности выводов испытательной лаборатории независимой организацией. Т.е. с вас после всего ещё сдерут порядка 80000-100000 руб за каждый продукт.
Вот такие вот истории пришли на память.
История №1 - не слушайте испытательные лаборатории
Заявлял я как-то на сертификацию несколько продуктов. Встал закономерный вопрос - сертифицировать их как что? Единственным документом на сегодня, определяющим что может быть средством защиты, является положение о сертификации №199 т 27.10.95 (и то оно для гостайны). И вот смотрю я перечень типов средств защиты в приложении 1 и понимаю, что некоторые продукты не попадают под этот список. Начинаю звонить в испытательную лабораторию (названия приводить не буду). Рассказываю, что хочу сертифицировать, говорю, что пойдем по схеме "на соответствие ТУ + отсутствие НДВ". На что мне уверенным голосом заявляют, что так не получится, ибо ни в каком РД ФСТЭК не упоминается такой тип средств защиты, а значит придется сертифицировать просто как защищенное средство обработки информации на отсутствие НДВ. Договариваемся, выдают цену. Тут я хочу посоветовать запросить цены по нескольким лабораториям, лично я нашел ту, в которой мне согласились выполнить работу в 1,5 раза дешевле. И вот дальше становится интересней. В процессе согласования заявки на сертификацию во ФСТЭК его представители мне вдруг заявляют, что сертифицировать надо все-таки по схеме ТУ+НДВ как средство защиты, попытка транслировать слова представителей испытательной лаборатории не менее уверенно отвергается. Отсюда делаем практический вывод - мнение о том что, если функционал (тип) средства защиты не упоминается ни в одном из РД ФСТЭК, то его сертифицировать как средство защиты нельзя - неверно.
История №2 - что такое ключевая информация
Одним из продуктов, которые подавались на сертификацию, являлся генератор паролей. Вобщем-то ничего особенного с функциональной точки зрения, но когда есть требования по сложности паролей, то штука удобная. И вот тут, ФСТЭК меня вообще удивила - мне было сказано, что данное средство не может быть сертифицировано в рамках их нормативной базы, поскольку существуют требования к генераторам случайных чисел в ФСБ и мне нужно обратиться туда. Я полез разбираться и выяснил, что данные требования устанавливаются только при формирования ключевой информации. Нас же продукт генерировал только пароли, которые никакого отношения к термину "ключевая информация" в рамках нормативной базы ФСБ не имеют. Но представители ФСТЭК были непреклонны, мне было отказано даже в попытке сертифицировать продукт на отсутствие НДВ, что вообще меня удивило. Единственное, что мне удалось - это получить от них письмо с официальным отказом в сертификации. Какой отсюда вывод? Общеизвестный - переубедить представителей регулятора как минимум крайне сложно (у меня не получилось).
История №3 - бонус затрат к сертификации
Ну этот момент пожалуй даже подводным камнем не назовешь, просто для тех, кто будет проходить эту процедуру впервые. Учтите, помимо сертификационных испытаний, которые вам проведет испытательная лаборатория, нужно будет пройти также через экспертное заключение корректности выводов испытательной лаборатории независимой организацией. Т.е. с вас после всего ещё сдерут порядка 80000-100000 руб за каждый продукт.
Вот такие вот истории пришли на память.
вторая история понравилась.. и вывод абсолютно верный!
ОтветитьУдалитьт.к. названий продуктов все равно нет, то можно и раскрыть стоимость сертификации.. для самых любопытных =)
Уговорил ))
УдалитьТариф на ТУ фиксированный + тариф на отсутствие НДВ, он идет уже исходя из размера исходников. У нас цены получились 350 и 700 тыш рублей, сертифицировали партии. Причем цена для количества экземпляров до 200, насколько я помню, была неизменной. Так что можно не стесняться, только болванки успеть нарезать..
Михаил, а зачем сертифицировать генератор паролей? Я честно не понимаю.
ОтветитьУдалитьТак уж получилось, что специфика заказчиков, с которыми мы работаем требует использования сертифицированных средств защиты. Понятно, что можно заложить генератор без сертификата и не объявлять его средством защиты, но документация тогда получается некрасивая. Была возможность заложить в бюджет работы сертификацию, мы решили это сделать. А в Минобороны сертифицированный генератор паролей вообще востребованная вещь.
