пятница, 18 апреля 2014 г.

Общее. Ещё одна проблема двух регуляторов ИБ

На этой неделе коллеги говорили о проблемах, которые есть у нас из-за присутствия двух регуляторов (ФСБ и ФСТЭК) в области ИБ, интересы и требования которых пересекаются и местами противоречат для некоторых областей: например в защите ПДн, АСУТП.

Алексей Лукацкий привел аргументы к тому, что ФСБ Р не справляется с обязанностями регулятора, а там где регулирует – делает это неадекватно (не учитывая проблем пользователей и производителей)

Артем Агеев заметил что регулирование в области ИБ вообще досталось ФСБ Р случайно и необходимо передать эти полномочия ФСТЭКу. Пока же ФСБ Р скорее использует свои полномочия для давления на бизнес, чем повышает уровень ИБ.

Приведу ещё одну проблему двух регуляторов, которая постоянно всплывает у меня на практике реализации проектов по ИБ.
Очень часто в одном сетевом средстве защиты совмещаются функции МЭ и VPN. Наверное нет такого МЭ который не включал бы функций VPN и наоборот криптошлюза, который не считал бы себя МЭ. Причем, это справедливо и для средств защиты узлов – персональный МЭ + клиент VPN в одном клиентском ПО.
Если следить за тенденциями, то можно сказать что современное сетевое СЗИ может включать в себя десятки функций (МЭ, СОВ, VPN, SSL VPN, DLP, URL-фильтрация, АВЗ на уровне сети, контроль приложений, antiDDoS и т.п.). Но мы будем говорить о двух: МЭ и VPN. Решения всех производителей, с которыми мне приходится работать, могут совмещать эти функции.

Производителям приходится по сертифицировать СЗИ, чтобы заказчики могли его использовать для выполнения требований Регуляторов. Но одно это решение приходится сертифицировать одновременно по требованиям разных Регуляторов, в разных испытательных лабораториях с разными органами сертификации, по разным процедурам, которые занимают разное количество времени. 
А ещё в рамках сертификации может понадобиться внести изменения в ПО. По линии ФСТЭК одни изменения, по линии ФСБ другие изменения. В результате имеем разные версии сертифицированных СЗИ.
В одном месте быстрое окончание сертификации, в другом задержка на бесконечное время. А там где задержка – потом оказывается нужны изменения.

В итоге на рынке почти отсутствуют СЗИ, конкретный экземпляр которого был бы сертифицирован одновременно в ФСБ и в ФСТЭК. Примеры из наиболее популярных:
·        Vipnet. Сертифицированы разные сборки. ФСБ - 3.2.9.13755. ФСТЭК - 3.2.10.15393
·        С-терра CSP VPN. Подали на сертификацию версию 3.11 примерно в одно время двум регуляторам. По ФСБ сертификат получен год назад, и недавно  получен и на версию 4.1. А сертификата ФСТЭК на 3.11 всё нет.
·        Stonegate. Сертифицированы разные сборки. ФСБ – 5.3.11. ФСТЭК – 5.3.7. При этом продаются уже и версии 5.6

В проектах приходится ставить 2 комплекта одинаковых железок. Один чтобы выполнить требования ФСТЭК, другой для ФСБ.

А с персональными МЭ+VPN ещё хуже. Нельзя поставить на одну систему 2 разные версии ПО. Приходится ставить персональный МЭ и клиент VPN от разных вендоров, котоыре ещё и конфликтовать начинают. 
Всё это печально = затраты в 2 раза больше, сроки растягиваются, ограничения сразу двух формуляров выполнять сложнее.

А вы что думаете на счет проблемы двух регуляторов? Может поддержать инициативу РОИ и передать полномочия регулирования СКЗИ от ФСБ к ФСТЭК?

2 комментария:

Михаил Новокрещенов комментирует...

Ещё про аппаратные замочки доверенной загрузки можно упомянуть, которые принципиально или в ФСБ или во ФСТЭК сертифицированы и которых при все желании по 2 штуки ну никак не вставишь ))

Сергей Борисов комментирует...

Михаил, отлично подметил.

Если к шлюзах хотя бы разные дистрибутивы подаются. То есть можно купить одну железку и 2 дистрибутива и пытаться что-то придумать.

То электронные замки можно купить исключительно в одном из двух вариантов.