Исследовательская лаборатория фирмы «анкад»
-
Upload
ancud-ltd -
Category
Technology
-
view
64 -
download
0
Transcript of Исследовательская лаборатория фирмы «анкад»
2
Сертификация деятельность по подтверждению соответствия характеристик средств защиты информации требованиям государственных стандартов и иных нормативных документов по защите информации
Системы сертификации, существующие на территории РФ
• Система сертификации ФСТЭК – система сертификации средств защиты информации по требованиям информационной безопасности;
• Система сертификации ФСБ – система сертификации средств криптографической защиты информации и система сертификации средств защиты информации по требованиям безопасности для сведений, составляющих государственную тайну;
• Система сертификации МО.
3
Участники системы сертификации: • Центральный орган сертификации;
• Испытательные центры (лаборатории);
• Заявители.
• разрабатывает программы и методики испытаний;
• в соответствии с методиками проводит сертификационные испытания;
• оформляет отчеты, протоколы и технические заключения по результатам испытаний и передает их в органы по сертификации.
Испытательная лаборатория:
5
Виды продукции, подлежащие испытаниям
Программные средства защиты информации от несанкционированного доступа (НСД) и программных закладок;
1
2 Защищенные программные средства обработки информации;
3 Программно-технические средства защиты информации;
6
Виды продукции, подлежащие испытаниям
Программное обеспечение информационных и телекоммуникационных систем, в которых обрабатывается информация, не содержащая сведения, составляющие гос. тайну, и взаимодействующее с сертифицированными средствами криптографической защиты;
4
Программное обеспечение, предназначенное для использования в информационных и телекоммуникационных системах органов государственной власти РФ, в которых обрабатывается информация, не содержащая сведений, составляющих гос. тайну.
5
7
clsz.fsb.ru/accred.htm
Виды сертификационных испытаний
Исследование функциональных свойств продукции на соответствие требованиям нормативных документов ФСБ и требованиям информационной безопасности
Проверки на соответствие требованиям нормативных и руководящих документов по защите информации от
НСД
Проверка на соответствие реальных и
декларированных в документации
функциональных возможностей
Проверка на отсутствие недокументированных
возможностей
8
Примеры проведенных
работ
Проверка на отсутствие недокументированных возможностей в сервере удаленного управления АПМДЗ
Проверка на отсутствие недокументированных возможностей консоли администратора управления и
мониторинга АПМДЗ
Исходный код общим объемом ~1,3 Мб (сервер – 520 Кбайт, консоль – 844 Кбайт) или 20 000 строк.
9
АРМ пользователя(со встроенным АПМДЗ)
Контролируемый контур технических средств
пользователя
Сервер управления АПМДЗ
АРМ Адинистратора централизованного
управления и мониторинга
Нативный клиент
Контролируемый контур серверной части
Единая консоль управления и
мониторинга АПМДЗКлиент Open VPN
Модифицированный протокол OpenVPN
Ope
nVP
N
Перспективы
Текущие работы
Проверка ядра Linux собственной сборки версии 4.4 «АнкадОС-4.4» на отсутствие недокументированных возможностей
• криптографический анализ
• инженерно-криптографический анализ
10
Почему мы можем это делать
11
• опыт разработки средств криптографической защиты
• участие в процессе сертификации в качестве заявителя
• знание требований по информационной безопасности, видов и методик проверок
Зачем это нужно
• экономия ВРЕМЕНИ и средств на сертификационные исследования
• помощь партнерам
• повышение качества собственной продукции
• расширение компетентности