Как создать СКЗИ
У меня есть идея, которую я хотел бы воплотить в жизнь.
На выходе должно получиться сертифицированное средство защиты информации.
Где можно узнать перечень требований, которым должна соответствовать моя разработка, что бы пройти сертификацию?
Мне дали вот такую ссылку http://www.fstec.ru/_razd/_serto.htm, однако я там так и не обнаружил нужной мне информации (возможно плохо искал).
У меня есть возможность общаться с профессионалами, есть немного средств, которые я готов вложить это дело. Есть очень дальнее знакомство (на уровне телефонного разговора) с начальником одной из лабораторий.
Как Вы считаете насколько реальна такая затея? Существуют вероятность найти организацию специализирующуюся в этой области (защита информации), которая на каких либо условиях поддержит это дело?
Спасибо.
комментариев: 11558 документов: 1036 редакций: 4118
Хе-хе, и конфигурацию сервера, содержащего материнскую плату с чипсетом, ЦП, ОЗУ, жёсткий диск. Уйма материальных объектов. :-)
Все "службы" заменим на "сервер", везде где речь идет о сохранении дописал "с использованием ЗУ". Там где речь идет о передаче дописал:
"Для передачи может быть использована локально вычислительная сеть организации, Интернет и/или любой другой вид проводной или беспроводной связи. Так же для передачи информации могут быть использованы материальные носители: диски, дискеты, флеш накопители и т. п."
И все же осталось масса шагов в которые не удалось всунуть чего-нибудь материального.
бутылкимногоуровневой модели ISO/OSI не разберёшся! :) Первый (физический) уровень этой модели и описывает взаимодействие... эээ... информации и материи. Во!комментариев: 11558 документов: 1036 редакций: 4118
комментариев: 9796 документов: 488 редакций: 5664
Под воздействием бутылки демоны и зомби становятся материальными объектами. Слово сервис заменяется на "демон".
Как мне объяснили, заковыка в следующем — в каких то там документах понятия "методы и средства" определены через понятие "материальных объектов".
Таким образом, если в вашем описании нет материальных объектов – то у вас нет ни методов ни средств, а раз так с вами и разговаривать не будут.
По всей видимости нужно хотя бы приблизительное описание "процессов на аппаратно-программных уровнях".
Как будет звучать следующая фраза (а дальше я по аналогии):
"Клиент, используя каналы связи, передает серверу информацию в цифровом виде. Сервер вычисляет хеш значение от принятой информации и сохраняет полученный дайджест в своем хранилище, используя Запоминающее Устройство (ЗУ)".
Нужно описание на подобии такого:
"Сетевая карта получает сигнал...", "происходит запись на магнитный носитель..." — я даже придумать не могу толком.
Вместо материальных объектов лучше предложите им материальную поддержку за их помощь в составлении правильного описания. ;)
Хотите написать "средство защиты информации"? Браво. Пишите код. А вот сертифицированное средство... Кому оно нужно? Дяденькам из больших компаний, которые в этом абсолютно не разбираются и которые тоже делают всё исключительно для галочки? По-моему, недостойная цель.
Это типа кандидатского минимума, где надо сдавать экзамены и не по специальности – для общей культуры, чтобы люди имели понятие, что булки не на деревьях растут.
Вот такое требование:
"Если способ характеризуется использованием средств, достаточно эти средства раскрыть таким образом, чтобы можно было осуществить этот способ".
Может быть под "средствами" имеется ввиду не одна только аппаратная часть, а вместе с установленным на ней стандартным и сертифицированным ПО, с той же WinXP например? В таком случае, вероятно, "раскрытие средств" будет состоять в более подробном описании используемых интерфейсов и способов их использования, "чтобы можно было осуществить...", а не в описании работы уже сертифицированной программнго-аппаратной части. То есть типа "сервер вычисляет хеш значение от принятой информации вызывая стандартную подпрограмму ... из модуля ... (файл c:\...dll) и передавая ей в качестве параметров ..."
"Способом является процесс осуществления действий над материальным объектом с помощью материальных средств."
Примерно такое описание у меня и было в самом начале...
Сейчас раскрываю фразу "Сервер вычисляет хеш значение от принятой информации и сохраняет полученный дайджест в своем хранилище, используя Запоминающее Устройство (ЗУ)":
Для сохранеия дайджеста предлагается использовать накопитель, содержащий один или несколько обработанных с высокой точностью алюминиевых и керамических дисков со специальным магнитным покрытием смонтированных на оси шпинделя приводимом в движение специальным двигателем. Цифровая информация, содержащая дайджест, преобразуется в переменный электрический ток, сопровождаемый переменным магнитным полем. Переменный ток подается на головку записи-чтения. Головка записи-чтения с помощью позиционера скользит над поверхностью диска на расстоянии порядка 0,13мк метра. Позиционер головок перемещается с помощью соленоидального двигателя. Магнитное покрытие диска это множество доменов спонтанной намагниченности. При воздействии магнитного поля головки магнитные поля доменов ориентируются в соответствии с ее направлением. После снятия внешнего поля (создаваемого головкой) на поверхности остаются зоны остаточной намагниченности."
Наверно слишком подробно, сократить будет просто.
А вот процесс получения информации по каналам связи и вычисления хеш значения..
Вообще получается такое описание, которое никто кроме немногих не сможет переварить.. Если бы я его не писал я бы не смог :)