International Common Criteria Conference-2014
В качестве докладчика удалось принять участие в 15-ой Международной конференции по «Общим критериям» (International Common Criteria Conference), которая проходила 9-11 сентября этого года в Нью-Дели, Индия.
Выступление было посвящено российской системе сертификации средств защиты информации (ФСТЭК России) и ее модернизации на основе подхода «Общих критериев». В докладе была приведена краткая историческая справка о системе сертификации, статистическая информация (например, наиболее сертифицируемый тип средств защиты информации в России или наиболее сертифицируемый разработчик), а также рассказано о текущих тенденциях, связанных с разработкой новых нормативных документов, основанных на подходе «Общих критериев».
С текстом статьи можно ознакомиться по ссылке.
Основной темой конференции было наращивание международного сотрудничества систем сертификации. Напомню, что в настоящее время идет реформа системы сертификации, существующей в рамках соглашения Common Criteria Recognition Arrangement (CCRA). В частности, разрабатываются требования безопасности информации, выраженные в так называемых «совместных профилях защиты» (collaborative protection profile, cPP), существенно снижающие требования доверия, предъявляемые к объектам сертификации. Данный шаг направлен на сокращение сроков сертификации с 2-3 лет до 6 месяцев и обеспечения повторяемости и воспроизводимости результатов испытаний. Например, новые требования доверия не предполагают анализа проектной документации на объект сертификации и анализа исходных текстов с целью выявления уязвимостей и дефектов безопасности кода.
Следует отметить, что совместные профили защиты разрабатываются международными техническими сообществами (international technical communities, iTCs) в состав которых входят представители испытательных лабораторий, органов по сертификации, разработчиков и конечных пользователей. Предполагается, что данные совместные профили защиты будут использоваться всеми участниками CCRA при проведении сертификационных испытаний. В дополнение к профилям защиты разрабатываются методические рекомендации (Supporting Document) для испытательных лабораторий и органов по сертификации, содержащие типовые методики проведения испытаний.
В настоящее время уже разработаны и выложены на публичное обсуждение первые редакции совместных профилей защиты и методических рекомендаций для следующих типов средств защиты информации:
Одним из итогов конференции стало подписание новой версии международного соглашения Common Criteria Recognition Arrangement, учитывающего использование совместных профилей защиты при проведении сертификационных испытаний.
По-прежнему актуальным остается вопрос обновлений сертифицированных средств защиты информации. Широко обсуждается инициатива системы сертификации США, разрешающая внесение изменений в сертифицированный продукт в течение 24 месяцев со дня получения сертификата без проведения инспекционных контролей.
Одним из ярких впечатлений от конференции осталась церемония вручения выданных в течение года системами сертификации, входящих в соглашение CCRA, сертификатов соответствия.
Как всегда, не обошлось без традиционной фотографии с флагом!
Possibly Related Posts:
- Ежегодная международная молодежная научно-практическая конференция «Информационная безопасность в банковско-финансовой сфере» (в рамках VI Международного форума Финансового Университета)
- Круглый стол по противодействию киберугрозам на «Армии 2019»
- GDPR: Новые правила обработки персональных данных в EU
- В России хотят создать мегарегулятора информационной безопасности, взяв пример с США
- В России готовят налоговые льготы для компаний, занятых информационной безопасностью
Эксперт сообщества Александр Барабанов
Выпускник МГТУ им. Н.Э.Баумана по специальности "Комплексное обеспечение информационной безопасности автоматизированных систем". Доцент кафедры "Информационная безопасность" МГТУ им. Н.Э. Баумана, кандидат технических наук, CISSP, CSSLP.
Рубрика: Cтандарты, Общие критерии. Вы можете следить за отзывами через RSS 2.0. Вы можете оставить отзыв, или трекбек со своего сайта.