МЕНЮ

Секреты сертификации СЗИ. Как пройти проверку ФСТЭК и не поседеть?Zip File, мамкины хаЦкеры. В прошлом видео мы подробно разобрали тему лицензирования и аттестации. А это значит, что нынче самое время поговорить о пресловутой сертификации СЗИ. Как известно, организация сертификации средств защиты информации возлагается на федеральные органы. ФСТЭК уполномочен решать вопросы в области противодействия тех. разведкам и технической защиты инфы. Всё что касается обеспечения безопасности находится под контролем у ФСБ. Ну а по части обороны от внешних и внутренних бусурманов, у нас в стране есть соответствующее министерство с одноимённым названием. 

Сама же сертификация СЗИ нужна в первую очередь для того, чтобы подтвердить соответствие требованиям безопасности и удостовериться, что используются исключительно сертифицированные средства защиты.

Именно они позволяют снизить вероятность наличия уязвимостей. Ну и в ряде случаев использование этих средств является попросту обязательным. Речь идёт о гостайне, ГИСах и подобных вещах.

В соответствии с 608 положением, всего определяются три ключевые системы сертификации, требующие отдельного внимания со стороны уже упомянутых ранее ведомств. 

В системе сертификации ФСТЭК России, а именно в 55 приказе, сказано, что сертификации подлежат:

● средства противодействия иностранным техническим разведкам (ИТР);

● средства технической защиты информации;

● и средства обеспечения безопасности информационных технологий.

Схематически история с СЗИ работает следующим образом. В вашей компании есть айтишная инфраструктура. Почта, внутрисетевые порталы, 1Ска, различные службы, рабочие станции и т.д.

В теории эта инфраструктура представляет собой абсолютно стерильную среду, без вирусов и общедоступных ресурсов смотрящих во внешку. Однако, на практике, это не всегда так. Вернее всегда не так.

Ведь есть интернет, который полон различных опасностей, тут вам и спам и боты и DDoS-атаки с различным мусорным трафиком. В таких дебрях легитимному трафику, сами понимаете, несладко приходится.

Соответственно задачу у средств защиты сделать так, чтобы во внутреннюю айти среду, независимо от вектора возможных атак, проникал исключительно легитимный стерильный трафик.

Исходя из этого у нас возникают так называемые профили защиты. Это требования безопасности для разных категории ИТшки разрабатываемые ФСТЭКОМ.

Для специализированных операционных систем (ОС), межсетевых экранов (МЭ), средств контроля подключения съёмных машинных носителей (СКН), средств доверенной загрузки (СДЗ), антивирусов, СОВ и других специфических инструментов.

Сертификация СЗИ по ФСТЭКу осуществляется на соответствие:

● требованиям по безопасности информации;

● требованиям по техническим условиям;

● техническим заданиям;

● и заданиям по безопасности.

Схематически процесс сертификации выглядит следующим образом. Сначала заявитель предоставляет айтишную разработку на сертификацию. В испытательной лаборатории над этой историей проводят тестирование.

И если она соответствует требованиям, то орган по сертификации выдаёт заключение, на основании которого ФСТЭК уже одарит вас заветным сертификатом о соответствии их жёстким требованиям.

Иностранным вендерам это сертификацию пройти практически нереально, т.к. на определённом этапе у них запрашивают исходники, которые предоставлять соглашаются плюс-минус никто.

Ну а те кто соглашаются, просят представителей испытательной лаборатории приехать к ним. Что при текущей политической обстановке сами понимаете, весьма затруднительно.

Уровни доверия

В 131 приказе ФСТЭКа обозначены уровни доверия. Т.е. уровни, характеризующие безопасность применения средств для обработки и защиты информации определённого рода.

Уровни доверия устанавливаются к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий.

Всего таких уровней шесть. И как видно из таблицы, для каждой информационной системы он разный. Самый низкий уровень – шестой, а самый высокий – первый.