УдалитьПо историям:
ОтветитьУдалить1 - Конечно нужно "прогонять" проект по нескольким ИЛ.
2 - Крипта - все верно ФСТЭК отправил в ФСБ.
3 - Это не бонус. Это стандартная процедура. см. http://goo.gl/5aQiC
На викисеке эта особенность прокомментирована.
Если что - обращайтесь, это моя тема...
Спасибо, если что - буду иметь ввиду..
УдалитьНасчет п.2, мне все-таки непонятно каким образом пароли могут относиться к ключевой информации в криптографии? В этой связи вспомнился ещё 1 парадоксальный момент - сертифицировать генератор паролей во ФСТЭК не дали, а вот средство контроля целостности - пожалуйста, хотя вот уж здесь-то как раз по логике вещей вотчина ФСБ.
УдалитьИ вот кстати только-что случайно наткнулся - http://regost.ru/sertifikat-sootvetstviya-fstek/
УдалитьК объектам, для которых оформляется сертификат соответствия ФСТЭК, относятся следующие:
...
- системы генерации паролей для доступа к информационным ресурсам;
ПАРАДОКС!!! ))
В части "regost.ru" - это их личное мнение и источник так себе...
УдалитьВот по пункту 2 копнем глубже.
Итак есть некая поделка - "генератор паролей". Вероятно, думаю вы уточните, состоит из двух модулей:
1 - ПДСЧ (генератор случайных чисел по ГОСТ) = криптуха
2 - некая прикладная программа которая использует результаты ПДСЧ для формирования паролей, удобного вывода, может быть даже применения в системе и т.п.
Так вот, если в составе изделия "генератор паролей" обе части - ФСТЭК не уполномочен проверять ПДСЧ и отсылает в ФСБ.
Есть еще такой документ кроме 199...
Положение
о сертификации средств защиты информации
Утверждено постановлением Правительства Российской Федерации от 26 июня 1995 г. № 608
(с изменениями и дополнениями от 23 апреля 1996 г. № 509; от 29 марта 1999 г. № 342; от 17 декабря 2004 г. № 808)
Вот сразу с первого пункта у меня возникает вопрос - почему датчик случайных числе я должен реализовывать в соответствии с требованиями ФСБ, если там они предъявляются для датчиков, используемых для генерации ключевой информации? У меня же датчик используется для других целей, значит положения этого документа на него не должны распространяться.
УдалитьА кто говорит что должен? ФСТЭК не говорит... Если разработчик хочет генератор псевдослучайных чисел (последовательностей) и хочет затем его сертифицировать - то это к ФСБ... видимо об этом речь. Однако, если взять например ФИКС (поделка ЦБИ) то там для подсчета КС ранее использовался алгоритм не гостовый а "прошедший широкую апробацию". В последних версиях уже используется в том числе гостовый...http://www.cbi-info.ru/groups/page-344.htm
Удалитьпри этом сертификат ФСТЭК только на НДВ-2 !
В формуляре заявлен ГОСТ по которому вроде бы как должна быть сертификация ФСБ. Такого сертификата я не наблюдаю.
Получается, что кому то можно, кому то нельзя ;)
Вот ещё пример - в ФСБ требования по системам обнаружения атак существуют уже, однако ФСТЭК успешно позволяло сертифицировать СОВ у себя на ТУ (до выхода требований к СОВ). Почему в данном случае они не отказывали?
УдалитьНасчет датчика - в том-то и дело, что программа была реализована единым модулем как система генерации паролей (в ней использовался обычный встроенный программный псевдослучайный датчик) и в таком виде была подана на сертификацию. И вот все равно не дали сертифицировать.
УдалитьИменно это и напрягает
УдалитьБог терпел и нам велел ))
УдалитьВот почитай интересный проект документа с вопросами для ФСТЭК, думаю будет интересно
ОтветитьУдалитьhttp://goo.gl/EJOp9
Сертификация в России
ОтветитьУдалить