Формирование требований к DLP-системам

В «Вестнике МГТУ им. Н.Э. Баумана» опубликована статья «Формирование требований к сертификационным испытаниям DLP-систем по требованиям безопасности информации». В работе представлен подход к формированию методического аппарата проведения сертификации DLP-решений по требованиям безопасности информации, в основу которого положен базис стандарта «Общие критерии». Представленный подход может применяться при оценки соответствия DLP-решений требованиям безопасности информации для увеличения детерминированности данного процесса.

Полный текст статьи доступен по ссылке.

Уникальный учебный курс от НПО «Эшелон»

С 25 по 28 февраля 2013 года учебный центр «Эшелон» провел новый уникальных курс ‑ «Сертификация средств антивирусной защиты и систем обнаружения вторжений в соответствии с методологией стандарта «Общие критерии».
Данный курс был разработан специалистами компании НПО «Эшелон», в первую очередь, из-за актуальности данной темы: в ближайшее время сертификация практически всех средств защиты информации (СЗИ) в системе сертификации ФСТЭК России будет проводиться в соответствии с новой нормативной базой, построенной на методологии стандарта ГОСТ Р ИСО/МЭК 15408 («Общие критерии»). Ситуация осложняется тем, что при проведении сертификационных испытаний, помимо самого средства защиты разработчик должен представить в испытательную лабораторию большой объем документов, которые демонстрируют, что проектирование и разработка выполнены корректно, само СЗИ способно правильно выполнять функции защиты информации в соответствии с новыми нормативными документами ФСТЭК России.
Следует отметить, что процесс сертификационных испытаний с точки зрения испытательной лаборатории отличается от «классического» подхода. Испытательной лабораторией помимо стандартных документов должны быть подготовлены свидетельства оценщика, которые должны содержать заключения о соответствии СЗИ предъявляемым требованиям безопасности информации. Именно поэтому курс был разделен на два отдельных модуля: модуль для экспертов испытательных лабораторий  и модуль для разработчиков и поставщиков СЗИ.

Обучение в области применения методологии «Общие критерии» при разработке и сертификации средств защиты информации проводили ведущие специалисты-практики компании «НПО «Эшелон», имеющие большой опыт в проведении сертификационных испытаний СЗИ и экспертизе материалов испытаний в качестве экспертов органов по сертификации.

Основные вопросы, ответы на которые получили слушатели курса следующие:

  • как проводить сертификационные испытания и документировать полученные результаты?
  • как разрабатывать и оценивать задания по безопасности?
  • как разрабатывать свидетельства оценщика и разработчика?
  • как разрабатывать тестовые процедуры?
  • что такое функциональная спецификация и зачем он нужна?
  • как анализировать глубину и покрытие тестовыми процедурами?
  • как проводить поиск и анализ уязвимостей исходных текстов?

Курс посетили представители испытательных лабораторий (ОАО «СИНКЛИТ», ООО НТЦ «Фобос-НТ») эксперты 8 управления ГШ ВС РФ, и представители организаций-разработчиков СЗИ (Symantec и Dr.Web).

Компания НПО «Эшелон» планирует проводить данные семинары на постоянной основе. Подробную информацию можно получить на сайте Учебного центра «Эшелон» и Центра компетенции по стандарту «Общие критерии».

OWASP Top 10-2013 Release Candidate 1

Международной организацией OWASP подготовлена первая редакция рейтинга 10 распространенных уязвимостей веб-приложений — «OWASP Top 10 2013 Release Candidate 1». Лидеры — прежние: A1 «Injection», A2 «Broken Authentication and Session Management», A3 «Cross-Site Scripting (XSS)».

