S3R

Полезная новость  для администраторов и аудиторов безопасности, а также профессионалов, занимающихся оценкой СЗИ и контролем соблюдения требований защищенности сетей:
Во ФСТЭК России прошло процедуру инспекционного контроля средство анализа защищенности Сканер-ВС.

Сканер-ВС представляет собой мобильную доверенную среду, которая может быть запущена на любом компьютере сети, она не зависит от установленной операционной системы и не мешает функционированию других программ. Сканер-ВС позволяет без дополнительных затрат на покупку оборудования организовать действующее место администратора безопасности или запустить аудит безопасности сети без подключений дополнительных машин.

Среди нового функционала прошедшего инспекционный контроль необходимо отметить следующие нововведения:

• добавлен модуль гарантированной очистки информации на носителях;
• добавлен модуль контрольного суммирования файлов, папок, а также посекторного суммирования для машинных носителей информации;
• добавлен модуль аудита установленных обновлений ОС Windows;
• добавлен модуль анализа защищенности беспроводных (Wi-Fi) сетей;
• модуль системного аудита теперь позволяет анализировать историю веб-браузеров (IE, Firefox, Opera), а также перечень подключенных Wi-Fi сетей в ОС Windows;
• модуль поиска остаточной информации теперь поддерживает новые форматы бинарных файлов, а также интегрирован с модулем гарантированной очистки информации;
• модуль локального аудита паролей теперь поддерживает механизм радужных таблиц (rainbow tables), позволяя теперь устанавливать приоритет между различными методами атак на пароли;
• модуль сканирования безопасности теперь работает через веб-интерфейс, увеличена скорость сканирования, число модулей обнаружения уязвимостей выросло более чем на 30%, все отчеты по безопасности теперь имеют централизованное хранение, что делает возможным построение аналитики состояния безопасности сети за любой период времени, стоит отметить и нововведения удобные для пользователей крупных локальных сетей: сканирование по расписанию и уведомление о его результатах по e-mail администратора безопасности;
• исправлены мелкие баги и ошибки в содержимом отчетов;
• добавлены новые режимы загрузки (текстовой и режим совместимости со средствами виртуализации VirtualBox).

Напомним, что Сканер-ВС имеет сертификат  ФСТЭК России №2204 от 13 ноября 2010 г. удостоверяющий, что Сканер-ВС является средством автоматизированного анализа защищенности и обнаружения уязвимостей автоматизированных систем и соответствует требованиям технических условий, а также требованиям РД НДВ по 4 уровню контроля.

Также на Сканер-ВС получен сертификат Минобороны России по требованиям Приказа МО РФ № 58, в том числе на соответствие требованиям РД НДВ по 2 уровню контроля и реальных и декларированных в документации функциональных возможностей, т.е. Сканер-ВС может использоваться для защиты гостайны, включая «сов. секретно».

Возвращаясь опять к теме сертификационных испытаний средств защиты информации и безопасных программ, заметим, что нам приходится постоянно сталкиваемся с множеством простых подобных вопросов, связанных в большинстве случаев с недопониманием сути и процессов сертификации.

Чтобы как-то прояснить ситуацию, мы набросали небольшую публикацию в журнале «Открытые системы. СУБД» в целях ликбеза.

• Сертификация программ: мифы и реальность / А.С.Марков и В.Л.Цирлов // Открытые системы. СУБД. 2011. № 6. С.26-29.

Часто возникают споры, что такое оценка и подтверждение соответствия, когда они обязательно нужны, в какой форме, в чем специфика относительно области технической защиты информации и ИБ?
Дело в том, что основным источником полемики выступает ФЗ-184 «О техническом регулировании». Но Закон, как известно, в явном виде никак не касается технической защиты информации, поэтому хотелось бы чуть абстрагироваться от политесов. В этом случае весьма любопытна международная нормативная практика, например, есть международный стандарт ISO 17000 (аналог — ГОСТ Р ИСО/МЭК 17000-2009).

В этом стандарте под оценкой соответствия, вообщем-то, понимается доказательство того, что заданные требования к продукции, процессу, системе, лицу или органу выполнены . Допускается, что доказательство может быть прямым или косвенным, формальным или неформальным. По ИСО 17000 выдача документально оформленного заявления (удостоверения) о соответствии заданным требованиям называют подтверждением соответствия. Примерами таких заявлений могут быть сертификаты, аттестаты,  заключения, выданные официальными органами по оценке соответствия.

Совокупность участников, правил, процедур и менеджмента, используемых для выполнения оценки соответствия, представляет собой некую систему оценки соответствия. В нашей стране в области безопасности информации примерами таких систем являются федеральные обязательные системы сертификации Минобороны России, СВР России, ФСБ России и ФСТЭК России, а также добровольные системы сертификации по безопасности информации.

Базовыми видами деятельности по оценке соответствия являются:

• испытание,
• контроль,
• сертификация,
• аккредитация органов по оценке соответствия.

