Про анализ уязвимостей в зарубежных системах сертификации

Проведение анализа уязвимостей программного обеспечения в настоящее время является обязательной активностью экспертов испытательных лабораторий при проведении сертификационных испытаний, выполняемых по линии системы сертификации ФСТЭК России. Данный вид работ выполняется как при сертификации на соответствие требованиям утвержденных ФСТЭК России профилей защиты, в которых в явном виде включены требования семейства AVA_VAN «Анализ уязвимостей», так и при испытаниях на соответствие требованиям технических условий.

Читать далее

О совместных профилях защиты

В последнее время в международном сообществе специалистов по сертификации средств защиты информации Common Criteria набирают обороты активности, связанные с разработкой так называемых совместных профилей защиты (collaborative Protection Profile). Кратко рассмотрим, что такое совместный профиль защиты и в чем состоят его принципиальные отличия от обычного профиля защиты.

Читать далее

Отчет о ICCC 2015

В сентябре НПО «Эшелон» традиционно приняло участие в международном слёте «сертификаторов» – 16-ой конференции International Common Criteria Conference (ICCC 2015).

00DSC04407

Наш доклад был посвящен последним тенденциям отечественной системы сертификации, которые связаны с переходом к использованию методологии «Общих критериев» и заданием требований к безопасному программному обеспечению. С презентацией доклада можно познакомиться, перейдя по ссылке.

Краткий отчет по конференции представлен далее. Читать далее

Итоги International Common Criteria Conference 2014

НПО «Эшелон» приняло участие в работе 15-ой Международной конференции по «Общим критериям» (International Common Criteria Conference), которая проходила 9-11 сентября этого года в Нью-Дели, Индия. С докладом «Russian IT Security Certification Scheme: Steps Toward Common Criteria Approach» выступил директор департамента сертификации и тестирования к.т.н., CISSP, CSSLP Александр Барабанов.

Читать далее

Американский вариант профиля защиты на систему обнаружения вторжений

Экспертам аккредитованный испытательных лабораторий и органов по сертификации ФСТЭК России, а так же разработчикам средств защиты информации, возможно, будет полезно познакомиться с профилем защиты на системы обнаружения вторжений уровня сети, разработанным организацией NIAP (National Information Assurance Partnership, регулирует сертификацию средств защиты информации в США) и опубликованном на их официальном сайте (ссылка).

Читать далее

Профили защиты ФСТЭК России vs. NIAP Approved Protection Profiles

Как известно, ФСТЭК России ведется масштабная работа по совершенствованию нормативной и методической базы сертификационных испытаний средств защиты информации: только за последние два года были разработаны и внедрены нормативные и методические документы, задающие требования к системам обнаружения вторжений и средствам антивирусной защиты, в настоящее время разрабатываются аналогичные требования с DLP-системам, средствам доверенной загрузки и т.д. Напомним, что разрабатываемые документы базируются на методологии «Общих критериев», требования к различным классам защиты задаются в соответствующих профилях защиты ФСТЭК России в виде совокупности функциональных требований безопасности и требований доверия. Со сравнительным анализом требований доверия, предъявляемых новыми документами ФСТЭК России, можно познакомиться в одной из предыдущих публикаций.

Читать далее

Нужно ли сертифицировать принтеры?

Принтер является одним из основных устройств любой организации, которое выполняет обработку большого количества информации, в том числе сведений, содержащих информацию ограниченного доступа. Как и любое другое средство обработки (защиты) информации ограниченного доступа принтеры должны проходить соответствующие процедуры проверки. В настоящее время в России наиболее распространенной процедурой, выполняемой в отношении принтеров, являются спецпроверки и специсследования. Но не стоит забывать, что современные принтеры работают под управлением программного обеспечения, которое может быть проверено с использованием функционального и структурного тестирования.

Понимая необходимость задания критериев безопасности информации к принтерам, NIAP (организация, регулирующая сертификацию средств защиты информации в США) и IPA (регулирует сертификацию в Японии) ведут в настоящее время совместную разработку профиля защиты для принтеров (многофункциональных устройств) — Protection Profile for Multifunction Printers.

Читать далее

Новые тенденции сертификации по Common Criteria

Организация NIAP (National Information Assurance Partnership), регулирующая сертификацию средств защиты информации в США, в октябре опубликовала несколько профилей защиты, которые могут интересы в свете последних тенденции в системе сертификации, регулируемой ФСТЭК России.

Опубликованы (ссылка):

  • профиль защиты VPN-клиента — Protection Profile for IPsec Virtual Private Network (VPN) Clients;
  • профиль защиты системы управления мобильными устройствами — Protection Profile for Mobile Device Management Systems;
  • профиль защиты мобильных устройств — Protection Profile for Mobile Devices;
  • профиль защиты VOIP-приложения — Protection Profile for VOIP Applications.

Читать далее