Требования к уровням доверия можно легко отыскать в открытом доступе. Они абсолютно чёткие, прозрачные и не требуют дополнительных разъяснений и трактовок с моей стороны.

Важно понимать, что для каждого СЗИ, будь то межсетевой экран или навороченная СОВа, разрабатывается профиль защиты, который определяет требования к реализации.

Причём в отношении каждого СЗИ должны быть проведены испытания, предусматривающие: тестирование средства; испытания по выявлению уязвимостей и недекларированных возможностей, а также проведение анализа скрытых каналов в средстве.

Тестирование и анализ скрытых каналов проводятся только для СЗИ. Сами же испытания средств проводятся в ходе сертификационных испытаний и в ходе приёмок.

Более подробно об этом можно почитать в 240 сообщении, выпущенном ФСТЭК 15.10.2020. В нём подробно расписаны требования по безопасности информации, устанавливающих уровни доверия к средствам технической защиты информации.

Уровней контроля тут тоже шесть, как ни странно. В рамках выявления уязвимостей проводится много разных мероприятий: анализ кода; тестирование функций безопасности; исследование потенциальных уязвимостей и т.д.

Руководящий документ по средствам вычислительной техники устанавливаем семь классов защищенности от несанкционированного доступа. Самый низкий класс – седьмой, самый высокий – первый.

Тут важно помнить, что любое приложени или оборудование входящее в состав автоматизированной системы – это всегда потенциальной уязвимость и всё сильно завязано на настройке и правильной безопасной эксплуатации.

Приказы ФСТЭК

В своей повседневной деятельности в качестве безопасника вы всегда будете руководствовать нормативно-правовыми документами ФСТЭКа с требованиями использовать сертифицированные СЗИ.

Так в рамках 17 приказа идёт отсылка к РД СВТ и формирование мер, разделённых на несколько больших групп. Они же перечислены и в 21 приказе, с небольшим дополнением по части выявления инцидентов.

В случае АСУ ТП и КИИ вы также увидите похожие группы мер, включая
выделение в отдельные группы таких активностей, как: обучение персонала, планирование мероприятий и обеспечение действий в нештатных ситуациях.

Окей, друзья. Мы с вами изучили ключевые понятия касающиеся сертификации средств защиты, а также познакомились с требованиями к различным информационным системам.

Попутно разобрались с методикой моделирования угроз для выстраивания систем безопасности и вообще считаю, что нехило так напрягли заспанные извилины.

Если понравилось видео, то не скупимся на лайки. Знаю, что многим заходит с трудом, но ребятушки, надо учиться. Образовываться. А не только вайфай ломать и ратники одноклассникам устанавливать.

Развивайтесь. Только так можно добиться чего-то путного в своей жизни. Если хотите регулярно получать свежую порцию полезной инфы – то обязательно оформляйте подписку на этот ютуб канал.

Заглядывайте в телегу. Там я регулярно поднимаю те темы, которые запрещены на данном видеохостинге. Взломы, хакинг, пентестинг, короче вся запрещёночка – это туда.

Также не забываем, что это видео является частью большого курса по информационной безопасности. С практическими домашними работами, которые совершенно бесплатно выложены на сайте матёрых IT-спецов.

Переходите, прорешивайте задачки. Потому что на одной только голой теории, сами знаете, далеко не уедешь. Поэтому всех жду. Ссылка разумеется будет закреплена в описании.

Ну а с вами, как обычно, был Денчик. До новых встреч, мои кайфные друже. Всем пока.

Не можешь понять, куда делись видео по взломам и хакингу? Они переехали в наш уютный паблик в телеге

telegram chanel

Хочешь больше контента? Подписывайся на YouTube-канал!

Курс «Диплом за неделю»

Пособие «Библия вардрайвинга»

Курс Cisco «CCNA: Introduction to Networks»

© 2024. IT-спец. Денис Курец.