Опубликованы профили защиты для операционных систем

На официальном сайте ФСТЭК России опубликованы утвержденные профили защиты для операционных систем.
С профилями защиты для других типов средств защиты информации можно ознакомиться, перейдя по ссылке.

Утвержден национальный стандарт по разработке безопасного программного обеспечения!

Федеральным агентством по техническому регулированию и метрологии (Росстандартом России) утвержден национальный стандарт ГОСТ Р 56939-2016 «Защита информации. Разработка безопасного программного обеспечения. Общие требования», разработанный специалистами НПО «Эшелон»!

Утвержденный стандарт устанавливает общие требования к содержанию и порядку выполнения работ, связанных с созданием безопасного программного обеспечения и формированием (поддержанием) среды обеспечения оперативного устранения выявленных пользователями ошибок программного обеспечения и уязвимостей программы. Стандарт предназначен для разработчиков и производителей программного обеспечения, а также для организаций, выполняющих оценку соответствия процесса разработки программного обеспечения требованиям настоящего стандарта.

Ссылки на некоторые публикации и презентации специалистов НПО «Эшелон» по теме разработанного стандарта представлены далее по тексту:

— статья «28 Магических мер разработки безопасного программного обеспечения» (ссылка);

— статья «Methodological framework for analysis and synthesis of a set of secure software development controls» (ссылка);

— слайды презентации «Как мы писали ГОСТ по SSDL, и что из этого получилось» (ссылка).

Центр компетенции примет участие в International Common Criteria Conference 2014!

ICCC_logo

 

 

 

 

В Индии в Нью-Дели 9-11 сентября состоится ежегодная Международная конференция по «Общим Критериям» — International Common Criteria Conference (ICCC 2014). На Конференции ICCC 2014 от НПО «Эшелон» выступит директор департамента сертификации и тестирования к.т.н., CISSP, CSSLP Александр Барабанов с оригинальным докладом: «Сертификация по требованиям безопасности информации в России: переход на «Общие критерии» (10 сентября, 12.00).

Читать далее

Участие в Startup Village 2014

Эксперты НПО «Эшелон» и Центра Компетенции приняли участие в крупнейшей российской конференции StartupVillage 2014, проходившей 2 и 3 июня 2014 года в Сколково.

Startup Village 2014

Принять участие в круглом столе «ИТ безопасность» были приглашены директор департамента сертификации и тестирования Александр Барабанов и заместитель директора департамента сертификации и аудита кода Михаил Федоров. В своем докладе «Russian IT Security Certification Scheme: New Trends» специалисты НПО «Эшелон» рассказали об основных трендах системы сертификации средств защиты информации, которые затрагивают, в числе прочих, и инновационные стартапы, нацеленные на широкий рынок:

  • переход к «Общим критериям» в качестве основы для оценки изделий информационных технологий по требованиям безопасности информации;
  • предъявление требований к организации инфраструктуры сертифицированных обновлений;
  • предъявление требований к процессу разработки, которые связаны с внедрением цикла безопасной разработки программного обеспечения (проект ГОСТ Р «Защита информации. Требования по обеспечению безопасности разработки программного обеспечения»).

В интересной дискуссии приняли участие ведущие специалисты компаний Cisco, McAfee, Symantec, EMC, InfoWatch и Almaz Capital.

С презентацией можно ознакомится по ссылке.

Центр компетенции: итоги 2013 года

Поскольку у всех серьезных организаций принято подводить итоги ушедшего года, то и мы не будем нарушать это традиции.

В 2013 году специалисты Центра компетенции приняли активное участие в сертификационных испытаниях различных средств защиты информации, проводимых аккредитованной испытательной лабораторией НПО «Эшелон». Отметим наиболее знаковые испытания, выполненные в соответствии с нормативными документами ФСТЭК России нового поколения, основанными на методологии «Общих критериев»:

  • испытания программного обеспечения «McAfee Network Security Platform (версия 7.1) на соответствие требованиям документа ФСТЭК России «Требования к системам обнаружения вторжений» (уровня сети, 5 класс защиты);
  • испытания аппаратно-программного комплекса шифрования «Континент» на соответствие требованиям документа ФСТЭК России «Требования к системам обнаружения вторжений» (уровня сети, 3 класс защиты);
  • испытания программного обеспечения «McAfee Web Gateway» (версия 7.4) на соответствие требованиям документа ФСТЭК России «Требования к средствам антивирусной защиты» (типа «Б», 5 класс защиты).

Все указанные продукты были успешно сертифицированы ФСТЭК России!

Кроме сертификационных испытаний, специалисты Центра компетенции участвовали в ряде экспертиз материалов сертификационных испытаний, проводимых Органом по сертификации НПО «Эшелон».

Специалисты Центра приняли активное участие в работе учебного центра «Эшелон»: был проведен уникальный курс «Сертификация средств антивирусной защиты и систем обнаружения вторжений в соответствии с методологией стандарта «Общие критерии».

