Классы средств защиты информации - Форум по вопросам информационной безопасности

Адрес документа: http://lib.itsec.ru/forum.php?sub=15239&from=0

К списку тем | Добавить сообщение


Автор: Александр | 78645 09.10.2017 08:33
Коллеги, вопрос простой: в каком документе приводится описание классов СЗИ?

В Приказе № 17 есть предложения:

>>>26. Технические меры защиты информации реализуются посредством применения средств защиты информации, в том числе программных (программно-аппаратных) средств, в которых они реализованы, имеющих необходимые функции безопасности. При этом:
-в информационных системах 1 класса защищенности применяются средства защиты информации не ниже 4 класса, а также средства вычислительной техники не ниже 5 класса;
-в информационных системах 2 класса защищенности применяются средства защиты информации не ниже 5 класса, а также средства вычислительной техники не ниже 5 класса;
-в информационных системах 3 класса защищенности применяются средства защиты информации 6 класса, а также средства вычислительной техники не ниже 5 класса.

Посмотрел 3 РД ФСТЭК, ни в одном не нашёл классов СЗИ.
Смотрел эти РД:
- РД "Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации"
- РД "Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей"
- РД. Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации Показатели защищенности от несанкционированного доступа к информации".



Автор: oko | 78662 09.10.2017 09:42
По-моему, мы с вами это уже обсуждали в другой ветке форума (могу ошибаться)...
Профили защиты же. Это новый (относительно) подход ФСТЭК к сертификации. Не по старым РД...
Плохо искали: http://fstec.ru/tekhnicheskaya-zashchita-informatsii/dokumenty-po-sertifikatsii/120-normativnye-dokumenty

Автор: 12345 | 78663 09.10.2017 09:45
РД "Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации"

Автор: Александр | 78721 09.10.2017 10:56
oko, 12345, спасибо за ответы, но видимо всё-таки классы СЗИ прописаны в РД "Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации", а не в профилях защиты или РД АС.

Сужу об этом по содержанию сертификатов ФСТЭК, например, на "Панцирь-К", "Dallas Lock 8.0-C". В сертификатах указывают РД, на соответствие которым сертфицируется СЗИ.

Автор: malotavr | 78794 09.10.2017 12:44
> oko, 12345, спасибо за ответы, но видимо всё-таки классы СЗИ прописаны в РД

Все-таки нет. Ну вы сами подумайте, как вы будете применять РД СВТ к антивирусам, МЭ и т.п.?

Если для данного вида средств защиты есть профили защиты, они сертифицируютя на эти профили. В этом случае класс СЗИ определяется профилем защиты, на соответствие которому проводилась сертификация. Если для данного вида СЗИ были старые РД (как в случае с РД МЭ), ФСТЭК выпускает информационное сообщение, что теперь нужно руководствоваться требованиями профилей защиты.

РД СВТ применяется только к некоторым СЗИ, которые изначально написаны для того. чтобы выполнять требования РД СВТ и для которых нет профилей защиты. Например, операционную систему, даже если она соответствует требованиям РД СВТ, вы тем не менее обязаны сертифицировать на соответствие профилю защиты на ОС, и класс защиты будет определяться профилем.

Автор: oko | 78809 09.10.2017 12:55
to malotavr
+1

Автор: Александр | 78816 09.10.2017 13:53
malotavr, спасибо за разъяснение.
oko, извините, что усомнился в Вашем ответе.

Автор: sekira | 78817 09.10.2017 14:13
Остается только открытый вопрос про классы (и профили) к СЗИ НСД.

Автор: oko | 78818 09.10.2017 14:33
to sekira
Думается мне, что останется по классу СВТ. Поправьте, если ошибаюсь, но до сих пор неразбериха: действующая АС + навесные СЗИ_НСД = АСЗИ (защищенные СВТ, ага)? Плюс, слишком много уже сертифицированных и рабочих СЗИ НСД (много больше, чем те же АВЗ, МЭ, СОВ и проч.) Поэтому не осмысленно получается...

to Александр
У меня было стойкое чувство дежа вю, поэтому не стал полностью объяснять (спасибо, тов. malotavr). Вообще, по первой в этом деле сам черт ногу сломит. Давно пора все (вообще все) РД к чертям отменить, но альтернативная нормативка, мягко говоря, пока не очень...

Автор: sekira | 78819 09.10.2017 15:23
"Поправьте, если ошибаюсь"
классы СВТ не соотносятся с требованиями 17 приказа.

В информационных системах применяются средства защиты информации, сертифицированные на соответствие обязательным требованиям по безопасности информации, установленным ФСТЭК России, или на соответствие требованиям, указанным в технических условиях (заданиях по безопасности). При этом функции безопасности таких средств должны обеспечивать выполнение настоящих Требований (17 приказ).

СВТ мало надо фразы про классы ГИС в сертификате. Раньше было НДВ для 1-2 классов и это фразы не было.

Автор: oko | 78824 09.10.2017 19:19
to sekira
Более-менее соотносятся. Просто реализуют далеко не все требования (как в ГТ пока, ага). Например, СВТ-5 не имеет в своем составе функционала защиты ввода/вывода МНИ - для этого предусмотрена теперь сертификация КСМНИ. ОПС, которая ЗПС, ее опять-таки в составе СВТ-5 нет, в 17 Приказе есть, и во всех существующих СЗИ НСД она тоже (худо-бедно) реализована. Тут скорее люфт допустимый, чем бага...
<Раньше было НДВ для 1-2 классов и это фразы не было> - требование по НДВ никуда не делось, оно и сейчас есть. А лишние фразы в сертификате (аля для ГИС до такого-то класса включительно), imho, избыточная информация. Печальный опыт ESET это как бы подтверждает...

Просмотров темы: 23325


Copyright © 2004-2019, ООО "ГРОТЕК"

Rambler's Top100 Rambler's Top100