Первый шаг, который необходимо предпринять всем собственникам квартир, - это устроить общее собрание собственников жилья вашего дома, чтобы выбрать способ управления домом (п.З ст.161 Жилищного кодекса РФ).

Только на таком собрании (не на лавочке у подъезда и не на кухне у соседа) можно принять юридически значимое решение: какую именно форму управления домом выберут его жители, кто будет обслуживать ваш дом, убирать в подъездах, менять лампочки, производить косметический и капитальный ремонт, а также по каким расценкам за все это придется платить.

Общее собрание собственников жилья считается состоявшимся, если на нем присутствовало не менее 50% собственников квартир (под этим подразумеваются собственники жилых помещений, владеющие не менее чем 50% общей площади жилых помещений этого жилого дома). Например, общая жилая площадь квартир в вашем доме составляет 12 ООО кв.м. Значит, собрание будет считаться состоявшимся, если на нем будут присутствовать собственники квартир, общая площадь которых должна быть 6 ООО кв. м и более. Если в вашем доме кроме собственников проживают и наниматели квартир, принадлежащих муниципалитету (городу, району, поселку и т.д.), представители муниципалитета должны присутствовать на вашем собрании и иметь право голоса наравне с другими собственниками квартир. Должно быть принято решение о выборе одного из трех способов управления домом (п.2 ст.161 ЖК РФ)

непосредственное управление каждым жильцом своей собственной квартирой;

управление Товариществом собственников жилья (ТСЖ);

управление посредством Управляющей компании (УК).

Если решение о способе управления домом принято, то те, кто не участвовал в собрании или присутствовал, но проголосовал против принятого решения, обязаны будут подчиниться данному решению. То есть если собрание собственников решило отдать дом в управление какой-то Управляющей компании, то заключить договор с данной компанией об управлении домом обязаны будут все собственники квартир: и те, кто был «за», и те, кто хотел, к примеру, управлять своим жильем самостоятельно, и те, кто вовсе не явился на собрание или воздержался. Так что не игнорируйте собрание жильцов, в надежде, что его решение не повлияет на вашу дальнейшую жизнь. Идите, участвуйте и голосуйте, а то другие проголосуют за вас. и вы будете вынуждены расплачиваться за чужие решения.

Ищем место для сбора

Как вы уже поняли, двор или детская площадка рядом с вашим домом для этих целей вряд ли подойдет. Местом проведения собрания может стать актовый зал ближайшей школы или дома культуры.

Будьте готовы к тому, что придется заплатить за аренду помещения (для жильцов большого многоквартирного дома это будет не такая уж большая сумма), но только так вы сможете собраться, выслушать своих соседей и высказаться сами, а затем принять взвешенное решение - поскольку от него будет зависеть очень многое: будет ли в ваших квартирах и дальше холодно, а в подъездах грязно, или же в доме поселятся тепло и уют.

Сообщаем жильцам о месте и времени проведения собрания

Сообщение должно быть доставлено каждому собственнику квартиры в многоквартирном доме, в том числе и представителям местной власти (если в доме имеется муниципальное жилье, сдаваемое внаем на основании договора социального найма) заказным письмом или вручено под расписку не позднее чем за 10 дней до проведения собрания. Как правило, эту миссию берут или должны взять на себя наиболее энергичные жильцы-собственники, которые обязательно найдутся в любом доме. Вместе с сообщением о месте и времени проведения собрания можно сразу же вручить и бюллетени для голосования. Если же вы решили сами отпечатать бюллетени для голосования, то внесите в них следующие графы:

сведения о документе, подтверждающем право собственности лица, участвующего в голосовании, на помещение в данном многоквартирном доме. Это может быть номер свидетельства на право собственности, выданный регистрационной палатой, договор купли-продажи;

решение по каждому вопросу (их может быть сразу несколько) повестки собрания, выраженные формулировками «за", «против», «воздержался».

Все это необходимо на случай, если кто-либо из собственников жилья окажется недовольным результатами голосования и выбранной на собрании формой управления и постарается признать эти результаты недействительными (через суд). Например, станет утверждать, что не был оповещен о проведении собрания надлежащим образом, не принял участия в голосовании или просто подвергнет сомнению результаты голосования. У вас все будет задокументировано, и вы легко сможете отстоять принятое на собрании решение.

