Помните рубрику "Приколы нашего городка" в программе "Городок"? Готовя тут один документ, составил список приколов и в "нашем" городке, имя которому "сертификация средств защиты информации в РФ". Надо заметить, что ко многим из них мы (разработчики, продавцы, потребители, органы по сертификации, испытательные лаборатории, регуляторы) настолько привыкли (или закрываем глаза), что даже не задумываемся над сложившейся практикой сертификации средств защиты, которая почти не менялась с серидины 90-х годов, когда появились 608-е Постановление Правительства и 199-й приказ. Но под влиянием внешних факторов задумался и вот что получилось (в немного юмористической и местами утрированной форме):
Все, что творится в недрах 8-го центра ФСБ и ЦЛСЗ, обычно является тайной за семью печатями, но насколько я понимаю, никаких изменений не планируется.
- Только в РФ регулятор выдает сертификат на СЗИ даже не спросив о легальности испытаний с точки зрения прав на интеллектуальную собственность
- Только в России продавец может подать средство защиты на сертификацию, не поставив в известность вендора и нарушив партнерский договор
- Только в России потребитель может подать средство защиты на сертификацию, не поставив в известность вендора и нарушив лицензионный договор
- Только в России, чтобы сертифицировать СКЗИ для мобильной платформы, производитель ОФИЦИАЛЬНО рекомендует сделать jailbreak ;)
- Только в России за сертификацию средств защиты (исключая ГТ) несет ответственность НЕ их производитель, а потребитель ;)
- Только в России испытательная лаборатория и орган по сертификации могут сосуществовать в одном юридическом лице, извлекающем прибыль из своей деятельности, что позволяет органу по сертификации, получив результаты интеллектуальной собственности и ноу-хау разработчиков и других испытательных лабораторий, использовать их как свои наработки будучи уже в качестве испытательной лаборатории по другим проектам.
- Только в России испытательная лаборатория и орган по сертификации могут сосуществовать в одном юридическом лице, участвовать борьбе за заказчика как ИЛ, а если проиграет, стать для выигравшего конкурента органом по сертификации и отомстить.
- Только в России производителем средства защиты может считаться не тот, кто реально его разработал и производит, а тот, кто подал его на сертификацию.
- Только в России качество и возможности средства защиты определяются не его реальными характеристиками и защитными свойствами, а голограммой и копией сертификата.
- Только в России средство защиты может быть сертифицировано на соответствие ТУ или ЗБ, которые тщательно скрываются от потребителя.
- Только в России сертификация на отсутствие недекларированных возможностей, требующая обязательного предоставления исходных кодов, может быть проведена без предоставления исходных кодов.
- Только в России в один момент времени могут существовать несколько копий одной версии одного средства защиты, сертифицированные по разным требованиям и даже по разным классам защищенности.
- Только в России сертификат соответствия на средство защиты, сертифицированное в одной системе сертификации, не признается в другой системе сертификации, даже если он там сертифицировался по тем же самым требованиям.
- Только в России срок действия сертификата на средство защиты определяется не сроком эксплуатации сертифицированного средства защиты в условиях неизменности среды функционирования, а сроком, установленным Правительством.
- Только в России условия применения, ограничения по использованию и другие характеристики сертифицированного средства защиты могут быть отнесены к коммерческой тайне и не выдаваться по запросу потребителей или разработчиков.
- Только в России специалист по сертификации средств защиты может быть не знаком с принципами функционирования оцениваемого им средства защиты и вообще не видеть его в глаза.
- Только в России пройдя всего лишь по 10-20% всех ветвей алгоритма исходных кодов ПО средства защиты испытательная лаборатория делает вывод об отсутствии недекларированных возможностей.
Все, что творится в недрах 8-го центра ФСБ и ЦЛСЗ, обычно является тайной за семью печатями, но насколько я понимаю, никаких изменений не планируется.