пятница, 5 июля 2013 г.

Заметка об указании уровня контроля отсутствия НДВ в сертификатах на СОВ/АВЗИ

Не раз уже приходилось слышать, что получившие недавно сертификаты на СОВ и АВЗИ продукты нельзя использовать в ИСПДн с высоким уровнем защищенности ПДн из-за отсутствия в сертификатах указания на проведение испытаний по уровню контроля отсутствия НДВ.
С одной стороны, если смотреть на 21-й приказ ФСТЭК, это действительно так:
Для обеспечения 1 и 2 уровней защищенности персональных данных, а также для обеспечения 3 уровня защищенности персональных данных в информационных системах, для которых к актуальным отнесены угрозы 2-го типа, применяются средства защиты информации, программное обеспечение которых прошло проверку не ниже чем по 4 уровню контроля отсутствия недекларированных возможностей.
Но текущая позиция ФСТЭК такова - в требованиях к СОВ и АВЗИ для каждого класса указан требуемый оценочный уровень доверия и уровень контроля отсутствия НДВ (уровни контроля соответствуют классу защиты, для 5-6 классов - требование не предъявляется).

При прохождении сертификационных испытаний проверки на отсутствие НДВ выполняются в полном объеме, в соответствии с "РД НДВ", однако по каким-то своим причинам в сертификат как отдельный тип испытаний результат данных проверок не вписываются. Таким образом, при наличии сертификата на СОВ/АВЗИ продукт считается прошедшим испытания на отсутствие НДВ по соответствующему классу, однако напрямую это нигде не написано.

Но, так как документального подтверждения факта прохождение проверки на отсутствие НДВ нет, как нет и официальных разъяснений от регулятора, использование СОВ и АВЗИ без сертификата на НДВ остается на страх и риск оператора.

Возможно, моя информация по данному вопросу является не полной, приглашаю к дискуссии в комментариях.

4 комментария:

  1. Добрый день! Возник вопрос. Существует ГИС, 2 уровень защищенности. Необходима СОВ. Например СОВ Рубикон стоит 150 000, обладает сертификатами ФСТЭК, Минобороны. А есть от Кода безопасности, входящая в состав "SSEP" с сертификатом ФСТЭК по НДВ 4. Вопрос: возможно ли закрыться от проверок более дешевым SSEP?

    ОтветитьУдалить
    Ответы
    1. Антон, добрый день.
      14 августа была выпущена новая версия SSEP - http://www.securitycode.ru/company/news/2013-08-14-vyshel-tekhnicheskiy-reliz-novoy-versii-security-studio-endpoint-protection-7-6/ - в данный момент продукт находится на сертификации по СОВ 4-го класса уровня узла (+СрАВЗИ-4 всех типов, НДВ-4 и МЭ-4). До получения нового сертификата использовать SSEP в качестве СОВ по требованиям ФСТЭК нельзя, ожидаемый срок получения сертификатов - конец этого года.

      Удалить
  2. Иван, есть ещё вопрос. А на сегодняшний день эта версия SSEP продается?

    ОтветитьУдалить
    Ответы
    1. Антон, пока нет. Мы не продаем продукты без сертификата, но вы можете пообщаться с отделом продаж по этому вопросу, возможно, они смогут предложить какое-либо решение, напишите на e-mail sales@securitycode.ru

      Удалить