ru
ru en

Маршрутизаторы Cisco ISR получили сертификат ФСТЭК на отсутствие НДВ

Как сообщил в своём блоге бизнес-консультант по безопасности, Cisco Systems Алексей Лукцкий, маршуртизаторы Cisco серии ISR с операционной системой Cisco IOS получили сертификат ФСТЭК на отсутствие недокументированных возможностей (НДВ).

cisco isr

Как отмечается в сообщении, процедура получения сертификата была запущена около шести лет назад и осложнялась проблемой получения разрешения американских властей на доступ кого-либо к исходным кодам и иной чувствительной информации касательно средств защиты информации или иных подпадающих под ограничения технологий. Интересно, что для обеспечения возможности предоставления доступа к исходным кодам продукции компании в Cisco была разработан специальный сервис Cisco Technology Verification Service, задача которого предоставить заинтересованным лицам доступ к исходным кодам оборудования и ПО компании.

lukatskij
Алексей Лукацкий
Cisco Systems
Начали мы этот процесс давно. Когда три года назад я писал о сложностях получения разрешения американских властей на доступ кого-либо к исходным кодам и иной чувствительной информации касательно средств защиты информации или иных подпадающих под ограничения технологий, то мы уже вели такую работу. А потом было 3 года исследований. […] Это была серьезная работа, которая сейчас ознаменовалась вполне конкретным результатом – сертификатом.

Напомним, что недокументированными возможностями (англ. undocumented features), НДВ называются возможности технических устройств и/или программного обеспечения, не отраженные в документации. Чаще всего недокументированные возможности сознательно закладываются разработчиками в целях тестирования, дальнейшего расширения функциональности, обеспечения совместимости или же в целях скрытого контроля за пользователем. Отдельный интерес, особенно в случае программного обеспечения, представляют недокументированные возможности, которые могут поставить под угрозу правильную работу, целостность, конфиденциальность — иными словами безопасность — программной или информационной системы.

Работы по сертификации на наличие НДВ в России осуществляется Федеральной службой по техническому и экспортному контролю (ФСТЭК России), а соответствующие проверки выполняют аккредитованные лаборатории. ФСТЭК России также ведёт Государственный реестр сертифицированных средств защиты информации, в котором заинтересованные стороны могут найти информацию о прошедшем соответствующие проверки оборудовании. Помимо оборудования компании Cisco, редакция ЦПС в указанном реестре также нашла сетевые коммутаторы и маршрутизаторы компании Siemens (серии HighPath), Alcatel, HP, РКСС и некоторых других.

А есть ли у вас опыт взаимодействия с ФСТЭК в части сертификации устройств РЗА и АСУ ТП? Передаём слово читателям!

Цифровая подстанция

(close)