Сертификация ПО по информационной безопасности

[alexgr 556]

как по мне для импортных продуктов есть еще одна пролема - технический трафик уходит за границу. Например, при установке Бита, даже триала, он спрашивает про регистрацию, но даже при ответе "нет" он отправляет некоторую информацию. Поэтому говоря о сертификации, для некоторых продуктов у меня есть сомнения, что факт существования технического трафика в заграницу кто-то исследовал - на предмет что и куда отправляется

[A. 875]

как по мне для импортных продуктов есть еще одна пролема - технический трафик уходит за границу. Например, при установке Бита, даже триала, он спрашивает про регистрацию, но даже при ответе "нет" он отправляет некоторую информацию. Поэтому говоря о сертификации, для некоторых продуктов у меня есть сомнения, что факт существования технического трафика в заграницу кто-то исследовал - на предмет что и куда отправляется

alexgr - а в чем проблема проснифать траффик и посмотреть что именно и куда идет ? Задача на уровне первого класса кул-хацкерской школы скрипт-киддисов.

и уж конечно - это давно уже всеми заинтересованными сторонами сделано (с обоих сторон линии фронта). было бы там что-то "криминальное" - шум бы по всей Галактике стоял.

[STALK:ER 0]

Олег Рагозин

Что-то вы загнули, как мне кажется... Что-то напоминает "Все у......ы, а я хороший"... покупайте меня...

[Иван 290]

Что касается Sophos, например. То новые версии софта выходят раз в полгода примерно. Сертификация занимает несколько месяцев. Итого сертифицированный продукт можно продавать максимум 2 месяца. Кроме того, система автоматического обновления может незаметно для пользователя поменять версию софта и т.п. Другими словами более мощного сдерживающего фактора для иностранного вендора нежели сертификация, выдумать сложно.

Олег вы же не жалуетесь на то, что для успешных продаж в крупные компании приходится получать сертификаты Микрософт на продукты, подписывать у них драйвера, получать циско кампатибал и другие подобные сертификаты?

Не жалуетесь! ну так и не надо жаловаться на необходимость сертифицировать продукты в фстэк и фсб.

А насчет расхолаживания отечественных вендоров протекционизмом государства - это простите бред. Как правильно тут сказали та же ЛК работает в коммерческом российском секторе и работает на западе, у нее и без государственных органов есть стимул к развитию продуктов.

А такой беспредел с наличием с требований к сертификации как творится в России сейчас расхолаживает не отечественного производителя, а того же Софоса, которому видите ли не досуг проходить сертификацию. Микрософтовскую проходите - будьте милосьтивы проходить и российскую блин.

[Chaman 0]

Может и глупый вопрос, но всеже. Принимает ли ФСБ на тестирование, для выдачи соответствующего сертификата, зарубежные антивирусы?

[Иван 290]

код прндоставь и сертифицируй

Добавлено спустя 19 минут 41 секунду:

кстати, Олег Рогозин, у вы лукавите, у вас нет сертификата ФСТЭК на текущие версии продуктов, все что у вас есть - на версию 4.5

03.06.2008 Sophos Anti-Virus Средство антивирусной защиты "Sophos Anti-Virus" версии 4.5, для операционных систем Microsoft Windows 95/98/Me на соответствие ТУ

03.06.2008 Sophos Anti-Virus Средство антивирусной защиты "Sophos Anti-Virus" версии 4.5, для операционной системы Microsoft Windows NT 4.0 на соответствие ТУ

03.06.2008 Sophos Anti-Virus Средство антивирусной защиты "Sophos Anti-Virus" версии 4.5, для операционных систем Microsoft Windows XP/2000/2003 Server на соответствие ТУ

И тока не говорите, что там версии выпускаются 2 раза в год и вы типа не успеваете сертифицировать - ваш сертификать получен 03.06.2005, с тех пор могли бы обновить.

