Межсетевой экран Z-2 получил первый сертификат по стандарту ИСО 15408
«Общие критерии», сертификат на соответствие которым получил межсетевой экран Z-2, базируются на модели угроз, перечень которых содержится в названном стандарте, а для каждого класса продуктов сформированы наборы угроз, от которых они должны защищать

Межсетевой экран Z-2 компании «Инфосистемы Джет» получил сертификат по «Общим критериям» — новой системе сертификации продуктов в области защиты информации, соответствующей стандарту ГОСТ/ИСО МЭК 15408-2002. Тестирование проводил «Центр безопасности информации» — лаборатория, аккредитованная Гостехкомиссией.

«Общие критерии» базируются на модели угроз, перечень которых содержится в названном стандарте, а для каждого класса продуктов сформированы наборы угроз, от которых они должны защищать.

Такие наборы называются «профилями безопасности». Они фиксируются для каждого конкретного класса продуктов, таких как межсетевые экраны, операционные системы или СУБД. Сейчас Гостехкомиссия приняла около 15 профилей для самых разнообразных продуктов — от операционных систем до электронных замков.

Когда же сертифицируется конкретное решение, то для него на основе профиля формируется так называемое задание по безопасности — список угроз, от которых защищает именно этот продукт. Тестовая лаборатория проверяет, насколько предложенный продукт предохраняет от заявленных угроз. После сертификации задание по безопасности должно быть общедоступно, чтобы клиенты могли получить информацию о том, на защиту от каких угроз они вправе рассчитывать.

Отдельно определяется уровень тестирования, который означает степень детальности описания продукта. В самом простом случае, на первом уровне, достаточно перечисления набора угроз, а максимально подробное описание седьмого уровня требует уже научного доказательства того, что устройство гарантированно защищает от указанного списка атак. Сертификатов уровня выше пятого пока не выдано ни одного.

Четвертый уровень, по которому и сертифицирован экран Z-2, требует предоставления исходных текстов продукта с подробным описанием того, как и с помощью каких функций реализуется защита от перечисленных в профиле нападений. Для того чтобы подготовить такую подробную документацию, сотрудники «Джет» уже на этапе разработки продукта вели подробное документирование кода, то есть создавали свой межсетевой экран с учетом требований сертификации.

Поделитесь материалом с коллегами и друзьями