Основные изменения по сравнению с публикацией 2010 года следующие:

  • уязвимость типа «Cross-Site Request Forgery (CSRF)» с пятой позиции опустилась на восьмую;
  • добавлена уязвимость типа «использование компонент, содержащих известные уязвимости» («Using Known Vulnerable Components»)
  • уязвимость 2010-A8 «Failure to Restrict URL Access» сформулирована более широко (2013-A7 «Missing Function Level Access Control») и описывает класс уязвимостей, связанных с ошибками в механизмах контроля доступа, а не только в механизме URL;
  • уязвимости A7 «Insecure Cryptographic Storage» и A9 «Insufficient Transport Layer Protection» объединены в новый тип уязвимости 2013-A6 «Sensitive Data Exposure».

С текстом документа можно ознакомиться, перейдя по ссылке.

Новые учебные курсы по «Общим критериям»

Компания НПО «Эшелон» анонсирует запуск новых учебных курсов, посвященных применению новых нормативных документов ФСТЭК России в области сертификации средств защиты информации.
Читать далее

Профиль защиты для операционных систем

На сайте программы США по сертификации средства защиты информации —NIAP Common Criteria Evaluation and Validation Scheme for IT Security — опубликован профиль защиты для операционных систем общего назначения («General-Purpose Operating System Protection Profile», ссылка).

Особый интерес вызывает тот факт, что помимо самого профиля защиты опубликованы и методические материалы для разработчиков и оценщиков подобного рода операционных систем. В рекомендациях, например, содержится информация о процедуре проведения анализа уязвимостей, функционального тестирования и анализа документации.

Выражаем надежды, что и подобные методические документы в скором времени будут опубликованы и для новых нормативных документов ФСТЭК России!

Как писать технический отчет об оценке?

Технический отчет об оценке (ТОО) — основной документ, создаваемый испытательной лабораторией по результатам сертификационных испытаний в соответствии с требованиями ИСО/МЭК 15408 (например, при проведении испытаний СОВ и САВЗ в соответствии с новыми требованиями ФСТЭК России). ТОО — аналог протокола проведения испытаний, содержащего отчет о фактических действиях, выполненных экспертами лабораторий, а также заключение по результатам испытаний. Рассмотрим, что же должно содержаться в ТОО.

Читать далее

В помощь разработчикам и оценщикам средств защиты информации

Переход ФСТЭК России от «классической» сертификации к новым нормативным документам, основанным на методологии стандарта «Общие критерии», потребует разработки методической документации в помощь как разработчикам средств защиты информации, так и оценщикам (испытательным лабораториям). Приведу небольшой анализ существующих документов, которые могут быть использованы разработчиками и оценщиками при подготовке и проведении сертификации.

Читать далее

Требования доверия: анализ уязвимостей

Новые нормативные и методические документы ФСТЭК России в области сертификации (требования к САВЗ и СОВ) требуют от экспертов испытательных лабораторий при проведении сертификации выполнять независимый анализ уязвимостей объекта оценки (ОО).

Читать далее

Новые публикации на сайте

На сайте опубликованы следующие материалы, которые могут быть полезны разработчикам и заявителям при подготовке своих средств защиты к процедуре сертификации в соответствии с новой нормативной базой ФСТЭК России:

  • Сравнительный анализ требований «классических» и новых документов ФСТЭК России (pdf);
  • Требуемый состав документации и процедур разработчика при сертификации по новым нормативным документам ФСТЭК России (pdf).

Напомним, что Центр компетенции оказывает весь спектр услуг по сертификации средств защиты информации в соответствии с требованиями новых нормативных документов ФСТЭК России.

Особенности испытания в соответствии с положениями новой нормативной базы ФСТЭК России

Сертификация изделий информационных технологий (ИТ) в соответствии с требованиями новой нормативной базы ФСТЭК России выполняется для одного из преопределенных оценочных уровней доверия (ОУД). Стандарт «Общие критерии» определяет семь ОУД (самый слабый – ОУД 1). Следует отметить, что ОУД 3 и ОУД 4 в настоящее время являются наиболее применимыми при проведении сертификации, ОУД 5 – ОУД 7 применяются при сертификации изделий ИТ, планируемых к использованию в ситуациях чрезвычайно высокого риска и/или там, где высокая ценность активов оправдывает более высокие затраты на разработку и сертификацию.

Читать далее