Подводим итоги голосования

Подсчет бюллетеней для голосования осуществляется представителями инициативной группы или членами выбранного на собрании собственников жилья президиума. В протоколе ведения собрания и протоколе голосования обязательно должна стоять дата проведения собрания, количество присутствующих, процентное соотношение присутствующих к общему числу собственников жилого дома и итоги проведенного голосования.

Собрание считается состоявшимся, если на нем присутствовало 50% и более от числа всех собственников квартир вашего дома. Решение принимается исходя из большинства проголосовавших.

Запомните!

Наниматели квартир, то есть те, кто проживает в них на основании договора социального найма, не принимают участия в общем собрании собственников жилья. Их интересы на данном собрании представляет муниципалитет (администрация города, района, поселка и т.д.), который и является собственником определенного количества квартир в конкретном многоквартирном доме.

Это важно

Если в вашей доме 50% квартир и более (под этим так же подразумевается 50 и более процентов общей площади жилых помещений данного жилого дома; не приватизировано), то собственники приватизированных и купленных квартир вряд ли смогут решить, вопрос об управлении домом. За них это сделает муниципальная власть (администрация города, района и т.д.), поскольку именно у муниципалитета, как собственника неприватизированных квартир, всегда будет большинство голосов и они будут решать, кто именно станет управлять домом. Муниципалитет вряд ли будет голосовать за ТСЖ или непосредственное управление своей квартирой каждым собственником. Скорее всего это будет привлеченная муниципалитетом на конкурсной основе Управляющая компания (прежний ЖЭК или созданное на его основе акционерное общество).

Выбор наилучшего решения в условиях неопределенности существенно зависит от того, какова степень этой неопределенности, т.е. от того, какой информацией располагает ЛПР.

Предположения субъективны, поэтому и степени неопределенности со стороны ЛПР должны различаться. Практикуются два основных подхода к принятию решения в условиях неопределенности. Лицо, принимающее решение, может использовать имеющуюся у него информацию и свои собственные личные суждения, а также опыт для идентификации и определения субъективных вероятностей возможных внешних условий, оценки возможных последствий альтернатив в различных условиях внешней среды. Это, в сущности, делает условия неопределенности аналогичными условиям риска, а процедура принятия решения, обсуждавшаяся ранее для условий риска, выполняется и в этом случае.

Если степень неопределенности слишком высока, то ЛПР предпочитает не делать допущений относительно вероятностей различных внешних условий, т.е. это лицо может или не учитывать вероятности, или рассматривать их как равные, что практически одно и то же. Если применяется данный подход, то для оценки предполагаемых стратегий имеются четыре критерия решения:

• 1) критерий решения Вальда, называемый также максимином;
• 2) альфа-критерий решения Гурвица;
• 3) критерий решений Сэвиджа, называемый также критерием отказа от минимакса;
• 4) критерий решений Лапласа, называемый также критерием решения Бэйеса.

Пожалуй, наиболее трудная задача для ЛПР заключается в выборе конкретного критерия, наиболее подходящего для решения предложенной задачи. Выбор критерия должен быть логичным при данных обстоятельствах. Кроме того, при выборе критерия должны учитываться философия, темперамент и взгляды нынешнего руководства фирмы (оптимистические или пессимистические, консервативные или прогрессивные).

Рассмотрим эти утверждения на конкретном примере. Элементами модели выбора альтернатив в условиях неопределенности являются матрица принятия решений |А i, Sj| и целевая функция Е {A i, w (S j)} (рис. 6.9).

Рис. 6.9.

А i, – альтернативы действий; Sj – состояние внешней среды; w (S j) – вероятности наступления состояния S j, причем Σmj= 1w(S j) = 1; e ij – результат, который будет достигнут, если выбрана альтернатива А i и наступит состояние внешней среды S j

В качестве иллюстрационного примера возьмем матрицу решений (рис. 6.10), включающую в себя пять альтернатив (A i; i = 1, ..., 5) и четыре состояния внешней среды (S j; j = 1,4). Последствия принимаемых решений приведены на пересечении строк и столбцов (e ij).

Рис. 6.10.

