SergNic

Серфтикаты ФСТЭК у Stonesoft

В этой теме 13 сообщений

Кто-нибудь в курсе, Stonesoft все-таки смог продлить свои сертификаты во ФСТЭК на IPS и Firewall, которые в прошлом августе закончились?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Купить то купили, но Stonesoft же вроде на продление подавал. И вот его результатов все нет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Ссылка номер один, есть официальный перечень с сайта ФСТЭКа.

Ссылка номер три, есть блог человека который имеет время и желание отслеживать все изменения в данной области.

Если вопрос для вас принципиален, рекомендую пользоваться обоими источниками для уточнения.

Что касается лицензий, то по обеим ссылкам в списках для продуктов stonesoft крайней датой указан август прошлого года, более подробно про состоянии с сертификацией вам могут рассказать только в самой компании.

Скорее всего они сейчас "в процессе".

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ссылка номер один, есть официальный перечень с сайта ФСТЭКа.

Ссылка номер три, есть блог человека который имеет время и желание отслеживать все изменения в данной области.

Если вопрос для вас принципиален, рекомендую пользоваться обоими источниками для уточнения.

Что касается лицензий, то по обеим ссылкам в списках для продуктов stonesoft крайней датой указан август прошлого года, более подробно про состоянии с сертификацией вам могут рассказать только в самой компании.

Скорее всего они сейчас "в процессе".

На сайт ФСТЭК я и сам могу зайти. Меня интересует, владеет ли кто-нибудь более точной, скажем так, инсайдерской информацией, чем та, которой сам Stonesoft всех кормит - мол, вот-вот будет, и так с осени.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
На сайт ФСТЭК я и сам могу зайти. Меня интересует, владеет ли кто-нибудь более точной, скажем так, инсайдерской информацией, чем та, которой сам Stonesoft всех кормит - мол, вот-вот будет, и так с осени.

Сертификат у них будет, они не могут себе позволить не получить его. Слишком многое на карте. Помешать могут разве что последствия поглощение Stonesoft со стороны McAfee. Вот возьмут в McAfee и зарежут продукт или переименуют. Американским корпоративным бюрократам будет не так просто объяснить, почему задача получения сертфиката может помешать их планам ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

А вот и он:

ПРОДЛЕН СЕРТИФИКАТ ФСТЭК РОССИИ НА STONEGATE FIREWALL/VPN

ООО «Новые технологии безопасности», технологический партнер Stonesoft, a McAfee Group Company, мирового лидера по разработке инновационных решений в сфере обеспечения сетевой безопасности и непрерывности бизнеса, объявляет о получении продленного сертификата ФСТЭК России на межсетевой экран StoneGate Firewall/VPN.

Срок действия сертификата соответствия № 2157 продлен еще на три года, до 16 августа 2016 года, и подтверждает, что решение StoneGate Firewall/VPN версии 5.3.1, является программно-техническим средством защиты информации, не содержащей сведений, составляющих государственную тайну, обрабатываемой в локальных вычислительных сетях с TCP/IP протоколом, от несанкционированного доступа из внешних вычислительных сетей, и соответствуют требованиям руководящих документов «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» (Гостехкомиссия России, 1997) – по 2 классу защищенности, «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей (Гостехкомиссия России, 1999) – по 4 уровню контроля и технических условий.

Также необходимо отметить, что в октябре 2013 года ООО «Новые технологии безопасности» был получен сертификат ФСБ России, подтверждающий соответствие StoneGate Firewall/VPN требованиям, предъявляемым к шифровальным (криптографическим) средствам, предназначенным для защиты информации, не содержащей сведений, составляющих государственную тайну, по классам КС1 и КС2.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Надо заметить, что сертификат ФСТЭК продлен на версию 5.3.1, а сертификат ФСБ выдан на версию 5.3.7.

Вероятно, обе сертифицированные версии работать на одной железке работать не могут. Вопрос - что делать при проверке?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Вероятно, обе сертифицированные версии работать на одной железке работать не могут. Вопрос - что делать при проверке?

Надеяться, что проверяющий будет смотреть только на две первые цифры - 5.3 :)

А если серьезно, то можно сослаться на минорные обновления (патчи). Насколько я знаю, проблему обновления ПО все осознают и поэтому не зверствуют. В противном случае нужно будет сертифицировать каждый апдейт антивируса или IPS, например.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
А если серьезно, то можно сослаться на минорные обновления (патчи). Насколько я знаю, проблему обновления ПО все осознают и поэтому не зверствуют.

Это проблему осознают все производители и специалисты. Проверяющий далек от этих проблем :). А проверять будет по контрольной суммы - так что она не сойдется либо для ФСТЭК, либо для ФСБ.

В противном случае нужно будет сертифицировать каждый апдейт антивируса или IPS, например.

А как же иначе, регулятор только такой вариант и видит. И обоснование логичное - вдруг update содержит backdoor или ослабляет систему защиты. При этом как это (одобрять ежедневные или ежечасные обновления) сделать практически не его задача...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
При этом как это (одобрять ежедневные или ежечасные обновления) сделать практически не его задача...

Говорят, что некоторым вендорам удаётся сертифицировать _процесс_ производства обновлений. И тогда каждое обновление сертифицировать не нужно. Слышал о таком ещё 3 года назад. Говорили, правда, что это очень сложно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Говорят, что некоторым вендорам удаётся сертифицировать _процесс_ производства обновлений. И тогда каждое обновление сертифицировать не нужно. Слышал о таком ещё 3 года назад. Говорили, правда, что это очень сложно.

Компанию, покупающую продукт, не интересует сколько сил и средств было потрачено разработчиком. Если сертификат часть продукта и из-за сертификата продукт и покупают, то хочется получать качественный продукт и "работающий" сертификат...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Поэтому некоторые компании, например, Лаборатория Касперского редко меняют номер корп. версий. KES 6-ка была у них лет пять, выходили MP, которые формально были новыми версиями, но формально это была та же 6-ка.

А вот объяснить буржуям, зачем нужно придерживать изменение версий, наверное нереально.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS