среда, 15 февраля 2012 г.

СЗПДн. Проектирование. Сертифицированные СЗИ


Запрашивал у ведущих мировых производителей СЗИ планы по сертификации продукции в системе ФСТЭК России или ФСБ России. Делюсь с вами:
McAfee:
·          Сертифицирован McAfee Total Protection for Endpoint (антивирус McAfee VirusScan Enterprise, web-фильтрация McAfee SiteAdvisor Enterprise Plus, контроль приложений, персональный межсетевой экран, персональное средство обнаружения вторжений McAfee Host Intrusion Prevention и система управления McAfee ePolicy Orchestrator) на соответствие ТУ
·         Идет сертификация McAfee Total Protection for Endpoint (антивирус, контроль приложений, персональный межсетевой экран, персональное средство обнаружения вторжений и система управления) на соответствие НДВ по 4 классу защищенности
·         Идет сертификация McAfee DLP (средство защиты КИ от тучки) на соответствие ТУ и НДВ по 4 классу защищенности.

Trend Micro:
·         Сертифицирован комплекс средств защиты «Trend Micro Enterprise Security 10.0» включающий OfficeScan 10.0, ServerProtect, InterScan Messaging Security Virtual Appliance 7.0, ScanMail for Lotus Domino 5.0 Win, ScanMail for Microsoft Exchange 10.0, InterScan Web Security Virtual Appliance 5.0, Deep Security 7.0, Control Manager 5.0 –  на соответствие ТУ и на НДВ по 4 уровню контроля


Symantec:
·        Сертифицировано Symantec Data Loss Prevention (версия 10) - средство предотвращения несанкционированного копирования информации  на ТУ и по 4 уровню РД НДВ  (аналогично идет сертификация версии 11.1)
·        Сертифицировано Symantec Endpoint Protection (версия 11.0.5) - комплексное СЗИ (антивирус, персональный межсетевой экран, средство контроля приложений, средство контроля съемных носителей, средство обнаружения вторжений) на ТУ и по 4 уровню РД НДВ  (аналогично идет сертификация версии 12).
·        Сертифицировано Symantec Endpoint Protection Small Business Edition (версия 12) - комплексное средство защиты информации на ТУ
·        Сертифицировано средство почтовой фильтрации «Symantec Brightmail Gateway Virtual Edition  (версия 8.0.3)»  - на ТУ
·        Сертифицировано средство антивирусной защиты «Symantec Mail Security» для почтового сервера Lotus Domino версии 7.5 - на ТУ
·        Сертифицировано средство антивирусной защиты «Symantec Mail Security» для почтового сервера Microsoft Exchange версии 6.0.8 - на ТУ
·        Сертифицировано комплексное средство защиты «Symantec Critical System Protection Server Edition» (версия 5.2)  на платформе MS Windows 2003/XP - на ТУ (будут продолжать сертифицировать  новые версии)
·        Идет сертификация Control Compliance Suite (в том числе сканнера защищенности CCS VM) на ТУ.


Check Point:
·        Сертифицирован шлюз безопасности, сертифицированный ФСТЭК как МЭ 3-го класса (версия R65 HFA50)
·        Интегрирован шлюз безопасности с библиотекой КриптоПро (версия R65 HFA50), сертифицированной ФСБ по КС1, КС2   (IPSEC и SSL)
·        Идет сертификация шлюза безопасности как МЭ 3-го класса, антивирус и IPS (версия R71.20) и на отсутствие НДВ по 4 уровню
·        Идет интеграция шлюза безопасности (на платформе версии R71.20) IPSEC VPN  с библиотекой КриптоПро, сертифицированной ФСБ по КС1, КС2
·        Идет интеграция шлюза безопасности (на платформе версии R71.20) SSL VPN  с библиотекой КриптоПро, сертифицированной ФСБ по КС1, КС2
·        Идет сертификация шлюза безопасности в ФСБ по КС1, КС2
·        Идет сертификация Endpoint Security сначала без встроенного КриптоПро как персональный межсетевой экран. Затем сертифицироваться SSL VPN ГОСТ, который будет терминироваться на Mobile Access Blade шлюза безопасности.

Stonegate:
·        Сертифицировано StoneGate SSL - по 3 классу РД МЭ, РД НДВ - по 4  уровню контроля, соответствует ТУ
·        Сертифицировано система предотвращения вторжений с функцией межсетевого экрана Stonegate IPS - по 3 классу РД МЭ, РД НДВ - по 4  уровню контроля, соответствует ТУ
·        Сертифицировано межсетевой экран с функциями обнаружения вторжений, антивирусной защиты и фильтрации web-трафика StoneGate Firewall - по 2 классу для МЭ,  по 4  уровню контроля в соответствии с РД НДВ и требованиям ТУ. В том числе в сертифицированный комплекс входит StoneGate VPN Client
·        Идет сертификация StoneGate SSL как средства криптографической защиты трафика в ФСБ по КС1, КС2
·        Идет сертификация StoneGate Firewall как средства криптографической защиты трафика в ФСБ по КС1, КС2.
Все эти продукты сертифицируются силами производителя и заказчик платит только небольшую доплату за сертифицированный комплект документов и дистрибутив.
Собственно меня очень радует, что  для защиты персональных данных можно использовать фактически любые СЗИ, в том числе самые передовые и многофункциональные.
И мне совершенно непонятна жесткая критика текущего подходя регуляторов требующего использовать сертифицированные СЗИ. Стоимость Системы защиты персональных данных с использованием сертифицированных СЗИ увеличивается в среднем на 5%, но за это добавляется порядок и улучшается контроль.