В условиях определенности, т.е. когда принятие решений происходит после наступления событий во внешней среде (апостериори), должно приниматься решение, максимизирующее целевую функцию (рис. 6.11). Так, при наступлении события S 1 необходимо принимать альтернативу A2, при S2 → A4, при S3 → A5, при S4 → A1.

Рис. 6.11.

В условиях риска необходимо принимать решение (выбирать альтернативу Ai) до наступления события Sj во внешней среде (априори), что требует учета вероятности w (Sj) наступления этого события. Это можно сделать путем умножения вероятности наступления этого события w (S j) на результат e ij, получаемый от принятия того или иного решения, и выбрать наибольшее значение Ai (рис. 6.12).

Рис. 6.12.

В случае если степень неопределенности слишком высока, то ЛПР может присваивать значениям вероятности свои субъективные значения, сводя задачу к принятию решений в условиях риска, либо не делать допущений относительно вероятностей различных внешних условий, т.е. может или не учитывать вероятности, или рассматривать их как равные, применяя различные критерии для выбора.

Критерий решения Вальда

Критерием Вальда "рассчитывай на худшее" (критерий крайнего пессимизма, или максимин) называют критерий, предписывающий обеспечить значение параметра эффекта, равного а:

Этот критерий ориентирует ЛПР на наихудшие условия и рекомендует выбрать ту стратегию, для которой выигрыш максимален. В других, более благоприятных условиях использование этого критерия приводит к потере эффективности системы или операции.

В рассматриваемом случае (рис. 6.13) в соответствии с критерием "крайнего пессимизма" наилучшей альтернативой будет A1.

Другим предельным случаем критерия Вальда является критерий "необузданного оптимизма", или максимакс:

В соответствии с этим критерием необходимо выбрать альтернативу А 2.

Рис. 6.13.

Альфа-критерий решения Гурвица

Этот критерий рекомендует при выборе решения в условиях неопределенности не руководствоваться крайним пессимизмом (всегда "рассчитывай на худшее", α = 0) или крайним оптимизмом ("все будет наилучшим образом", а = 1). Рекомендуется некое среднее решение (0 ≤ α ≤ 1). Этот критерий имеет следующий вид:

где α – некий коэффициент, выбираемый экспериментально из интервала между 0 и 1.

Использование этого коэффициента вносит дополнительный субъективизм в принятие решений с использованием критерия Гурвица.

В рассматриваемом примере (рис. 6.14) для случая а = 0,7 предпочтительной альтернативой становится А3.

Рис. 6.14.

Здесь приняты следующие обозначения:

Критерий решения Сэвиджа

В соответствии с этим минимаксным критерием, если требуется в любых условиях избежать большого риска, то оптимальным будет то решение, для которого риск, максимальный при различных вариантах условий, окажется минимальным.

При использовании критерия Сэвиджа обеспечивается наименьшее значение максимальной величины риска:

где риск r ij определяется выражением r ij = β – e ij, β – максимально возможный выигрыш.

Критерий Сэвиджа, как и критерий Вальда, – это критерий крайнего пессимизма, но только пессимизм здесь проявляется в том, что минимизируется максимальная потеря в выигрыше по сравнению с тем, чего можно было бы достичь в данных условиях.

Для рассматриваемого примера результаты выбора альтернативы приведены на рис. 6.15.

Рис. 6.15.

В рассматриваемом примере альтернатива А 4 минимизирует максимальное "наказание" за неверно определенное состояние внешней среды.

Критерий решения Лапласа

Критерий Лапласа, или байесов критерий, гласит, что если вероятности состояния среды неизвестны, то они должны приниматься как равные. В этом случае выбирается стратегия, характеризующаяся самой предполагаемой стоимостью при условии равных вероятностей. Критерий Лапласа позволяет сводить условие неопределенности к условиям риска. Критерий Лапласа называют критерием рациональности, и он подходит для стратегических долгосрочных решений, как и все названные выше критерии.

В рассматриваемом примере наилучшей альтернативой по критерию Лапласа (рис. 6.16) является А 5.

Рис. 6.16.

Кроме названных выше четырех критериев для принятия решений в условиях неопределенности существуют неколичественные методы, такие как приобретение дополнительной информации, хеджирование, гибкое инвестирование и др.

