В рамках рубрики Клуб специалистов мы продолжаем публикацию книги А.В.Лукацкого заблуждения и Мифы информационной безопасности
Алексей Лукацкий — менеджер по формированию
бизнеса Cisco Systems
Данный хороший миф довольно часто возможно слышать из уст людей, каковые не привычны с руководящими документами отечественных регуляторов в области информационной безопасности, касающихся испытания соответствия тех либо иных средств защиты созданным ФСТЭК либо ФСБ требованиям. Это совсем не так.
В случае если взглянуть на существующие документы, на соответствие которым и проверяются средства защиты (документы ФСБ не рассматриваются):
• Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации.
• Автоматизированные совокупности. Защита от несанкционированного доступа к информации. Классификация автоматизированных требования и систем по защите информации
• Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа. Показатели защищенности от несанкционированного доступа к информации
• Защита от несанкционированного доступа к информации. Часть 1. ПО средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей
• Профиль защиты Контролируемый доступ (ПЗ КД)
• Профиль защиты Меточная защита
• Профиль защиты Операционные совокупности
• Профиль защиты Одноуровневые операционные совокупности
• Профиль защиты Многоуровневые операционные совокупности
• Профиль защиты Операционные совокупности. Клиентские операционные совокупности
• Профиль защиты Совокупности управления базами данных
• Профиль защиты Межсетевые экраны корпоративного уровня
• Профиль защиты Межсетевые экраны провайдерского уровня
• Профиль защиты Средства построения виртуальных локальных вычислительных сетей
• Профиль защиты Средства построения виртуальных частных вычислительных сетей
• Профиль защиты Удостоверяющие центры инфраструктуры открытых ключей
• Профиль защиты Билинговые совокупности
• Профиль защиты Средства защиты ресурсов компьютера от несанкционированного доступа на начальной стадии его загрузки.
Ни в одном из этих документов, нет ни одного критерия, связанного с работоспособностью тестируемой совокупности. Более того, на заре становления совокупности сертификации средств защиты в Российской Федерации, на рынке систематично оказались продукты, каковые имели сертификат, но были неработоспособны, систематично «вешали» защищаемую совокупность и всегда сбоили.
на данный момент такое практически не видится, но критерии оценки средств защиты с момента их разработки в первой половине 90-ых годов двадцатого века так и не изменялись.
Моделирование угроз по ФСТЭК
Похожие заметки:
-
Миф #x2116;29 тестам средств защиты в журналах можно доверять
-
Миф #x2116;12 антивирусные компании всегда знают обо всех вредоносных программах
-
Миф #x2116;10 существуют вирусы, воздействующие на здоровье человека
-
Миф #x2116; 15 я могу без всякого риска открывать почтовые сообщения от известных мне адресатов