International Common Criteria Conference-2014
В качестве докладчика удалось принять участие в 15-ой Международной конференции по «Общим критериям» (International Common Criteria Conference), которая проходила 9-11 сентября этого года в Нью-Дели, Индия.
Выступление было посвящено российской системе сертификации средств защиты информации (ФСТЭК России) и ее модернизации на основе подхода «Общих критериев». В докладе была приведена краткая историческая справка о системе сертификации, статистическая информация (например, наиболее сертифицируемый тип средств защиты информации в России или наиболее сертифицируемый разработчик), а также рассказано о текущих тенденциях, связанных с разработкой новых нормативных документов, основанных на подходе «Общих критериев».
[slideshare id=39344262&doc=barabanoviccc20142-140921105138-phpapp02]
С текстом статьи можно ознакомиться по ссылке.
Основной темой конференции было наращивание международного сотрудничества систем сертификации. Напомню, что в настоящее время идет реформа системы сертификации, существующей в рамках соглашения Common Criteria Recognition Arrangement (CCRA). В частности, разрабатываются требования безопасности информации, выраженные в так называемых «совместных профилях защиты» (collaborative protection profile, cPP), существенно снижающие требования доверия, предъявляемые к объектам сертификации. Данный шаг направлен на сокращение сроков сертификации с 2-3 лет до 6 месяцев и обеспечения повторяемости и воспроизводимости результатов испытаний. Например, новые требования доверия не предполагают анализа проектной документации на объект сертификации и анализа исходных текстов с целью выявления уязвимостей и дефектов безопасности кода.
Следует отметить, что совместные профили защиты разрабатываются международными техническими сообществами (international technical communities, iTCs) в состав которых входят представители испытательных лабораторий, органов по сертификации, разработчиков и конечных пользователей. Предполагается, что данные совместные профили защиты будут использоваться всеми участниками CCRA при проведении сертификационных испытаний. В дополнение к профилям защиты разрабатываются методические рекомендации (Supporting Document) для испытательных лабораторий и органов по сертификации, содержащие типовые методики проведения испытаний.
В настоящее время уже разработаны и выложены на публичное обсуждение первые редакции совместных профилей защиты и методических рекомендаций для следующих типов средств защиты информации:
Одним из итогов конференции стало подписание новой версии международного соглашения Common Criteria Recognition Arrangement, учитывающего использование совместных профилей защиты при проведении сертификационных испытаний.
По-прежнему актуальным остается вопрос обновлений сертифицированных средств защиты информации. Широко обсуждается инициатива системы сертификации США, разрешающая внесение изменений в сертифицированный продукт в течение 24 месяцев со дня получения сертификата без проведения инспекционных контролей.
Одним из ярких впечатлений от конференции осталась церемония вручения выданных в течение года системами сертификации, входящих в соглашение CCRA, сертификатов соответствия.
Как всегда, не обошлось без традиционной фотографии с флагом!
