ФСТЭК России не будет сертифицировать ИБ-средства без техподдержки

ФСТЭК России не будет сертифицировать ИБ-средства без техподдержки

ФСТЭК России не будет сертифицировать ИБ-средства без техподдержки

Федеральная служба по техническому и экспортному контролю хочет внести изменения в свое «Положение о системе сертификации средств защиты информации». Предложенные поправки, в частности, вводят запрет на сертификацию продуктов иностранного производства, использование которых ограничено российским законодательством, а также продуктов, для которых техподдержка не предусмотрена.

Действующее на территории РФ «Положение о системе сертификации средств защиты информации» ФСТЭК утвердила приказом от 3 апреля 2018 (№ 55). Оно вступило в силу 1 августа того же года. Пользуясь случаем, регулятор решил также осовременить некоторые формулировки и внести уточнения, необходимость которых показала практика. Новый пакет поправок пока вынесен на суд общественности.

Самые большие изменения прочит новая редакция пп. 3 и 14. Первый определяет средства защиты данных, подлежащие сертификации; его предложено дополнить абзацем следующего содержания:

«Сертификация средств защиты информации иностранного производства, в отношении которых нормативными правовыми актами Российской Федерации установлены ограничения или запреты на их использование в Российской Федерации, в системе сертификации ФСТЭК России не осуществляется».

В пункт 14 (о сроках действия сертификата соответствия) ФСТЭК хочет добавить условия действия сертификата — соответствие требованиям по безопасности и гарантированная техподдержка со стороны заявителя. Также новая формулировка уточняет сроки действия сертификата соответствия, убирая ныне действующие ограничение «до пяти лет». Так, серийно производимые средства защиты предложено считать сертифицированными, если они произведены до окончания срока действия сертификата на серийное производство, а для единичного образца или партии срок действия сертификата устанавливаться не будет.

Продление срока действия сертификата новая редакция «Положения» не предусматривает. Сейчас такой вариант прописан в пункте 15, который регулятор хочет упразднить.

В раздел «Сертификационные испытания» предлагается внести изменения, четко разграничив сферы ответственности испытательных лабораторий и органов сертификации. Первым по-прежнему вменяется в обязанность подготовка испытаний: прием и изучение документации (сроки при этом более не ограничиваются), знакомство с образцами, их отбор, а также проведение испытаний и документирование результатов.

Органы сертификации теперь не будут участвовать в подготовке — только утверждать программы и методики, составленные испытательными лабораториями, а также передавать эту информацию ФСТЭК.

Формулировки раздела «Маркирование средств защиты информации» предлагается модернизировать, введя определение «идентификатор» (вместо знака соответствия). Его формат выглядит следующим образом: РОСС RU.01.ХХХХХ.ХХХХХХ, где первая группа знаков указывает на систему сертификации ФСТЭК России, вторая отображает номер сертификата соответствия (число от 00001 до 99999), третья — заводской или серийный номер образца (тоже число от 00001 до 99999). Заявитель может также добавить свое наименование, фирменный знак или имя средства защиты.

Этот идентификатор наносится на корпус изделия, съемный носитель с программным обеспечением сертифицированного средства защиты информации, а также указывается в его паспорте.

Не светите ключами в соцсетях: по фото можно напечатать рабочий дубликат

Фотография с ключами в руке может оказаться не такой милой, как кажется. Специалист по кибербезопасности Эван Оттингер показал, что по обычному снимку ключа из соцсетей можно сделать рабочую копию, для этого не нужна лаборатория злодея из кино.

Оттингер — типичный ред тимер, по заказу компаний имитирует реальные атаки, проверяет защиту сетей и иногда даже физическую безопасность зданий.

По его словам, люди постоянно выкладывают фото ключей — от обычных пользователей до знаменитостей. А зря.

Если на фотографии хорошо виден профиль и нарезка ключа, их можно проанализировать, восстановить геометрию и изготовить копию. Оттингер использовал открытые инструменты для декодирования ключей, графический редактор и 3D-принтер. В итоге эксперимент сработал: пластиковый ключ, напечатанный по данным со снимка, оказался пригоден для открытия замка.

 

Сам исследователь признаёт, что сначала тоже сомневался: «Да ладно, не может же это реально работать?» Оказалось, что может. Более того, для подготовленного человека весь путь от скачанного фото до готового ключа может занять около 10-15 минут.

Главная проблема в том, что такой способ не похож на взлом в привычном смысле. В отличие от отмычек, использование копии ключа не оставляет очевидных следов на замке. Для прохожих всё выглядит нормально: человек просто открыл дверь своим ключом. Именно такие сценарии, по словам Оттингера, и заставляют специалистов по безопасности нервничать.

Ключи нужно воспринимать как пароли. Их не показывают крупным планом, не выкладывают в сторис и не держат перед камерой ради красивого поста. Если очень хочется поделиться радостью о новом доме, лучше закрыть зубцы ключа рукой, размыть их или вообще сфотографировать брелок.

Оттингер также советует не полагаться только на один замок. Камеры, сигнализация и другие уровни защиты делают дом менее удобной целью.

RSS: Новости на портале Anti-Malware.ru