Профили Защиты & Общие кртерии
Модератор: Модераторы
Сообщений: 20
• Страница 1 из 2 • 1, 2
Dmitriy » 05 апр 2005, 15:00
Уважаемые господа!
Если я не ошибаюсь, среди "руководства" сайта есть лица, не ровнодушные к ФСТЭК, больше известной как Гостехкомиссия России. На эту тему назрел вопрос, даже не вопрос, а тема для размышлений.
В 02 году введены приказом Общие критерии и куча других документов по теме. Задумка ясна - предоставить средство для разработчика СЗИ более четко сформулировать требования к изделию (вместо сильно устаревших и бестолковых РД) и обеспечить адекватную и обоснованную защиту информации. Но как всегда реализация благого намерения, на мой взгляд, выполнена безобразно.
Представим ситуацию:
Я разработчик АС общего назначения, обрабатывающей ГТ. Мне необходимо использовать СЗИ. В виду спицифики разрабатываемлй системы я поручаю разработку профиля защиты (кому?), оплачиваю ее, оплачиваю сертификацию ПЗ, оплачиваю (если надо, и кому платить?) регистрацию ПЗ. Затем разрабатываю задание по безопасности, (плачу деньги), провожу его оценку (кто?). После чего разрабатываю (или поручаю разработку уполномоченной организации) (опять плачу) СЗИ, оплачиваю его сертификацию на соответствие ПЗ (или ЗБ), после чего использую в собственном изделии - АС общего назначения.
Внимание ВОПРОС
На кой мне (разработчику АС общ назнач-я) все это надо? Не слишком ли высокой получается цена адекватности и обоснованности ЗИ? Не слишком ли много промежуточных итераций, отнимающих мои деньги и время? Ведь я могу провести сертификацию по требованиям РД?
И самое интересное - разработанный за мои деньги профиль выставляется для общего пользования как руководство к действию? Это то зачем мне?
Поясните пожалуйста.
Если я не ошибаюсь, среди "руководства" сайта есть лица, не ровнодушные к ФСТЭК, больше известной как Гостехкомиссия России. На эту тему назрел вопрос, даже не вопрос, а тема для размышлений.
В 02 году введены приказом Общие критерии и куча других документов по теме. Задумка ясна - предоставить средство для разработчика СЗИ более четко сформулировать требования к изделию (вместо сильно устаревших и бестолковых РД) и обеспечить адекватную и обоснованную защиту информации. Но как всегда реализация благого намерения, на мой взгляд, выполнена безобразно.
Представим ситуацию:
Я разработчик АС общего назначения, обрабатывающей ГТ. Мне необходимо использовать СЗИ. В виду спицифики разрабатываемлй системы я поручаю разработку профиля защиты (кому?), оплачиваю ее, оплачиваю сертификацию ПЗ, оплачиваю (если надо, и кому платить?) регистрацию ПЗ. Затем разрабатываю задание по безопасности, (плачу деньги), провожу его оценку (кто?). После чего разрабатываю (или поручаю разработку уполномоченной организации) (опять плачу) СЗИ, оплачиваю его сертификацию на соответствие ПЗ (или ЗБ), после чего использую в собственном изделии - АС общего назначения.
Внимание ВОПРОС
На кой мне (разработчику АС общ назнач-я) все это надо? Не слишком ли высокой получается цена адекватности и обоснованности ЗИ? Не слишком ли много промежуточных итераций, отнимающих мои деньги и время? Ведь я могу провести сертификацию по требованиям РД?
И самое интересное - разработанный за мои деньги профиль выставляется для общего пользования как руководство к действию? Это то зачем мне?
Поясните пожалуйста.
Harry33 » 05 апр 2005, 15:55
Dmitriy
Неравнодушных полно, попробуем привлечь специалистов в указанной области.
Неравнодушных полно, попробуем привлечь специалистов в указанной области.
Знания, которые нельзя применить - бесполезны
Harry33 » 07 апр 2005, 10:25
Dmitriy
В компаниях специализирующихся на ИБ и СКЗ
В компаниях специализирующихся на ИБ и СКЗ
Знания, которые нельзя применить - бесполезны
Dmitriy » 07 апр 2005, 10:38
И еще - почитал про сертификацию виндов:
http://www.microsoft.com/Rus/Security/C ... fault.mspx
В принципе, ради такого пряника можно и ПЗ разработать - окупится. То есть если есть средство, которое нельзя подвести под требования РД, но очень хочется иметь сертификат, то имеет смысл разработать под него ПЗ и ЗБ и сертифицировать по ним.
Вот только почему ПЗ разработан ЦБИ? Непонятка. Кто деньги то за него платил? Если ЦБИ не имеет отношения к сертификации виндов, то какой смысл ему разрабатывать какие то профили.
Я могу предположить о наличии родственно-материальных отношений ЦБИ, отдела лицензирования и сертификации ФСТЭК и некой Альтекс-Строй, но как должны поступать остальные сирые и убогие?
http://www.microsoft.com/Rus/Security/C ... fault.mspx
В принципе, ради такого пряника можно и ПЗ разработать - окупится. То есть если есть средство, которое нельзя подвести под требования РД, но очень хочется иметь сертификат, то имеет смысл разработать под него ПЗ и ЗБ и сертифицировать по ним.
Вот только почему ПЗ разработан ЦБИ? Непонятка. Кто деньги то за него платил? Если ЦБИ не имеет отношения к сертификации виндов, то какой смысл ему разрабатывать какие то профили.
Я могу предположить о наличии родственно-материальных отношений ЦБИ, отдела лицензирования и сертификации ФСТЭК и некой Альтекс-Строй, но как должны поступать остальные сирые и убогие?
Dmitriy » 07 апр 2005, 10:46
Я по привычке задал вопрос еще в одном месте. И хочу выяснить - здесь народ подобная тема интересует? Если да - буду делиться информацией из разных источников, надеясь на активное обсуждение именно на этом ресурсе. Надеюсь, командывание сайта простит мне подобные волности.
Harry33 » 07 апр 2005, 11:04
Dmitriy
Ни разу не возражаем!
Мы за свободный обмен информацией.
Ни разу не возражаем!
Мы за свободный обмен информацией.
Знания, которые нельзя применить - бесполезны
Сообщений: 20
• Страница 1 из 2 • 1, 2
Вернуться в Организационные документы
Кто сейчас на конференции
Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1