Организация NIAP (National Information Assurance Partnership), регулирующая сертификацию средств защиты информации в США, в октябре опубликовала несколько профилей защиты, которые могут интересы в свете последних тенденции в системе сертификации, регулируемой ФСТЭК России.

Опубликованы (ссылка):

• профиль защиты VPN-клиента — Protection Profile for IPsec Virtual Private Network (VPN) Clients;
• профиль защиты системы управления мобильными устройствами — Protection Profile for Mobile Device Management Systems;
• профиль защиты мобильных устройств — Protection Profile for Mobile Devices;
• профиль защиты VOIP-приложения — Protection Profile for VOIP Applications.

Отметим, что с 2012 года NIAP ведется коренная реформа сертификации по схеме Common Criteria. Основные преобразования следующие:

1. Отказ от понятия «оценочный уровень доверия» (EAL). Опыт проведения сертификации по классическим Common Criteria показал, что во многих случаях невозможно обеспечить повторяемость и воспроизводимость при проведении испытаний (даже при сертификации на EAL3 или EAL4 не всегда удается этого достичь). Новые профили содержат требования доверия, сформулированные на основе «старого» ОУД2.
2. Для обеспечения повторяемости и воспроизводимости  результатов профили защиты дополняются типовыми методиками испытаний (как для требований доверия, так и для функциональных требований безопасности).
3. Справочная информация (например, обоснования требований или целей безопасности) вынесена в приложение к документу.
4. Профили защиты разрабатываются техническими комитетами, в которые, как правило, входят представители разработчиков.
5. Создаются базовые профили защиты и пакеты расширений (Extended Package):

• базовый профиль (например, профиль защиты на сетевое устройство) описывает функции безопасности, характерные для всех сетевых устройств (идентификация/аутентификация администратора, регистрация событий и т.д.);
• пакет расширения базового ПЗ  содержит требования, характерные для конкретного типа СЗИ на базе сетевых устройств (например, межсетевой экран или СОВ).

К реформе уже присоединились другие страны (Англия, Австралия и Канада). Более подробная информация представлена в информационном письме NIAP (ссылка).

В планах NIAP разработка профилей защиты для следующих перспективных типов СЗИ:

• центр сертификации (Certificate Authority) Version;
• KVM переключатели (Peripheral Sharing Switch for Human Interface Devices);
• многофункциональные устройства;
• системы обнаружения вторжений.

Это лишний раз подтверждает актуальность работ, выполняемых ФСТЭК России,  по преобразованию системы сертификации!