В требованиях по безопасности информации при проектировании информационных систем указываются признаки, характеризующие применяемые средства защиты информации. Они определены различными актами регуляторов в области обеспечения информационной безопасности, в частности - ФСТЭК и ФСБ России. Какие классы защищенности бывают, типы и виды средств защиты, а также где об этом узнать подробнее, отражено в статье.

Введение

Сегодня вопросы обеспечения информационной безопасности являются предметом пристального внимания, поскольку внедряемые повсеместно технологии без обеспечения информационной безопасности становятся источником новых серьезных проблем.

О серьезности ситуации сообщает ФСБ России: сумма ущерба, нанесенная злоумышленниками за несколько лет по всему миру составила от $300 млрд до $1 трлн. По сведениям, представленным Генеральным прокурором РФ, только за первое полугодие 2017 г. в России количество преступлений в сфере высоких технологий увеличилось в шесть раз, общая сумма ущерба превысила $ 18 млн. Рост целевых атак в промышленном секторе в 2017 г. отмечен по всему миру. В частности, в России прирост числа атак по отношению к 2016 г. составил 22 %.

Информационные технологии стали применяться в качестве оружия в военно-политических, террористических целях, для вмешательства во внутренние дела суверенных государств, а также для совершения иных преступлений. Российская Федерация выступает за создание системы международной информационной безопасности.

На территории Российской Федерации обладатели информации и операторы информационных систем обязаны блокировать попытки несанкционированного доступа к информации, а также осуществлять мониторинг состояния защищенности ИТ-инфраструктуры на постоянной основе. При этом защита информации обеспечивается за счет принятия различных мер, включая технические.

Средства защиты информации, или СЗИ обеспечивают защиту информации в информационных системах, по сути представляющих собой совокупность хранимой в базах данных информации, информационных технологий, обеспечивающих ее обработку, и технических средств.

Для современных информационных систем характерно использование различных аппаратно-программных платформ, территориальная распределенность компонентов, а также взаимодействие с открытыми сетями передачи данных.

Как защитить информацию в таких условиях? Соответствующие требования предъявляют уполномоченные органы, в частности, ФСТЭК и ФСБ России. В рамках статьи постараемся отразить основные подходы к классификации СЗИ с учетом требований указанных регуляторов. Иные способы описания классификации СЗИ, отраженные в нормативных документах российских ведомств, а также зарубежных организаций и агентств, выходят за рамки настоящей статьи и далее не рассматриваются.

Статья может быть полезна начинающим специалистам в области информационной безопасности в качестве источника структурированной информации о способах классификации СЗИ на основании требований ФСТЭК России (в большей степени) и, кратко, ФСБ России.

Структурой, определяющей порядок и координирующей действия обеспечения некриптографическими методами ИБ, является ФСТЭК России (ранее - Государственная техническая комиссия при Президенте Российской Федерации, Гостехкомиссия).

Если читателю приходилось видеть Государственный реестр сертифицированных средств защиты информации , который формирует ФСТЭК России, то он безусловно обращал внимание на наличие в описательной части предназначения СЗИ таких фраз, как «класс РД СВТ», «уровень отсутствия НДВ» и пр. (рисунок 1).

Рисунок 1. Фрагмент реестра сертифицированных СЗИ

Классификация криптографических средств защиты информации

ФСБ России определены классы криптографических СЗИ: КС1, КС2, КС3, КВ и КА.

К основным особенностям СЗИ класса КС1 относится их возможность противостоять атакам, проводимым из-за пределов контролируемой зоны. При этом подразумевается, что создание способов атак, их подготовка и проведение осуществляется без участия специалистов в области разработки и анализа криптографических СЗИ. Предполагается, что информация о системе, в которой применяются указанные СЗИ, может быть получена из открытых источников.

Если криптографическое СЗИ может противостоять атакам, блокируемым средствами класса КС1, а также проводимым в пределах контролируемой зоны, то такое СЗИ соответствует классу КС2. При этом допускается, например, что при подготовке атаки могла стать доступной информация о физических мерах защиты информационных систем, обеспечении контролируемой зоны и пр.

В случае возможности противостоять атакам при наличии физического доступа к средствам вычислительной техники с установленными криптографическими СЗИ говорят о соответствии таких средств классу КС3.

Если криптографическое СЗИ противостоит атакам, при создании которых участвовали специалисты в области разработки и анализа указанных средств, в том числе научно-исследовательские центры, была возможность проведения лабораторных исследований средств защиты, то речь идет о соответствии классу КВ.