В 2013 году Центр компетенции принял участие в ряде научно-технических российских и международных конференциях, в том числе IV международной конференции «Стандартизация, сертификация, обеспечение эффективности, качества и безопасности информационных технологий», IV конференции «Безопасные информационные технологии» (Москва, МГТУ им. Н.Э.Баумана), Microsoft Secure Software Development 2013.

Кроме того, были подготовлен ряд публикаций, посвященных теории и практике сертификационных испытаний средств защиты информации по методологии «Общих критериев».

Сертифицирован антивирус от McAfee!

Компания НПО «Эшелон» объявляет об успешном завершении процедуры сертификационных испытаний программного обеспечения «McAfee Web Gateway» (версия 7.4)  на соответствие требования ФСТЭК России к средствам антивирусной защиты.

По результатам испытаний, проведенных аккредитованной испытательной лабораторией НПО «Эшелон», ФСТЭК России выдан сертификат соответствия №3053, подтверждающий соответствие продукта, разработанного компанией McAfee, Inc. требованиям документов «Требования к средствам антивирусной защиты», «Профиль защиты средств антивирусной защиты типа Б пятого класса» и заданию по безопасности.

В сертификации  принимали участие эксперты Центра компетенции по Общим критериям НПО «Эшелон»!

Первый номер научно-практического журнала «Вопросы кибербезопасности»!

Сообщаем о выпуске первого номера научно-практического журнала «Вопросы кибербезопасности». Этот новый журнал учрежден нашим коллективом (НПО «Эшелон») совместно с Научным центром правовой информации при Министерстве юстиции РФ (рег. номер ПИ № ФС 77 — 55950). На страницах журнала будут печататься научные и методические статьи в области информационной безопасности и информационного противоборства, в первую очередь статьи по кибербезопасности, технической защите информации и оценке соответствия по требованиям безопасности информации.

Содержание 1-го номера журнала «Вопросы кибербезопасности» за 2013 год:

  • Кибербезопасность как основной фактор национальной и международной безопасности ХХI века (Часть 1) / Бородакий Ю.В., Добродеев А.Ю., Бутусов И.В., pdf
  • Кибербезопасность автоматизированных систем управления военного назначения / Зубарев И.В., Жидков И.В., Кадушкин И.В., pdf
  • Анализ и синтез требований к системам безопасности объектов критической информационной инфраструктуры / Чобанян В.А., Шахалов И.Ю., pdf
  • Организационно-технические проблемы защиты от целевых вредоносных программ типа Stuxnet / Марков А.С., Фадин А.А., pdf
  • Стандартизация процесса разработки безопасных программных средств / Барабанов А.В., pdf
  • Опыт выявления уязвимостей в зарубежных программных продуктах / Марков А.С., Цирлов В.Л., pdf
  • Лицензирование деятельности по технической защите конфиденциальной информации / Шахалов И.Ю., pdf
  • Засекречивание речи на каналах связи стандарта GSM / Горшков Ю.Г., pdf
  • Состояние и перспективы развития индустрии информационной безопасности Российской Федерации в 2014 г. / Матвеев В.А., Цирлов В.Л., pdf
  • Cтатус CISSP: как получить и не потерять? / Дорофеев А.В., pdf

В ближайшее время планируется включение журнала в различные индексы цитирования, в т.ч. ВАК РФ.

IV международная конференция «Стандартизация, сертификация, обеспечение эффективности, качества и безопасности информационных технологий»

С 22 по 23 октября в Московском государственном техническом университете радиотехники, электроники и автоматики проходила IV международная конференция «Стандартизация, сертификация, обеспечение эффективности, качества и безопасности информационных технологий». В рамках секции №6 «Сертификация ИТ: процессы, услуги, производство, персонал. Стандарты в области ИТ компетенций. Подготовка специалистов», ведущим которой был Игорь Юрьевич Шахалов, был представлен доклад представителей НПО «Эшелон», посвященный проблеме разработки безопасного программного обеспечения.


 

Сертификация по новым правилам ФСТЭК России: что требуется от разработчика?

Доклад на тему «Сертификация по новым правилам ФСТЭК России: что требуется от разработчика?» с  Infosecurity Russia 2013.


Сертифицирована система обнаружения вторжений от McAfee!

Компания НПО «Эшелон» объявляет об успешном завершении процедуры сертификационных испытаний программного обеспечения «McAfee Network Security Platform (версия 7.1)» на соответствие требования ФСТЭК России к системам обнаружения вторжений. По результатам испытаний, проведенных аккредитованной испытательной лабораторией НПО «Эшелон», ФСТЭК России выдан сертификат соответствия №2907, подтверждающий соответствие продукта, разработанного компанией McAfee, Inc. требованиям документов «Требования обнаружения вторжений» по 5 классу защиты и «Профиль защиты системы обнаружений вторжений уровня сети пятого класса защиты».

Следует отметить, что программное обеспечение «McAfee Network Security Platform (версия 7.1)» является одной из первых систем обнаружений вторжений уровня сети, сертифицированных по новым требованиям ФСТЭК России.