Миф 22 сертификат фстэк гарантирует работоспособность системы

В рамках рубрики Клуб специалистов мы продолжаем публикацию книги А.В.Лукацкого заблуждения и Мифы информационной безопасности

Алексей Лукацкий — менеджер по формированию
бизнеса Cisco Systems

Данный хороший миф довольно часто возможно слышать из уст людей, каковые не привычны с руководящими документами отечественных регуляторов в области информационной безопасности, касающихся испытания соответствия тех либо иных средств защиты созданным ФСТЭК либо ФСБ требованиям. Это совсем не так.

В случае если взглянуть на существующие документы, на соответствие которым и проверяются средства защиты (документы ФСБ не рассматриваются):

• Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации.

• Автоматизированные совокупности. Защита от несанкционированного доступа к информации. Классификация автоматизированных требования и систем по защите информации

• Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа. Показатели защищенности от несанкционированного доступа к информации

• Защита от несанкционированного доступа к информации. Часть 1. ПО средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей

• Профиль защиты Контролируемый доступ (ПЗ КД)

• Профиль защиты Меточная защита

• Профиль защиты Операционные совокупности

• Профиль защиты Одноуровневые операционные совокупности

• Профиль защиты Многоуровневые операционные совокупности

• Профиль защиты Операционные совокупности. Клиентские операционные совокупности

• Профиль защиты Совокупности управления базами данных

• Профиль защиты Межсетевые экраны корпоративного уровня

• Профиль защиты Межсетевые экраны провайдерского уровня

• Профиль защиты Средства построения виртуальных локальных вычислительных сетей

• Профиль защиты Средства построения виртуальных частных вычислительных сетей

• Профиль защиты Удостоверяющие центры инфраструктуры открытых ключей

• Профиль защиты Билинговые совокупности

• Профиль защиты Средства защиты ресурсов компьютера от несанкционированного доступа на начальной стадии его загрузки.

Ни в одном из этих документов, нет ни одного критерия, связанного с работоспособностью тестируемой совокупности. Более того, на заре становления совокупности сертификации средств защиты в Российской Федерации, на рынке систематично оказались продукты, каковые имели сертификат, но были неработоспособны, систематично «вешали» защищаемую совокупность и всегда сбоили.

на данный момент такое практически не видится, но критерии оценки средств защиты с момента их разработки в первой половине 90-ых годов двадцатого века так и не изменялись.

Моделирование угроз по ФСТЭК


Похожие заметки:

Понравилась статья? Поделиться с друзьями: