Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

Особенности аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по оценке (подтверждению) соответствия в отношении оборонной продукции (работ, услуг), поставляемой по гособоронзаказу.

12/08/2019 

08 мая 2019 г. утверждены новые Правила аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по оценке (подтверждению) соответствия в отношении оборонной продукции работ, услуг), поставляемой по государственному оборонному заказу (постановление Правительства Российской Федерации от 30 апреля 2019 г. № 548).

Новые Правила аккредитации кардинально меняют сложившуюся систему не только аккредитации, но и сертификации СМК предприятий, работающих в области государственного оборонного заказа.

Реклама





Партнеры





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Выбрать дату в календареВыбрать дату в календаре

Страницы: Пред. 1 2 3 4 5 6 7 8
Согласование с ФСТЭК
Если письмо не писать
вопрос останется вопросом...
Согласование с ФСТЭК
Все очень просто.
Пишете письмо в центральный аппарат ФСТЭК России
В котором пишете, что так мол и так создается ИСПДн, использовать собираемся
такие то и такие то средства защиты, просим рассмотреть вопрос об использовании
таких то СрЗИ не прошедших сертификацию (без прохождения сертификации) в соответствии с требованиями
РД НДВ.

И ждите ответа и отслеживайте получние письма и т.п.
Уверен, что просто так не согласуют, необходимо четкое обоснование от Вас и чувство уверенности у ФСТЭК.
[ Закрыто] Межсетевой экран в ИСПДн?, Какие классы межсетевых экранов допускаются для защиты в ИСПДн?
Цитата
Anton пишет:
Добрый день, коллеги! Есть вопрос по поводу сертификации МЭ! Пусть есть софтовый МЭ. Мы его сертифицируем. Потом выходит patch. Мы его накатываем и, как я понимаю, надо заново сертифицировать. Как можно обойти эту проблему?

Распространенный вопрос...
Если это МЭ Вашей разработки то рекомендую постараться и разделить софт на базовую часть, реализующую функции МЭ и остальную часть, которую можно назвать "вспомогательная"
При этом четко указать в документации, что есть неизменная часть (базовые функции) и переменная часть (вспомогательные функции) - которая может меняться не влияя на сертифицированные параметры МЭ.
В процессе сертификации необходимо обосновать и доказать, что часть ПО, реализующая вспомогательные функции может меняться и на сертифицированные параметры это не влияет.
Если меняете ПО своего МЭ полностью или частично то нужно провести инспекционный контроль, при этом необходимо зафиксировать причину внесения изменений в ПО, что поменяли, что изменилось и т.п. И выходить с этим на испытательную лабораторию, которая проводила сертификацию МЭ. В принципе ИЛ подробно расскажет что и как. В принципе, если ИЛ с которой Вы работали Вам надоела - можете обратиться в другую, но это будет повторная сертификация.

В последующем эту часть ПО с вспомогательными функциями можно будет менять. Процедуру обновления рекомендую четко зафиксировать в документации.

Если используете например "всем известный" МЭ и у него появилась новая прошивка
то необходимо проводить Инспекционный контроль - при этом соответствующая испытательная лаборатория должна проверить МЭ с новой прошивкой. И по результатам ИК Федеральный орган по сертификации может распространить действие сертификата на Ваш МЭ с новой прошивкой.

Уточняйте вопрос - уточним ответ...
[ Закрыто] Межсетевой экран в ИСПДн?, Какие классы межсетевых экранов допускаются для защиты в ИСПДн?
2 Prof:

Цитата
Серьезно? А почему Вы так думаете? В ЗБ могут быть определены требования по проверке на уязвимости и скрытые каналы. Иначе говоря, недекларированные возможности. К слову, совершенно очевидно, отсутствие аудита программного кода может свести к нулю любую безопасность (security code reviews - обычная практика на западе).

Тут дело даже не в ЗБ, к которому еще неплохо иметь Профиль. Да еще и выкладывать это ЗБ в открытом виде...
Дело скорее в НДВ по 4 уровню контроля - которое по своему содержанию на мой взгляд БЕЗСМЫСЛЕННО с точки зрения "security code reviews". НДВ вообще имеет отношение больше к качеству а не к "security code reviews".
Тут, кажется, просто заменой не обойтись - нужно подход менять...

Про ТУ - что мусолить вопрос который и так понятен ;-)

Цитата
т.(485)6453810.

