5 Июля, 2013

Заметка об указании уровня контроля отсутствия НДВ в сертификатах на СОВ/АВЗИ

Иван Бойцов
Не раз уже приходилось слышать, что получившие недавно сертификаты на СОВ и АВЗИ продукты нельзя использовать в ИСПДн с высоким уровнем защищенности ПДн из-за отсутствия в сертификатах указания на проведение испытаний по уровню контроля отсутствия НДВ.
С одной стороны, если смотреть на 21-й приказ ФСТЭК, это действительно так:
Для обеспечения 1 и 2 уровней защищенности персональных данных, а также для обеспечения 3 уровня защищенности персональных данных в информационных системах, для которых к актуальным отнесены угрозы 2-го типа, применяются средства защиты информации, программное обеспечение которых прошло проверку не ниже чем по 4 уровню контроля отсутствия недекларированных возможностей.
Но текущая позиция ФСТЭК такова - в требованиях к СОВ и АВЗИ для каждого класса указан требуемый оценочный уровень доверия и уровень контроля отсутствия НДВ (уровни контроля соответствуют классу защиты, для 5-6 классов - требование не предъявляется).

При прохождении сертификационных испытаний проверки на отсутствие НДВ выполняются в полном объеме, в соответствии с " РД НДВ ", однако по каким-то своим причинам в сертификат как отдельный тип испытаний результат данных проверок не вписываются. Таким образом, при наличии сертификата на СОВ/АВЗИ продукт считается прошедшим испытания на отсутствие НДВ по соответствующему классу, однако напрямую это нигде не написано.

Но, так как документального подтверждения факта прохождение проверки на отсутствие НДВ нет, как нет и официальных разъяснений от регулятора, использование СОВ и АВЗИ без сертификата на НДВ остается на страх и риск оператора.

Возможно, моя информация по данному вопросу является не полной, приглашаю к дискуссии в комментариях.
или введите имя

CAPTCHA