S3R

Экспертам аккредитованных испытательных лабораторий и органов по сертификации ФСТЭК России, а так же разработчикам средств защиты информации, возможно, будет полезно познакомиться с профилем защиты на системы обнаружения вторжений уровня сети, разработанным организацией NIAP (National Information Assurance Partnership, регулирует сертификацию средств защиты информации в США) и опубликованном на их официальном сайте (ссылка).

Данный профиль защиты, а точнее пакет расширения (Extended Package), разработан в ходе реформы системы сертификации CommonCriteria. Кратко напомним основные нововведения:

Читать полностью »

Эксперты НПО «Эшелон» приняли участие в крупнейшей российской конференции StartupVillage 2014, проходившей 2 и 3 июня 2014 года в Сколково.

Принять участие в круглом столе «ИТ безопасность» были приглашены директор департамента сертификации и тестирования Александр Барабанов и заместитель директора департамента сертификации и аудита кода Михаил Федоров. В своем докладе «Russian IT Security Certification Scheme: New Trends» специалисты НПО «Эшелон» рассказали об основных трендах системы сертификации средств защиты информации, которые затрагивают, в числе прочих, и инновационные стартапы, нацеленные на широкий рынок:

• переход к «Общим критериям» в качестве основы для оценки изделий информационных технологий по требованиям безопасности информации;
• предъявление требований к организации инфраструктуры сертифицированных обновлений;
• предъявление требований к процессу разработки, которые связаны с внедрением цикла безопасной разработки программного обеспечения (проект ГОСТ Р «Защита информации. Требования по обеспечению безопасности разработки программного обеспечения»).

В интересной дискуссии приняли участие ведущие специалисты компаний Cisco, McAfee, Symantec, EMC, InfoWatch и Almaz Capital.

Следует отметить, что компания «Эшелон Инновации», входящая в состав группы компаний НПО «Эшелон», уже получила статус участника проекта инновационного центра«Сколково»: в рамках центра компания развивает свое инновационное решение — облачную платформу тестирования качества и безопасности программных приложений.

3 и 4 июня 2014 года в Москве прошла II Международная научно-практическая конференция «Управление информационной безопасностью в современном обществе».
Целью конференции являлся анализ проблем и разработка научно-практических рекомендаций по совершенствованию деятельности в сфере  управления информационной безопасностью.

На конференции выступили эксперты компании «Эшелон» с  докладами на актуальные темы:

• «Сертификация средств защиты информации в Российской Федерации: переход на общие критерии». Александр Барабанов, CISSP, CSSLP, директор департамента сертификации и тестирования.
• «Централизация управления безопасностью сетей на основе SIEM-систем». Андрей Фадин, Главный конструктор компании.

Необходимо отметить, что под руководством Главного конструктора компании Андрея Фадина была разработана система управления событиями информационной безопасности «КОМРАД».

Комплекс «КОМРАД» предназначен для оперативного оповещения и реагирования на внутренние и внешние угрозы информационной безопасности, а также контроля выполнения требований по безопасности информации.  Внедрение комплекса позволяет создать единую точку  сбора информации различных событий информационной безопасности (заражение вирусным ПО, проведение сетевой атаки, неуспешные попытки входа в систему и др.).
Централизованный сбор данных о событиях информационной безопасности дает возможность проводить нетривиальный анализ с максимальной автоматизацией процесса и оперативно реагировать на выявляемые угрозы безопасности.

Комплекс поддерживает различные типы отчетов, например: перечень объектов сети, сигналы об угрозах, список инцидентов в области безопасности, список обнаруженных уязвимостей, общее состояние сети, доступность узлов сети, сетевая статистика, отметки об устранениях найденных недостатков и др.

В мае этого года возможности комплекса «КОМРАД» были продемонстрированы в рамках III Международной выставки вооружения и военно-технического имущества «KADEX -2014» (Астана, Казахстан). Со всеми разработками НПО «Эшелон» в этом году можно будет ознакомиться на крупнейшей выставке по информационной безопасности InfoSecurity Russia 2014, которая пройдет с 24-го по 26-ое сентября в Москве.

Продлено действие сертификата Минобороны России №1499 на комплекс «Рубикон» до 12 мая 2019 года. В соответствии с данным сертификатом «Рубикон» можно использовать в автоматизированных системах военного назначения для защиты информации, составляющей государственную тайну, с грифом до «СС» включительно.
Имеющийся сертификат подтверждает выполнение требований Приказа МО РФ, в том числе:

• Требования руководящего документа «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей» (Гостехкомиссия России, 1999) — по 2 уровню контроля;
• Требования руководящего документа «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» (Гостехкомиссия России, 1997) — по 2 классу защищенности;
• Требования по соответствию реальных и декларируемых в документации функциональных возможностей.

Комплекс «Рубикон» сочетает в себе функционал межсетевого экрана, системы обнаружения вторжений, криптошлюза и др. С помощью «Рубикона» можно организовать однонаправленный шлюз для разделения сегментов сети с различными уровнями секретности.

Преимуществами комплекса является его стабильность, широкие возможности по масштабируемости и возможность кастомизации под конкретные нужды заказчика.
Необходимо отметить, что комплекс «Рубикон» также сертифицирован ФСТЭК России.

Подробную информацию о  комплексе «Рубикон» можно получить, направив запрос по электронной почте на адрес: sales@npo-echelon.ru

ФСТЭК

Идёт сбор подписей в поддержку общественной инициативы о передаче  полномочий по регулированию использования шифровальных (криптографических) средств защиты информации в Российской Федерации Федеральной службе по техническому и экспортному контролю (ФСТЭК России).

В качестве аргументов авторы инициативы указывают на драматическое отставание систем сертификации  средств защиты информации от современного темпа развития IT-технологий.

По мнению авторов, «более открытый и прогрессивных характер»(с) деятельности ФСТЭК позволит снять «непосильное бремя»(с) удовлетворения «нескольких регуляторов (…) одной и той же сферы защиты информации ограниченного доступа» с «отделов и служб по защите информации различных организаций».

Приведя аргументы в защиту своей точки зрения на регулирование использования криптографических средств защиты информации, авторы, однако, не дают обзора альтернативных, м.б. реализованных в других, более развитых в области IT странах, вариантов управления такой чувствительной к ошибкам и степени компетентности экспертов регуляторов области современных IT.

Несомненно, реформы в данной сфере назрели. Однако, к преобразованиям необходимо подходить взвешенно и без излишней поспешности. Преобразования такого масштаба не могут пройти бесследно и безвредно для участников процесса.

Сертификация криптографических СЗИ — только вершина айсберга. Система профессиональной подготовки и образования в области криптографии также развита больше в системе ФСБ, чем ФСТЭК.

Экспертной группе, если инициатива наберёт 100К голосов, придётся столкнуться со сложной задачей.