вот например у МИкрософт проблемы с этим нет

15.05.2007 15.05.2010 Microsoft ISA Server 2006 SE программный комплекс Microsoft Internet Security and Acceleration Server 2006 Standard Edition - имеет оценочный уровень доверия ОУД 1 (усиленный) по РД «Безопасность информационных технологий. Критерии оценки безопасности информационных технологий» для систем до 1Г включительно и по 4/3(при ограничениях) классу МЭ

Cisco тоже регулярно несколько раз в год сертификаты получает

20.07.2007 20.07.2010 Cisco PIX 535 Межсетевой экран Cisco PIX 535 ver. 7.0(4) по 4 классу МЭ

10.07.2007 10.07.2010 Cisco 7600 Программный межсетевой экран для маршрутизаторов Cisco 7600 - по 4 классу для МЭ и на соответствие ТУ

[alexgr 556]

alexgr - а в чем проблема проснифать траффик и посмотреть что именно и куда идет ? Задача на уровне первого класса кул-хацкерской школы скрипт-киддисов.

и уж конечно - это давно уже всеми заинтересованными сторонами сделано (с обоих сторон линии фронта). было бы там что-то "криминальное" - шум бы по всей Галактике стоял

Вот их пока и не подавали на сертификацию. Подадут - шум поднимется. а сейчас это касается только пользователя, который с этим согласен, поскольку в большинстве случаев его это не волнует вовсе.

[Олег Рагозин 10]

Что-то вы загнули, как мне кажется... Что-то напоминает "Все у......ы, а я хороший"... покупайте меня...

Вы слишком все упрощаете. Не надо так плоско смотреть на мнения.

А насчет расхолаживания отечественных вендоров протекционизмом государства - это простите бред. Как правильно тут сказали та же ЛК работает в коммерческом российском секторе и работает на западе, у нее и без государственных органов есть стимул к развитию продуктов.

Собственно то, что вендоры, у которых нет проблем с сертификацией, будут защищать ее до конца, я и не сомневаюсь. Ведь это дает им неоспоримое конкурентное преимущество. Ничего нового.

Добавлено спустя 10 минут 57 секунд:

кстати, Олег Рогозин, у вы лукавите, у вас нет сертификата ФСТЭК на текущие версии продуктов, все что у вас есть - на версию 4.5

И где же я лукавлю? Текущая версия антивируса - 7. То есть эта самая версия сменилась с тех пор много раз. То есть сертификат есть и он валиден, только не на последнюю версию. Таким образом и строятся сегодня предложения:

1. Хотите версию с сертификатом, вот вам допотопная

2. Хотите полный функционал, и чтобы современная была - откажитесь от требования к сертификату.

У нас в портфеле много вендоров, не только антивирусных, и такая же беда наблюдается сегодня у DeviceLock, например.

Далее. Людей интересует, будет ли программа самообновляться в течение срока действия лицензии. Это актуально, количество угроз растет, ПО защиты должно соответствовать современным требованиям. Но, самообновился у вас антивирус до следующей версии, а сертификат будет только через 2-4 месяца. А тут проверка. Что человеку прикажете в этой ситуации делать?

[Lex 25]

Но, самообновился у вас антивирус до следующей версии, а сертификат будет только через 2-4 месяца. А тут проверка. Что человеку прикажете в этой ситуации делать?

Откатываться на сертифицированную. Проходили такой сценарий с чекпойнтом не раз.

[Chaman 0]

1. Хотите версию с сертификатом, вот вам допотопная

2. Хотите полный функционал, и чтобы современная была - откажитесь от требования к сертификату.

Т.е. сертификат - тормоз безопасности, ради безопасности "вчерашнего дня".

Как же быть сегодня, сейчас!!! Вирусы же не дремлют.

[Иван 290]

В конце марта президент РФ подписал указ О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена". Согласно указу, госорганы, в частности, должны использовать только те средства защиты своих информационных ресурсов, которые прошли сертификацию в Федеральной службе безопасности и получили подтверждение соответствия в Федеральной службе по техническому и экспортному контролю.

http://www.rian.ru/interview/20080415/105103579.html

[Antal 45]

Микрософтовскую проходите - будьте милосьтивы проходить и российскую блин.

Совершенно верно майкрософтовскую значит пройти и радостно поставить значок об этом на продукт считают многие хорошим тоном, а вот значит Российская тормозит развитие продуктов путается под ногами идти мешает. Я думаю, что уважать сертификацию которая более выгодна не есть хороший тон !!!