Если к разработке способов атак привлекались специалисты в области использования НДВ системного программного обеспечения, была доступна соответствующая конструкторская документация и был доступ к любым аппаратным компонентам криптографических СЗИ, то защиту от таких атак могут обеспечивать средства класса КА.

Классификация средств защиты электронной подписи

Средства электронной подписи в зависимости от способностей противостоять атакам принято сопоставлять со следующими классами: КС1, КС2, КС3, КВ1, КВ2 и КА1. Эта классификация аналогична рассмотренной выше в отношении криптографических СЗИ.

Выводы

В статье были рассмотрены некоторые способы классификации СЗИ в России, основу которых составляет нормативная база регуляторов в области защиты информации. Рассмотренные варианты классификации не являются исчерпывающими. Тем не менее надеемся, что представленная сводная информация позволит быстрее ориентироваться начинающему специалисту в области обеспечения ИБ.

И,кстати, "лицензии на НДВ" не существует.

Я не докапываюсь, просто хочу разобраться.

Заявитель может быть одним из разработчиков, если разработка совместна.

Заявитель просто — тогда зачем ему это делать

Если для дальнейшего производства — то лицензия нужна.

Если нет — то необходим комплект документов для сертификации, договор с разработчиком об использовании разработки ил иное основание. В данном случае зачем ему сертификат если невозможно производить с последующей продажей.

> разработчиком об использовании разработки ил иное основание. В данном случае

> зачем ему сертификат если невозможно производить с последующей продажей.

Как пройти сертификацию фстэк

Получение заветного сертификата

О сертификации некриптографических информационно-телекоммуникационных систем по требованиям ФСБ

И.Г. Шапошников, директор ООО «Центр сертификационных исследований», к.ф.-м.н.

В.А. Мыльцев, заместитель директора по лицензированию и сертификации ООО «Центр сертификационных исследований»

ОДНИМ из направлений деятельности ФСБ (ранее — ФАПСИ) является сертификация средств криптографической защиты информации. Сами сертификационные исследования проводятся в аккредитованных лабораториях и центрах. При этом подтверждается соответствие продукции требованиям безопасности информации. ООО «Центр сертификационных исследований» (ЦСИ) создавалось как организация, занимающаяся сертификацией шифротехники. Поэтому с первыми полученными лицензиями центр приобрел статус испытательной лаборатории по сертификации шифротехники в соответствии с требованиям безопасности связи, установленными ФАПСИ. Сертификация шифротехники — область деятельности, в которой необходимо наличие у заказчика сертификации четкого понимания порядка ее проведения. Последние, как правило, осведомлены о том, какие действия им необходимо предпринять, чтобы успешно пройти процедуру сертификации, какие материалы представить. Указанный порядок законодательно зафиксирован в ряде нормативных документов (например, ПКЗ-2005).

В соответствии с новыми требованиями

В последнее время область сертифицируемых изделий по требованиям информационной безопасности ФСБ значительно расширилась. Сейчас сертифицируется не только телекоммуникационное оборудование, включающее криптографические средства защиты, но и не имеющее таковых.

В настоящее время кроме шифротехники в ФСБ сертифицируются:

• цифровые АТС;
• межсетевые экраны;
• оборудование плезиохронной цифровой иерархии;
• программное обеспечение, используемое в автоматизированных системах ИТКС специального назначения;
• антивирусные средства.

При осуществлении сертификационных исследований используются нормативные документы (требования, методики) ФСБ. В настоящее время такие документы существуют для всех видов вышеперечисленного телекоммуникационного оборудования, не содержащего средств криптографической защиты информации. ЦСИ стал первопроходцем в проведении сертификационных исследований в соответствии по этим новым требованиям, принимал участие в создании регулирующих методических документов и работает в строгом соответствии с ними.

Цель предлагаемой вашему вниманию статьи — дать некоторое представление о существующих трудностях в проведении сертификации оборудования, не содержащего шифротехники. Необходимо также остановиться на тех требованиях, которые предъявляются к создателям данной техники.