14 комментариев:

es комментирует...

McAfee - cредства обнаружения вторжений в ТУ нет, читайте внимательнее, McAfee HIP - это просто межсетевой экран.

Артем Агеев комментирует...

вот только интересно насколько такой подход согласован с соглашением о техническом регулировании ВТО... ведь наличие требований обязательной сертификации ФСТЭК/ФСБ есть рыночный барьер.

Сергей Борисов комментирует...

es:
Вы правы,
в ТУ McAfee HIP функции обнаружения вторжений не прописаны. Следовательно не проверялись. В этом McAfee лопухнулись.

Значит McAfee HIP - только как персональный межсетевой экран и средство контроля запуска приложений.

А вот у Symantec EP - в ТУ прописано обнаружение вторжений.

Сергей Борисов комментирует...

Артем: откуда обязательная сертификация?
Обязательно только для охраняемой законом информации.
Всегда можно купить не сертифицированный вариант например McAfee или других.

И в европе и США тоже есть сертификация и тоже есть регуляторные требования - например использовать в госструктурах сертифицированные СЗИ.

Только сертификация у них по общим критериям, заданиям по безопасности и т.п.

pushkinist комментирует...

тема увеличения порядка и контроля за счет сертифицированных средств в посте заявлена как само собо разумеещееся, но не раскрыта.
почему это, интересно, повышаются контроль и порядок?

Сергей Борисов комментирует...

Аргументы следующие:
- по первых средство защиты информации тестируется испытательной лабораторией на выполнение основных функций, и на отсутствие косяков. Это касается основного релиза и последующих ключевых обновлений.
То есть заказчику можно столько ресурсов на анализ СЗИ уже не тратить.
- в соответствии с требованиями по сертификации средство защиты обязательно должно иметь документацию на русском языке. Это плюс.
- все сертифицированные СЗИ и документация имеют уникальные идентификаторы и подлежат учету.
Так-же необходимо учитывать места установки сертифицированных СЗИ и эти обязательные требования я читаю добавляют порядок в организации.

pushkinist комментирует...

про тестирование на отсутствие косяков хорошая иллюстрация тут:
http://anvolkov.blogspot.com/2010/09/devicelock.html
:)

при этом сертифицированность - не есть залог хорошей документации.

учет СЗИ в организации скорее определяется не сертифицированностью этих СЗИ, а зрелостью ИТ/ИБ в организации.

заказчику в принципе и не нужно тратить ресурсы на анализ СЗИ, ему просто нужно то, что выполняет свои прикладные защитные функции.
а основная прикладная функция сертифицированных СЗИ - это иметь бумажку для отмаза:)
и проверяют при проверках наличие этой бумажки, а не реальное использование для защиты.

Сергей Борисов комментирует...

На счет публикации Волкова.
Вопрос на что именно сертифицировалось СЗИ. Возможно в ТУ не были прописаны функции которые понадобились товарищу Волкова.

Во вторых не опубликована программа и методика тестирования и схема тестового стенда товарищем Волкова DeviceLock-а.

В третьих сертифицировался только DeviceLock под ОС Windows XP.

Эти 3 фактора не дают нам права критиковать систему сертификации без выяснения подробностей.

Даже если у процедуры сертификации есть недостатки. Её можно учучшать и развивать, но только тогда когда будет спрос на сертифицированные СЗИ.

Сейчас искуственно увеличивается спрос. Через некоторое время улучшится и качество.

pushkinist комментирует...

по-моему как раз эти факторы дают возможность критиковать сертификацию.
если сзи работает только в вакууме, в идеальных условиях, то зачем оно вообще нужно, если в реальном мире оно неприменимо и бесполезно.

а то что устоявшаяся за десятилетия система будет с повышением спроса развиваться - как-то не верится. этой системе ничего не мешало(мешает) начать совершенствоваться раньше(сейчас).

лучше выбирать несертифицированные решения, которыми в мире уже пользуются миллионы, и работоспособность которых проверена в боевых условиях, чем ждать пока на коленке сделают трехколесный велосипед с сертификатом или подгонят под требования сертификации и состряпают сертификат на не самую новую версию нормального продукта.

Сергей Борисов комментирует...

Решения в мире тоже проходят процедуру сертификации.
И McAfee и Symantec и CheckPoint сертифицированы на соответствие Security Target.

