Главная » Блоги Экспертов И ИТ-Компаний » ИБ. Новое положение ФСТЭК о системе сертификации СЗИ

ИБ. Новое положение ФСТЭК о системе сертификации СЗИ

Коллеги, информирую. С 1 августа 2018 года вступило в силу новое Положение о системе сертификации средств защиты информации, утвержденное приказом ФСТЭК России N 55 от 3 апреля 2018 г. 
В основном оно рассчитано на разработчиков СЗИ. Но есть некоторые новые ньюансы, интересные пользователям и лицензиатам:
·         теперь официально разрешено применять СЗИ после окончания срока действия сертификата ФСТЭК (сертификат был, но срок закончился), до того момента пока производитель оказывает техническую поддержку СЗИ или ФСТЭК явно не отзовет сертификат
·         в соответствии с этим ФСТЭК уже убрали на своем сайте из реестра сертификатов СЗИ - сроки действия. Теперь важен только сам факт выдачи сертификата (наличие записи в реестре)
Но ФСТЭК поспешили. Кроме эксплуатации, нам нужно ещё покупать или планировать покупку СЗИ. А продать сертифицированное СЗИ с истекшим сроком сертификата производитель не может.
В то же время путь от формирования потребности может занять время – в среднем у крупных закзачиков и гос. органов это занимает год. И тут раньше мы планировали наперед: смотрели когда заканчивается срок действия сертификата и получали от производителей официальные/гарантийные письма о продлении сертификата. Теперь же такого инструмента для планирования у нас нет. В самый неподходящий момент закупки мы можем столкнуться с тем, что СЗИ “неожиданно” пропадет из реестра ФСТЭК
·         более четко прописана маркировка СЗИ. ФСТЭК выдает производителю Знаки соответствия с уникальными номерами. Производитель маркирует знаком соответствия ими корпус ТС (если аппаратное СЗИ) или формуляр. в формуляре указывается уникальный номер.        То есть, если у пользователя нет знака соответствия или не указан его уникальный номер - то у него не сертифицированное СЗИ
Надеюсь теперь будет больший порядок в поставках, сертифицированных СЗИ. Потому что ранее с этим была постоянная головная боль – производители не маркировали СЗИ знаками соответствия или не указывали уникальные номера для них
·         но теперь официально озвучен вариант распространения, сертифицированного СЗИ по сети связи (скачивание), в котором маркировка производится "с применением ЭП или любым способом, подтверждающим подлинность средств защиты информации". Пока непонятно как это может быть. Наверное, в рамках сертификации каждый производитель будет согласовывать со ФСТЭК, как конкретно он будет распространять через Интернет.
Пока непонятно как это будет работать. На проверке регулятора пользователь должен иметь возможность доказать, что у него именно сертифицированное СЗИ. Не понятно, как это сделать при скачанном из Интернета дистрибутивом
·         официально прописано что это обязанность заявителя на сертификацию/разработчика - устранение багов, подготовка обновлений ПО, предоставление пользователю обновлений ПО, а также изменений эксплуатационной документации. По сути пользователям разрешено устанавливать обновления, устраняющие уязвимость, до окончания инспекционного контроля со стороны ФСТЭК
PS: Послабления никак не затрагивают тех ситуаций, когда производитель обещал получить сертификат, но не получил его. То есть сертификата вообще нет. Например, отсутствие сертификата соответствия новым РД по межсетевым экранам. 
С этим на самом деле большая проблема cтем, что большая часть производителей МЭ не получила сертификаты на соответствие их новым РД ФСТЭК. Например, из анализа Алексея Комарова видно что сейчас есть только 1 ! межсетевой экран уровня хоста. Тут просто монополия.   Также проблема с выбором СЗИ сертифицированных по новым РД, если нам нужен МЭ + СОВ. Выбор очень мал.
А если учесть, что в соответствии с новым Положением, сложность получения производителями сертификатов только возрастет (будет проверятся процесс исправлений и обновлений), то как бы количество сертифицированных СЗИ ещё не уменьшилось.
PPS: ещё одна проблема – то что от ФСБ России нет подобного положения и никаких подобных послаблений.  Если так совпало, что СЗИ у нас имеет сертификат ФСТЭК и сертификат ФСБ. То при выходе обновлений, устраняющих уязвимости - мы не сможем их установить, пока производитель не сертифицирует обновление в ФСБ. Та же проблема с истечением срока сертификата ФСБ – тут нам никто не давал разрешения использовать (на мои письма ФСБ отвечали - нельзя)


Источник: http://sborisov.blogspot.com/2018/08/blog-post 24.html


Данный материал является частной записью члена сообщества Club.CNews.
Редакция CNews не несет ответственности за его содержание.
1 месяц назад | тэги: ИБ, СЗИ, СОИБ, ФСТЭК, сертификация
Комментарии
Другие публикации
RU, Краснодар
https://docshell.ru/, https://docshell.ru/
Информационные технологии

Забыл пароль?
Авторизоваться через
Зарегистрируйся сейчас!
Присоединяйся к нашему обществу для того чтобы познакомиться с новыми людьми, создать собственный блог, публиковать анонсы событий и объявления, а также участвовать в обсуждении публикаций CNews. Мы создали единое пространство для общения специалистов рынка информационных технологий и всех, кто интересуется современными технологиями. Регистрация =>