В последние годы появилось много новых негосударственных фирм-разработчиков, как правило, незнакомых с этой процедурой. Играет свою отрицательную роль дефицит широко распространенных (например, как ПКЗ-99 и ПКЗ-2005) государственных документов, регламентирующих разработку и проведение аттестации по требованиям безопасности. В их отсутствие порядок проведения определяется существующей практикой. Ниже мы попытаемся отразить наиболее важные моменты процедуры, исходя из опыта работы ЦСИ.

От заявки — до сертификата

Итак, проведение сертификации включает в себя следующие необходимые этапы:

• подача в ФСБ заявки на проведение сертификации — с указанием схемы проведения сертификации и наименований стандартов и иных нормативных документов, на соответствие требованиям которых должна проводиться сертификация;
• согласование уровня требований сертификации;
• разработка ТЗ и заключение договора с испытательной лабораторией;
• представление образцов сертифицируемой продукции и всей необходимой документации на испытания;
• проведение сертификационных испытаний;
• доработка (при необходимости) продукции по требованиям безопасности с последующей проверкой;
• подготовка отчета и направление его в ФСБ; » подготовка заключения в ФСБ и выдача сертификата.

Уровень требований к сертифицируемой продукции, как правило, определяется заказчиком сертификации совместно с ФСБ и заказчиком той системы, где будет стоять аттестуемая техника. При этом также происходит ограничение функциональных возможностей аппаратуры — остаются только функции, используемые в данном применении, иные удаляются или блокируются на программном либо аппаратном уровне. Самый высокий уровень требований по защите информации связан с обработкой информации, содержащей сведения, которые составляют государственную тайну. Соответственно при сертификации технических средств, предназначенных для их обработки, проводится максимальное количество видов испытаний, и каждый проходит по максимально жестким стандартам. Это, естественно, влечет за собой большую продолжительность и трудоемкость исследований. А от разработчика аппаратуры (заявителя) требуется представление наиболее подробных и полных материалов (документации) по сертифицируемой аппаратуре.

Перечень представляемой документации по сертифицируемой аппаратуре

1. Подробная схема архитектуры сертифицируемого объекта, в которой должны быть представлены все функциональные блоки и связи между ними.

2. Описание работы всего изделия.

3. Для каждой платы (субблока) должно быть представлено:

• техническое описание;
• инструкция по настройке;
• инструкция по эксплуатации;
• схема электрическая принципиальная;
• перечень элементов;
• функциональная схема.

4. Подробное описание ПО, которое должно содержать:

• архитектуру ПО;
• функциональную схему;
• алгоритмы наиболее значимых процедур и функций;
• перечень всех модулей и их значение;
• перечень всех процедур, функций, констант и переменных и их назначение;
• все исходные тексты с комментариями;
• средства разработки для работы с исходными текстами ПО;
• конфигурационные файлы для средств разработки;
• средства компиляции, методика и порядок сборки итогового проекта ПО;
• схемы тестирования сертифицируемого оборудования и всех заявленных функциональных возможностей на сертифицируемом оборудовании.

Эталоны не изменяются

Необходимо особо подчеркнуть тот факт, что сертификация предполагает «замораживание» процесса развития аппаратуры на определенном этапе, соответствующем потребностям заказчика специальной телекоммуникационной системы. Следовательно, вся вышеперечисленная документация должна относиться к этой одной «замороженной» модификации. Последняя пройдет весь комплекс испытаний, получит сертификат и станет образцом. По нему будет изготавливаться аппаратура, на которую станет распространяться понятие «сертифицированная».

Разработчики телекоммуникационной техники регулярно изменяют ПО аппаратуры с целью исправления ошибок, расширения выполняемых функций или для отслеживания трансформирующейся аппаратной части (например, элементной базы), то есть происходит непрерывная модернизация аппаратуры. Однако распространение действия сертификата на оборудование с какими-либо преобразованиями требует дополнительных исследований. Здесь-то, как правило, и возникает непонимание между разработчиком и сертифицирующей организацией. Сначала первый подает документацию, разные части которой относятся к разным этапам «развития» аппаратуры, а после проведения сертификации считает возможным внести незначительные, с его точки зрения, изменения, что не отвечает высоким требованиям, предъявляемым к сертифицированному оборудованию.

