Итоги International Common Criteria Conference 2014

НПО «Эшелон» приняло участие в работе 15-ой Международной конференции по «Общим критериям» (International Common Criteria Conference), которая проходила 9-11 сентября этого года в Нью-Дели, Индия. С докладом «Russian IT Security Certification Scheme: Steps Toward Common Criteria Approach» выступил директор департамента сертификации и тестирования к.т.н., CISSP, CSSLP Александр Барабанов.

Выступление было посвящено российской системе сертификации средств защиты информации (ФСТЭК России) и ее модернизации на основе подхода «Общих критериев». В докладе была приведена краткая историческая справка о системе сертификации, статистическая информация (например, наиболее сертифицируемый тип средств защиты информации в России или наиболее сертифицируемый разработчик), а также рассказано о текущих тенденциях, связанных с разработкой новых нормативных документов, основанных на подходе «Общих критериев».

fot_1

 


С текстом статьи можно ознакомиться по ссылке.

Основной темой конференции было наращивание международного сотрудничества систем сертификации. Напомню, что в настоящее время идет реформа системы сертификации, существующей в рамках соглашения Common Criteria Recognition Arrangement (CCRA). В частности, разрабатываются требования безопасности информации, выраженные в так называемых «совместных профилях защиты» (collaborative protection profile, cPP), существенно снижающие требования доверия, предъявляемые к объектам сертификации. Данный шаг направлен на сокращение сроков сертификации с 2-3 лет до 6 месяцев и обеспечения повторяемости и воспроизводимости результатов испытаний. Например, новые требования доверия не предполагают анализа проектной документации на объект сертификации и анализа исходных текстов с целью выявления уязвимостей и дефектов безопасности кода.

Следует отметить, что совместные профили защиты разрабатываются международными техническими сообществами (international technical communities, iTCs) в состав которых входят представители испытательных лабораторий, органов по сертификации, разработчиков и конечных пользователей. Предполагается, что данные совместные профили защиты будут использоваться всеми участниками CCRA при проведении сертификационных испытаний. В дополнение к профилям защиты разрабатываются методические рекомендации (Supporting Document) для испытательных лабораторий и органов по сертификации, содержащие типовые методики проведения испытаний.

В настоящее время уже разработаны и выложены на публичное обсуждение первые редакции совместных профилей защиты и методических рекомендаций для следующих типов средств защиты информации:

  • сетевые устройства и межсетевые экраны (ссылка);
  • средства шифрования дисков (ссылка).

Одним из итогов конференции стало подписание новой версии международного соглашения Common Criteria Recognition Arrangement, учитывающего использование совместных профилей защиты при проведении сертификационных испытаний.

По-прежнему актуальным остается вопрос обновлений сертифицированных средств защиты информации. Широко обсуждается инициатива системы сертификации США, разрешающая внесение изменений в сертифицированный продукт в течение 24 месяцев со дня получения сертификата без проведения инспекционных контролей.

Одним из ярких впечатлений от конференции осталась церемония вручения выданных в течение года системами сертификации, входящих в соглашение CCRA, сертификатов соответствия.

фото

Как всегда, не обошлось без традиционной фотографии с флагом!

yUSRqTazLNI