В области информационной безопасности примерами видов деятельности по оценке соответствия или их процедурами являются сертификация средств защиты информации, аттестация объектов информатизации, лицензирование деятельности, аккредитация органов, лабораторий, центров, различные виды испытаний и контроля по требованиям безопасности информации, а также аудит безопасности программных средств, информационных систем и систем менеджмента информационной безопасности.

С точки зрения независимости (для нашей страны читай — достоверности) доказательства оценки соответствия различают деятельность трех сторон:

• первая сторона, представляющая объект оценки, например: корпорация-разработчик или поставщик;
• вторая сторона, заинтересованная в объекте оценки как ее пользователь, например, представитель заказчика (военная приемка);
• третья сторона, независимая от первой и второй сторон, например, аккредитованная испытательная лаборатория.

К примеру, средства защиты информации подлежат оценке соответствия в форме обязательной сертификации. Аккредитованные органы сертификации и испытательные лаборатории, участвующие в процессе сертификации, должны быть независимы, т.е. являться третьими сторонами. В тоже время аттестация объектов информатизации может быть проведена самой организацией, т.е. первой стороной. Однако подтверждение соответствия первой стороной называется декларированием (декларацией) о соответствии.  Получается, что аттестация (которая в документах ФСТЭК России определена как часть сертификации) может быть на деле каким-то там декларированием. 🙂

Приведем примеры видов деятельности и объектов оценки соответствия по требованиям безопасности информации.

 * лицензиат ФСТЭК может аттестовать любые ОИ, не отнесенные к гостайне.

Справедливости ради следует сказать, что область определений и терминов по оценке соответствия имеет весьма размытые рамки. Например, в славном ГОСТ ИСО 17000-2009 под подтверждением соответствия понимают выдачу документа (заявления) о соответствии или несоответствии, а вот в Законе № 184-ФЗ «О техническом регулировании»   написали, пардон-мадам, что это вид деятельности: сертификация или декларация (точнее декларирование, декларация — это документ)…

Триумф и стагнация Отечественного Военно-промышленного комплекса: Империя, СССР, РФ. История, перспективы…

В продолжение к информации о Международной выставке InfoSecurity Russia 2011 надо сказать, что в пятницу утром на стенде пройдет презентация народного бестселлера «Российский оборонно-промышленный комплекс: история, современное состояние, перспективы» / Алексашин А.А., Гарбук С.В., Губинский А.М., предисловие: Алешин Б.С. – М.: Изд-во Московского университета, 2011. – 240 с.

Презентацию фолианта проведет ее автор — кандидат технических наук научный эксперт компании «Эшелон» Сергей Гарбук, т.е., есть шанс приобрести книгу даром и с автографом автора.

Компания Эшелон примет участие в международной выставке Infosecurity Russia 2011, которая будет проходить с 28-го по 30-е сентября 2011 года в г. Москве в ЭкоЦентре «Сокольники (4-й павильон). ЗАО «НПО «Эшелон» представит лучшие свои продукты и услуги в области информационной безопасности.

На стенде компании С40.2 запланированы выступления и мастер-классы ведущих экспертов:

28-е сентября

12:00–12:30 «Персональные данные: как защитить и не потерять деньги?», Михаил Егоров

14:00–14:30 «Не надо бояться ISO 27001!», Александр Дорофеев

15:00–15:30 «Вся правда о лицензиях на защиту информации», Игорь Шахалов

16:00-16:30 «Криминалистическая экспертиза фонограмм с помощью ПО «Эксперт-МВА», Юрий Горшков

29-е сентября

12:00–12:30 «Сертификация СЗИ — это просто?», Михаил Никулин и Алексей Марков

13:00–13:30 «Обучение информационной безопасности от настоящих практиков», Александр Дорофеев

14:00–14:30 «Оценка соответствия в свете нового закона «О персональных данных», Геннадий Аносов

15:00–15:30 «Межсетевой экран «Рубикон» — непробиваемая защита для сетей особого назначения», Олег Гудков и Александр Клянчин

30-е сентября

12:00–12:30 «Сканер-ВС: сертифицированный инструмент для этичного хакера», Андрей Фадин

13:00–13:30 «Особенности сертификации программных продуктов иностранного производства», Виталий Вареница и Валентин Цирлов

14:00–14:30 «Мастер-класс по тестированию на проникновение», Сергей Ложкин и Александр Дорофеев

В рамках выставки будет проходить конференция, в которой от лица нашей команды выступит директор по развитию Александр Дорофеев с докладом «Политики и процедуры ИБ для тех, кто «в танке». Выступление состоится 28 сентября в Зале №2 в секции «Управление информационной безопасностью и управление затратами на информационную безопасность» (11.00-13.45).

Также компания «Эшелон» принимает участие в программе тестирования возможностей программных средств и проводит 29-го сентября конкурс среди молодых специалистов по использованию средства комплексного анализа защищенности «Сканер-ВС».

Для того чтобы получить билет на выставку Вам необходимо пройти электронную регистрации по следующей ссылке:

http://direct.groteck.ru/?action=accept-proposal&proposal=940