Столь жесткие критерии обеспечения информационной защиты в телекоммуникационном оборудовании по требованиям ФСБ обусловлены областью его использования. Сертификат ФСБ предоставляет возможность эксплуатировать оборудование в высших органах власти. Поэтому разработчику аппаратуры, прежде чем начинать сертификацию, следует подумать о ее необходимости. Не исключено, что достаточно будет получить сертификат ФСТЭК, который позволяет использовать аппаратуру в государственных структурах. Если же решение о сертификации по требованиям ФСБ принято, то следует начинать работу со специалистами сертифицирующей лаборатории по составлению ТЗ, определению уровня защиты, составлению перечня документации и оборудования для сертификации. В ЦСИ, например, подобная подготовка проводится еще до заключения договора с организациями.

Важным моментом дальнейшей совместной работы сертифицирующей организации и заказчика является определение объема исследований и соответственно стоимости работ. Из-за сложности исследуемого оборудования порой бывает трудно установить этот объем без проведения предварительных исследований. Тогда вначале заключается договор лишь на первый этап работы, когда проводится предварительный анализ документации, разрабатываются программа и методики испытаний, которые согласуются с соответствующим подразделением ФСБ. Согласованная программа исследований становится тем объективным документом, на основании которого определяется объем предстоящих исследований, сроки их проведений и стоимость работ.

Следует отметить еще один важный момент осуществления сертификационных исследований — экспертизу представленных отчетов в экспертной организации (подразделение 8-го Центра ФСБ). Этот этап не включается в договор на проведение сертификации (так как ФСБ не может быть участником договора), но на его реализацию тратится, как правило, до двух месяцев. Результатом экспертизы считается заключение 8-го Центра ФСБ о выполнении требований по безопасности. Конечно, положительные выводы отчетов сертифицирующей лаборатории не гарантируют таких же положительных оценок заключения. Однако практика работы нашей испытательной лаборатории показывает, что совпадение выводов бывает почти стопроцентным. А положительное заключение дает право на получение сертификата.

Обсуждение

Требуется ли их сертификация? Если требуется, то на основании каких документов?

Не пойму с каких пор профессиональный термин шифртехника стал с буквой "О9 внутри.

Раньше так только "ЛЮБИТЕЛИ9 писали.

Ни тебе цен ни четких требований.

Где же вы были сертифи каторы?

Отметим, что сертификация указанной техники признана необходимой, поскольку это гарантирует определенный уровень устойчивости работы информационно-телекоммуникационных систем перед компьютерными атаками, несанкционированным доступом к информационным ресурсам, неправомерными или ошибочными действиями обслуживающего персонала. Именно поэтому сертифицированная техника, как правило, востребована госзаказчиком, что важно для ее разработчиков.

Это вообще о чем?

Что в этом направлении делалось?

Только пузыри надували?

Писал стажер (первое нижнее фото) — а оба цензора (на верхних фото) видимо спали.

"ОДНИМ из направлений деятельности ФСБ (ранее - ФАПСИ)"

как будто раньше ФСБ называлось ФАПСИ 🙂

Персонал 8 ГУ КГБ поделили между КГБ и СВР

потом из КГБ их обозвали ФСК и где-то там-же из тех-же было образовано ФАПСИ.

А когда Путин ФАПСИ поделил между ФСО, ФСБ и СВР то запутал уже всех.

Вот они и самоназываются как хотят, предполагая что фамилия начальника отдела (управления) говорит что-то посвященным.

Одним словом не грузитесь — это все одна каша.

Просто ранеее это направление было в ведении ФАПСИ. Когда ФАПСИ разделили — отошло к ФСБ

Вы предмету по энциклопедии учились?

Или это вы туда (в энциклопедию) эту ошибку сами намеренно внесли?

Насколько могу судить в профессиональной (НЕ Любительской) среде термин

ШИФР"о9ТЕХНИКА исстари пишется без связующей "О9 .

О — это для щелкоперов уровня щеголева и прочих "ЖУРНАЛИСТОВ9- "специалистов9.

Контроль недекларированных возможностей

Максим Репин
Специалист ОАО "Концерн "БЕГА"

Анастасия Сакулина
Специалист ОАО "Концерн "БЕГА"

В наше время в связи с увеличением случаев утечек конфиденциальной информации (КИ) основным становится вопрос о ее надежной защите.

В отличие от государственной тайны и персональных данных, документы регуляторов в области защиты КИ носят рекомендательный характер, поэтому возникает естественный вопрос: следовать им или нет?