Не понял к чему это...Возможно у Вас "7. Указания по эксплуатации" не выполняются ?...
[ Закрыто] Межсетевой экран в ИСПДн?, Какие классы межсетевых экранов допускаются для защиты в ИСПДн?
Откуда берутся ТУ...добавлю от себя...

Необходимо стратифицировать МЭ Cisco например по 3 классу РД МЭ

В соответствии с РД МЭ в испытательную лабораторию необходимо представить кучу документации
которой нет...
К тому же в РД не прописаны типы протоколов и пакетов, которые должны фильтроваться и т.п.
Поэтому необходимы уточнения в каких условиях МЭ выполняет требования РД МЭ для соответствующего класса.

Все эти ограничения (например только IP пакеты и т.п.) как раз в ТУ и прописывают.
Кстати - прежде чем использовать сертифицированные СрЗИ - обязательно ищем документацию и ограничения по использованию. Иногда эти ограничения не позволяют использовать изделие в конкретной системе.
Попробуйте взять средства защиты которые ВЫ давно используете - найдите ТУ, Формуляр другую документацию и внимательно причитайте... если найдете ограничения которые у Вас не выполняются - немедленно звоните на телевидение, радио и сюда конечно отпишитесь...

Вот например Указания по эксплуатации (читай ограничения) из ТУ на
"SECRET NET 5.0 – С"(СЕТЕВОЙ ВАРИАНТ) - читаем очень внимательно...

7. Указания по эксплуатации
7.1. Перед эксплуатацией системы необходимо внимательно ознакомиться с экс-плуатационной документацией.
7.2. Если система не эксплуатировалась в течение длительного периода време-ни, необходимо произвести техническое обслуживание её аппаратных средств.
7.3. В составе компьютера, на который устанавливается система, должны ис-пользоваться программные и технические средства, прошедшие сертификационные ис-пытания. Включение в состав компьютера новых программных средств производится по-сле сертификационных испытаний этих средств.
7.4. Для выполнения системой всех заявленные функций по защите информации от НСД необходима реализация следующих организационно-распорядительных и технических мер:
• проведение специальных проверок технических средств для исключения возможности внедрения электронных "закладок";
• реализация защиты от электромагнитного, акустического и других видов излучения, в том числе проведение специальных исследований технических средств;
• обеспечение сохранности оборудования и физической целостности систем-ных блоков компьютеров;
• ведение журнала учёта работы компьютеров, проведения регламентных ме-роприятий и внесения изменений в конфигурацию технических и программ-ных средств;
• создание административной группы или подразделения, обеспечивающего установку, настройку и сопровождение системы;
• разработка нормативных документов, определяющих порядок допуска поль-зователей к ресурсам компьютера и назначения их полномочий;
• разработка инструкций для пользователей, определяющих обязанности по обеспечению сохранности персональных идентификаторов и паролей, поря-док работы на компьютерах, оснащённых системой;
• обеспечение обязательного выключения компьютера после завершения ра-боты пользователя;
• запрещение предоставления штатным пользователям и обслуживающему персоналу защищённого компьютера привилегий администратора системы;
• реализация мероприятий по антивирусной защите и обеспечение свободной от вирусов программной среды компьютеров;
• определение порядка изменения прикладной программной среды, исключе-ние ввода в компьютер программных средств без гарантированной проверки на наличие программных "закладок";
• запрещение установки на компьютер средств разработки и отладки про-граммного обеспечения;
• запрещение разработки и отладки программного обеспечения на защищён-ном компьютере.
Приказ Минсвязи России 2009 г. N 65, "Об утверждении Требований к сетям и средствам почтовой связи для проведения оперативно-разыскных мероприятий"
Раздумье

Вот задумался - как органы получают разрешение на прослушку телефонов практически...
Интересует вопрос не как и какие бумажки носят в суд и т.п.
Интересует вопрос - как они определяют какой телефон прослушивать ?

Пример 1
ОБЪЕКТ имеет 25 SIM карточек 24 из которых он раздал родственникам

Пример 2
ОБЪЕКТ пользуется телефоном и SIM картой которые зарегистрированы на другое лицо - опять же подарили...

Вопрос - как определить кого слушать и что делать если ошиблись... По идее надо слушать всех )))
Страницы: Пред. 1 2 3 4 5 6 7 8