Кому: nikolkas_spb,
#113
> Твой взгляд шире, я по-старинке ориентируюсь на отечественные конторы.
Широта моего взгляда тут не при чем. Например, отечественные конторы тоже уже несколько лет как вовсю используют Common Criteria, которые действуют у нас в ИБ как стандарт ГОСТ Р ИСО/МЭК 15408-3-2013 "Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Компоненты доверия к безопасности". Это вот особенно интересная третья часть, там как раз про ОУДы (оценочные уровни доверия), которые калькированы с Trusted levels в Common Criteria.
И в целом регулятор мигрирует нормативку в сторону приближения к действующей международной нормативной базе в области ИБ. Об этом свидетельствуют публикации на сайте регулятора профилей безопасности на межсетевые экраны и средства АВЗ и кое-какие профили еще. Кроме того, вот-вот появятся профили безопасности на операционные системы. Эти профили уже приняты, и даже введены в действие, но пока еще не опубликованы. Очевидно, что старая нормативка для МЭ, и любимые РД СВТ и РД НДВ перестают потихоньку работать и частично отменяется для некоторых СЗИ. Пока только для средств АВЗ, МЭ, СОВ, СДЗ (АПМДЗ), средствам контроля носителей и операционным системам, но все же.
> А не наши - вражеские!
Так наш регулятор сам потихоньку нормативку к ихним Common Criteria подтягивает, это очевидно. Скоро все критерии по которым работают наши лаборатории и зарубежные лаборатории будут если не одинаковыми, то очень схожими. Я думаю, мы до этого вполне доживем. Дело конечно важное, где именно расположена лаборатория территориально, но непринципиальное. По крайней мере, там, где это не касается обработки сведений, составляющих ГТ. Судя по всему, после "подтягивания" нормативки к международным стандартам безопасности, регулятор будет признавать иностранные сертификаты СЗИ, естественно, не для ГТ, а для конфиденциалки. И вот тогда нашим лабораториям придется начинать работать не для галочки, а нормально. Тогда у вендоров, производящих СЗИ, будут варианты пройти сертификационные испытания, где-нибудь, скажем, в Финляндии. И регулятор признает такой вот выданный (в твоей терминологии "вражеский") сертификат. А ихние лаборатории к делу относятся обычно сильно щепетильнее и ответственнее, чем наши. Но, повторю, все это не будет работать для ГТ.
На самом деле, это все была присказка. Я бы хотел обратить твое внимание, что ты упорно не замечаешь очевидного, и не отвечаешь на вопрос. Ведь ты сам сообщил в ответ на мой вопрос, что дома тоже при выборе средств защиты руководствуешься наличием сертификата ФСТЭК. И до сих пор не сообщил, зачем оно тебе надо. Тебе от этого легче становится, если у тебя дома сертифицированное СЗИ (которое, если даже и установлено, то неправомерно), или что? Или ты действительно считаешь, что так безопаснее?