Аккурат сегодня закончил я прохождение обучения на тему оценки соответствия средств защиты по различным международным системам сертификации. Как это ни странно, но лидером по числу систем сертификации являются США - у них существует 4 системы сертификации:
В чем особенность американских систем сертификации от российских? Если вкратце, то при общей идеологии оценки функциональности и качества реализации защитных функций, мы различаемся в подходах:
- FIPS 140 - проверка корректности реализации криптонрафических характеристик. Признается она, помимо США, еще в Великобритании и Канаде. По своей сути схожа с тем, что организует у нас ФСБ, но система более прозначная и открытая. Секретных требований нет. Уровни сертификации дифференцированы - может проверяться только ПО или с погружением в "железо". Текущая версия FIPS 140-2, но в начале 2013-го (а может и до конца этого успеют) грядет новая версия - FIPS 140-3. Т.е. в США на месте требования не стоят и постоянно дорабатываются с учетом новых реалий в области криптографии и криптоанализа. Причем речь именно о требованиях по сертификации, а не о новых криптоалгоритмах. Время сертификации - от 9 до 13 месяцев; примерно как и в России.
- DoD UC APL - это проверка для МинОбороны США того, как продукт (сетевое оборудование, средство защиты, сервера и т.п.) обрабатывают унифицированные коммуникации. Т.к. в условиях военных действий очень важным является именно взаимодействие между войсками, а современные вооруженные силы давно перешли на различные IP-коммуникации (ВКС, IP-телефония, Telepresence, чаты и т.п.), то при данной сертификации смотрится даже не функциональность с точки зрения защиты, сколько качество реализации поддержки унифицированных коммуникаций и взаимодействие между различными компонентами.
- Army I3MP RPL - сертификация по сути аналогичная предыдущей. В ее рамках проверяется не защитная функциональность, а производительность сетевых решений в различных условиях применения сетевого оборудования армией США.
- IPv6 - это сертификация соответствия требованиям по переходу на протокол IPv6, курс на который принят в госорганах США. Проводится сертификация только для госорганов (исключая военные ведомства).
- NATO IAPC - это оценка соответствия продуктов защиты требованиям Североатлантического альянса (НАТО). Проверяются средства защиты и продукты с соответствующей функциониональностью (тоже сетевое оборудование и т.п.).
В чем особенность американских систем сертификации от российских? Если вкратце, то при общей идеологии оценки функциональности и качества реализации защитных функций, мы различаемся в подходах:
- В США все требования (исключая некоторые требования МинОбороны) являются публичными и любой желающий может с ними ознакомиться на сайтах в Интернет. У нас же публичны только требования ФСТЭК (хотя сама процедура сертификации не очень прозрачна). Требования ФСБ секретные. Требования МинОбороны тоже мало кому известны. Исключая вероятного противника - уж он-то с этими требованиями наверняка знаком ;-)
- Обязательность сертификации только для госорганов и военных ведомств. Никакой обязательной оценки соответствия для операторов персданных и в помине нет. Каждый предприниматель действует на свой страх и риск (в этом Россия и США схожи), но вот в Америке эта самостоятельность проявляется и в выборе средств защиты. У нас же никакой самостоятельности нет ;-(
- Схемы сертификации тоже различаются. Да, и там и тут сертифицируется конкретная версия ПО/железа и при ее смене происходит процесс пересертификации. И там и тут срок сертификации эталонного образца составляет несколько месяцев. Но... там нет такой идиотской схемы, когда сертифицируется конкретный экземпляр. Там именно на производителя возлагается ответственность за контроль качества выпускаемой продукции и ее соответствие эталонному образцу. И в случае несоответствия производитель ответит перед регулятором. А т.к. в США доля рынка средств защиты для госорганов очень весома и терять ее никто не хочет (у нас, кстати, тоже), то вендоры не будут невыгодно заниматься махинациями с ПО и внесением каких-то там непрошедших проверку изменений. Тем более, что пересертификация обновлений - не такая уж и сложная задача. У нас же все сделано через одно место - через гостайну - требования растут оттуда. Никакого доверия производителю - все проверяется и перепроверяется. Для гостайны это понятно, но для коммерческого потребителя-то зачем? Не говоря уже о том, что ему все равно не нужны сертифицированные СЗИ. Особенно в условиях, когда ни производитель, ни испытательная лаборатория, ни орган по сертификации не несут никакой ответственности за плоды своего труда.