[mike__1 0]

Как много копий ломается о сертификацию.

Иван судя по всему и есть сотрудник того органа за который так ратует

а если по сути : Думаю никто не сомневается в том, что сертификация нужна.

Сильно смущает реализация .....

Давайте реально посмотрим : многие ругают сертификацию ФСТЭК = но она кстати очень напоминает сертификацию Американского минобороны .... (есть требования и есть критерии соответствия ), однако если глянуть на сертификацию ФСБ = сплошная завеса тайны и совершенно непонятные критерии, закрытый стиль работы - мы скажем плохо или хорошо но не скажем почему ....

Каждая сертификация - например Майкрософт, или например ICSA и другие имеют четкие критерии и кучу документации описывающей процесс сертификации, описывая цели сертификации и то, как их достигать. Поэтому участвуя в такой сертификации понимаешь зачем тратятся деньги и цель сертификации.

с ФСТЭК - более или менее понятно, пишутся руководящие документы похожие кстати на западные и есть более или менее четкие критерии чему соответствовать. Проблема того, что они написаны криво и часто получаются сертификаты говорящие что этот антивирус = это антивирус .... проблема компенентности наших специалистов написавших данные документы = никто не мешает делать тболее глубокие тесты, проблема только в том, что надо описать и сказать чему конкретно надо соответствовать . Согласен, если оборудование защищает гос секреты, там могут быть требования которые недоступны для широкой публики - но критерии можно показывать и в закрытом виде или давать замечания конкретные по устранению - но это тема закрытая. Я говорю про конфиденциалку..

В случае с ФСБ все прямо противоположно .... Требования например к межсетевым экранам примерно такие же, но обязательно дай исходники и их почему то надо обязательно хранить в данном ведомстве ..... При этом критерии оценки экранов непонятны = впечатление что они зависят от настроений тех кто сертифицирует.....

А дальше начинаются долгие круги разных согласований .... Модель нарушителя и др .... (для конфиденциалки можно было бы и что то более современное придумать ).

Если смотреть на такую систему со стороны подающего продукт на сертификацию - то ( я конечно ничего не имею ввиду .... ) похоже на систему вымогания.....

Ну и что в итоге ? Что после того, как означенные эксперты просмотрят исходный код дыр в безопасности станет меньше ?

у нас уже есть сертифицированные версии Windows всеми органами, а дыры все находят и находят .....

Нет бекдоров ? Вы всерьез думаете что реально проанализировав миллионы строк кода за такой короткий промежуток и такими ресурсами ( а они очень скудные ...) что то найти ?

Или например под закон о персональных данных теперь везде будет применяться шифрование сертифицированное с достаточно высоким классом ( иностранным средствам практически невозможно сертифицироваться на такой класс несмотря на встроенные российские средства)

что кто то всерьез думает что это решит проблему воровства баз данных и т.д.????

Зато появляется возможность (соблазн) например отдельным сотрудникам передать исходники какой нибудь фирме ... Есть страховки /?

Например у одной фирмы очень в короткий срок несколько лет назад появился шифратор IP ... опять же ничего не имею ввиду - но странно ....

Поэтому и критикуется эта система - если бы она была прозрачной и четко регламентированной = вопросо не было бы ...

[Сергей Ильин 1538]

Список сертифицированных продуктов изменился. Недавно ВирусБлокАда получила сертификат ФСТЭК (№1671) на отсутствие недекларированных возможностей, а у Доктор Веб сертификат соответствия ФСТЭК (№ 591) на программный комплекс средств защиты информации «Антивирусный пакет Doctor Web» закончился. Нового пока нет на сайте.

Кроме этого, у Доктор Веб истекла Лицензия ФСТЭК РФ на проведение работ, связанных с созданием средств защиты информации

[Lex 25]

Че-то прям по доктору как на танке

[Сергей Ильин 1538]

Собираю данные по сертификации, заметил истечение срока действия сертификата и лицензии. Может не обновили просто на сайте, всякое бывает. Кстати, Докторовской лицензии Минобороны тоже жить осталось полтора месяца.