В «Вестнике МГТУ им. Н.Э. Баумана» опубликована статья «Формирование требований к сертификационным испытаниям DLP-систем по требованиям безопасности информации». В работе представлен подход к формированию методического аппарата проведения сертификации DLP-решений по требованиям безопасности информации, в основу которого положен базис стандарта «Общие критерии». Представленный подход может применяться при оценки соответствия DLP-решений требованиям безопасности информации для увеличения детерминированности данного процесса.

Полный текст статьи доступен по ссылке.

С 25 по 28 февраля 2013 года учебный центр «Эшелон» провел новый уникальных курс ‑ «Сертификация средств антивирусной защиты и систем обнаружения вторжений в соответствии с методологией стандарта «Общие критерии».
Данный курс был разработан специалистами компании НПО «Эшелон», в первую очередь, из-за актуальности данной темы: в ближайшее время сертификация практически всех средств защиты информации (СЗИ) в системе сертификации ФСТЭК России будет проводиться в соответствии с новой нормативной базой, построенной на методологии стандарта ГОСТ Р ИСО/МЭК 15408 («Общие критерии»). Ситуация осложняется тем, что при проведении сертификационных испытаний, помимо самого средства защиты разработчик должен представить в испытательную лабораторию большой объем документов, которые демонстрируют, что проектирование и разработка выполнены корректно, само СЗИ способно правильно выполнять функции защиты информации в соответствии с новыми нормативными документами ФСТЭК России.
Следует отметить, что процесс сертификационных испытаний с точки зрения испытательной лаборатории отличается от «классического» подхода. Испытательной лабораторией помимо стандартных документов должны быть подготовлены свидетельства оценщика, которые должны содержать заключения о соответствии СЗИ предъявляемым требованиям безопасности информации. Именно поэтому курс был разделен на два отдельных модуля: модуль для экспертов испытательных лабораторий  и модуль для разработчиков и поставщиков СЗИ.

Обучение в области применения методологии «Общие критерии» при разработке и сертификации средств защиты информации проводили ведущие специалисты-практики компании «НПО «Эшелон», имеющие большой опыт в проведении сертификационных испытаний СЗИ и экспертизе материалов испытаний в качестве экспертов органов по сертификации.

Основные вопросы, ответы на которые получили слушатели курса следующие:

• как проводить сертификационные испытания и документировать полученные результаты?
• как разрабатывать и оценивать задания по безопасности?
• как разрабатывать свидетельства оценщика и разработчика?
• как разрабатывать тестовые процедуры?
• что такое функциональная спецификация и зачем он нужна?
• как анализировать глубину и покрытие тестовыми процедурами?
• как проводить поиск и анализ уязвимостей исходных текстов?

Курс посетили представители испытательных лабораторий (ОАО «СИНКЛИТ», ООО НТЦ «Фобос-НТ») эксперты 8 управления ГШ ВС РФ, и представители организаций-разработчиков СЗИ (Symantec и Dr.Web).

Компания НПО «Эшелон» планирует проводить данные семинары на постоянной основе. Подробную информацию можно получить на сайте Учебного центра «Эшелон» и Центра компетенции по стандарту «Общие критерии».

Международной организацией OWASP подготовлена первая редакция рейтинга 10 распространенных уязвимостей веб-приложений — «OWASP Top 10 2013 Release Candidate 1». Лидеры — прежние: A1 «Injection», A2 «Broken Authentication and Session Management», A3 «Cross-Site Scripting (XSS)».

Основные изменения по сравнению с публикацией 2010 года следующие:

• уязвимость типа «Cross-Site Request Forgery (CSRF)» с пятой позиции опустилась на восьмую;
• добавлена уязвимость типа «использование компонент, содержащих известные уязвимости» («Using Known Vulnerable Components»)
• уязвимость 2010-A8 «Failure to Restrict URL Access» сформулирована более широко (2013-A7 «Missing Function Level Access Control») и описывает класс уязвимостей, связанных с ошибками в механизмах контроля доступа, а не только в механизме URL;
• уязвимости A7 «Insecure Cryptographic Storage» и A9 «Insufficient Transport Layer Protection» объединены в новый тип уязвимости 2013-A6 «Sensitive Data Exposure».

С текстом документа можно ознакомиться, перейдя по ссылке.

Компания НПО «Эшелон» анонсирует запуск новых учебных курсов, посвященных применению новых нормативных документов ФСТЭК России в области сертификации средств защиты информации.
Read more

На сайте программы США по сертификации средства защиты информации —NIAP Common Criteria Evaluation and Validation Scheme for IT Security — опубликован профиль защиты для операционных систем общего назначения («General-Purpose Operating System Protection Profile», ссылка).

Особый интерес вызывает тот факт, что помимо самого профиля защиты опубликованы и методические материалы для разработчиков и оценщиков подобного рода операционных систем. В рекомендациях, например, содержится информация о процедуре проведения анализа уязвимостей, функционального тестирования и анализа документации.

Выражаем надежды, что и подобные методические документы в скором времени будут опубликованы и для новых нормативных документов ФСТЭК России!

Технический отчет об оценке (ТОО) — основной документ, создаваемый испытательной лабораторией по результатам сертификационных испытаний в соответствии с требованиями ИСО/МЭК 15408 (например, при проведении испытаний СОВ и САВЗ в соответствии с новыми требованиями ФСТЭК России). ТОО — аналог протокола проведения испытаний, содержащего отчет о фактических действиях, выполненных экспертами лабораторий, а также заключение по результатам испытаний. Рассмотрим, что же должно содержаться в ТОО.

Read more

Переход ФСТЭК России от «классической» сертификации к новым нормативным документам, основанным на методологии стандарта «Общие критерии», потребует разработки методической документации в помощь как разработчикам средств защиты информации, так и оценщикам (испытательным лабораториям). Приведу небольшой анализ существующих документов, которые могут быть использованы разработчиками и оценщиками при подготовке и проведении сертификации.

Read more

Новые нормативные и методические документы ФСТЭК России в области сертификации (требования к САВЗ и СОВ) требуют от экспертов испытательных лабораторий при проведении сертификации выполнять независимый анализ уязвимостей объекта оценки (ОО).

Read more

На сайте опубликованы следующие материалы, которые могут быть полезны разработчикам и заявителям при подготовке своих средств защиты к процедуре сертификации в соответствии с новой нормативной базой ФСТЭК России:

• Сравнительный анализ требований «классических» и новых документов ФСТЭК России (pdf);
• Требуемый состав документации и процедур разработчика при сертификации по новым нормативным документам ФСТЭК России (pdf).

Напомним, что Центр компетенции оказывает весь спектр услуг по сертификации средств защиты информации в соответствии с требованиями новых нормативных документов ФСТЭК России.

Сертификация изделий информационных технологий (ИТ) в соответствии с требованиями новой нормативной базы ФСТЭК России выполняется для одного из преопределенных оценочных уровней доверия (ОУД). Стандарт «Общие критерии» определяет семь ОУД (самый слабый – ОУД 1). Следует отметить, что ОУД 3 и ОУД 4 в настоящее время являются наиболее применимыми при проведении сертификации, ОУД 5 – ОУД 7 применяются при сертификации изделий ИТ, планируемых к использованию в ситуациях чрезвычайно высокого риска и/или там, где высокая ценность активов оправдывает более высокие затраты на разработку и сертификацию.

Read more