Рассмотрим необходимость и целесообразность сертификации средств защиты КИ по уровням контроля отсутствия недекларированных возможностей (НДВ).

Уровни контроля отсутствия НДВ

Существуют четыре уровня контроля отсутствия НДВ. Для защиты КИ обычно используют 4-й уровень, но также можно использовать и 3-й уровень, включающий более тщательный анализ отсутствия НДВ.

Основным различием между указанными уровнями контроля является то, что 4-й уровень предполагает мероприятия только по статическому анализу ПО, а на 3-м уровне контроля выполняются мероприятия еще и по динамическому. Процесс статического анализа на этих уровнях различается объемом регламентированных технологических операций. Соответственно, сертифицируя свой продукт по 3-му уровню, разработчик получает выход и на рынок средств защиты государственной тайны.

Мы часто слышим следующие аргументы в пользу сертификации:

• сертифицированное ПО корректно выполняет свои функции защиты информации;
• сертифицированное ПО гарантирует отсутствие встроенных механизмов, которые могут нанести вред информации заказчика.

На практике наличие сертификата у ПО не всегда обеспечивает выполнение этих утверждений.

Если взять те продукты, предлагаемые на отечественном рынке, которые имеют сертификат, то и они нередко представляют собой довольно плачевное зрелище, так как обычно обладают полным набором программных ошибок и не обеспечивают ни удобства в эксплуатации, ни гибкости настроек.

В крупных компаниях поиск ошибок в программах и их тестирование - это отдельный этап, построенный по строго отлаженным методикам и проводимый большим количеством сотрудников. Дополнительная проверка при сертификации, требующая длительного периода времени и существенных финансовых затрат, только дает фору конкурентам, снижая прибыли компании и существенно поднимая стоимость конечного продукта за счет расходов на сертификацию.

На рынке свободного ПО эти функции выполняют энтузиасты. Они часто имеют очень глубокие знания в этой области, и их численность много больше, чем сотрудников любой лаборатории. Это позволяет досконально перебрать весь код и исправить все тонкие места.

В данный момент испытательные лаборатории, осуществляющие сертификацию на отсутствие НДВ, не обладают ни людскими, ни техническими ресурсами, позволяющими на должном уровне и в кратчайшие сроки проводить процедуру проверки сложного ПО.

Еще одной проблемой является то, что обновление ПО и установка исправлений являются нарушениями условий действия выданного сертификата и требуют повторной процедуры проверки. Похожая ситуация возникает, если срок действия сертификата истек. При наличии нового руководящего документа по контролю отсутствия НДВ установленная процедура подтверждения и продления действия сертификата, которая основана на анализе соответствия сертифицированных свойств вновь предоставляемого продукта со свойствами старой сертифицированной версии, уже не работает.

Парадокс проблемы наличия в продукте программных закладок (ПЗ)

Данный парадокс заключается в том, что ПЗ могут отсутствовать в ПО до сертификации, но появиться после. Иллюзия получения сертификата может заметно снизить бдительность разработчиков и привести к непредсказуемым последствиям для заказчика. Отдельные организации, используя эти закладки, смогут осуществлять скрытый мониторинг и съем любой информации компании и использовать ее по своему усмотрению. В случае если эти закладки будут выявлены, то пострадает не только конечный пользователь, но и компания-разработчик, которая получит существенный удар по имиджу, репутации и ослабит свои позиции на рынке. Заказчик же будет вынужден перестраивать всю систему защиты заново, а это новые затраты.

Система регулирования средств защиты информации является очень хорошим способом для того, чтобы установить определенную планку качества продукции, но это не должно мешать конкуренции и являться инструментом регулирования рынка.

Анализ сложившейся ситуации показывает, что сертификация продуктов для защиты конфиденциальной информации недостаточно актуальна, так как она создает ненужные иллюзии защищенности. При выборе программного обеспечения для собственной защиты нужно руководствоваться, прежде всего, отзывами специалистов и репутацией разработчиков.

На данный момент для построения действительно надежной системы защиты лучше вложить деньги в грамотных и проверенных системных администраторов и консультантов. Их знания и опыт помогут выбрать наиболее надежные и подходящие именно для конкретной фирмы решения.

Статьи по теме