Не вижу никаких проблем чтобы в России тоже сертифицировать.
Тем более уже есть движение ФСТЭК.
Утвердили профили для СОВ по общим критериям.

pushkinist комментирует...

ну говорить что раз на западе сертифицируют, то и нам тоже надо - это как-то неправильно.
например, на западе делают хорошие автомобили и телевизоры, а у нас не делают.
тут дело совсем не в факте сертификации/несертификации, а в том, как все реализовано.

пусть сертифицируют сзи и используют их в своих госсистемах, мне-то не жалко :).
просто пусть не навязывают эти поделки всем.

Сергей Борисов комментирует...

На счет регуляторного влияния есть 2 мнения. Как мнения о том что это нужно
http://www.itsec.pro/2011/12/blog-post_22.html, так и мнения Лукацкого и Волкова о том что это это необоснованные и ненужные ограничения.
И оба мнения имеют право на жизнь.
Я понимаю их об и спорить без конкретики не вижу смысла.

Но на счет Исходной заметки.
Я лично считаю продукты Symantec, McAfee и Check Point лучшими в классе Endpoint Protection.
Я бы и так их выбрал.
Так что мешает мне купить ещё и сертифицированный дистрибутив.
Получаю необходимые мне меры для уменьшения риска и выполняю все требования Законодательства.
В то время как вокруг бегают люди и кричат что этого невозможно сделать.

tsv комментирует...

ну, внесу свои 5 копеек про "сертифицированные средства защиты"

1. почему-то никто из комментаторов не обратил внимание на обновление сертифицированного СЗИ. Надеюсь, все понимают что процедура установки обновлений
а) сильно затягивается (увеличивается время между обнаружением уязвимости и установкой patcha)
б) становится "несколько нетривиальной". По крайней мере, про WSUS для сертифицированных обновлений XP, Office, SQL я пока не слышал

2. лично наблюдал утчки памяти в одном сертифицированном антивирусе. Проблема была устранена в след. версии, но она была сертифицирована через несколько месяцев.

а далее см. п. 1) либо "несертифицированную, но рабочую" либо "сертифицированную и каждый день перезагружать сервер(!)"

3. качество сертификации оставляет желать лучшего.
3.a) конкретный пример - после установки MS SQL в соответствии с требованиями прогамма проверки говорит "Вывод: По результатам контроля сертифицированной версии СУБД MicrosoftR SQL ServerT 2005 Standard Edition сделано отрицательное заключение."

после общения с ... получили замечательный ответ, цитирую "Высылаем Вам новую версию программы контроля, которая должна решить возникшие проблемы."

ну и почему _я_ должен доверять таким "сертификаторам"?

3.б) Приходилось ли общаться с неким ПО под названием "Панцирь"? Попробуйте, обещаю массу впечатлений. Только машинки выбирайте "совсем тестовые".

===
на текущий момент я имею резко отрицательное отношение к "сертифицированным СЗИ"

вероятно, это отношение начнет потихоньку меняться если будут "отзывы сертификатов", если ФСТЭК и лаборатории будут нести какую-то ответственность за ...

Сергей Борисов комментирует...

tsv:

1. Есть несколько подходов к обновлению сертифицированного ПО.
Большинство производителей сертифицируют некоторое ядро безопасности которое остается неизменным в течении длительного времени.
Например, Trend Micro Enterprise Security 10.0.
Все небольшие изменения и обновления сигнатур не затрагивают сертифицированное ядро.

Там где постоянно требуется сертификация обновлений предусматривают различные процедуры по автоматизации.
Например, для сертифицированной Windows выпущен сертифицированный WSUS. Я об этом даже писал. http://sborisov.blogspot.com/2011/04/microsoft.html

Да, в случае с обновлениями Windows появляется задержка в 2-4 недели.
Но я в любом случаю советую не спешить со срочной установкой обновлений от Microsoft, так как это может быть чревато ещё большими проблемами.

Оптимальным будет следующий сценарий, как выходит обновление и Алтекс-софт начинает тестировать не изменились ли функции безопасности, вы разворачиваете эти обновления в тестовой зоне и тоже тестируете в течении 2 недель.
Когда заканчивается тестирование и Алтекс-софт одобряет обновление, ваша служба ИБ на основе анализа работоспособности тоже одобряет обновление.

2. Как правило минорное обновление антивируса не требует сертификации.

3. То что вы сказали это говорит не только о качестве сертификации (проблемы бывают с любым ПО или железом), а о реально работающей технической поддержке.
Попробуйте от Microsoft или Oracle добиться такого быстрого решения проблемы.

С Панцирем приходилось работать в тестовой зоне. Впечатление - что это набор плохо связных утилит. Но о чем это свидетельствует? О том что нельзя выбирать решение только по сертификату.

Но в данный момент сертифицировано или сертифицируется более 60% продуктов на российском рынке ИБ.
В том числе решения производителей о которых я написал.
Есть из чего выбирать. Так что в добавлении требования по сертификации в дополнение к остальных функциональным или системным требованиям не вижу ничего страшного