вторник, 8 апреля 2014 г.

СОИБ. Анализ. СЗИ, не поддерживаемые производителем

07 апреля 2014 г. ФСТЭК России опубликовала информационное сообщение по поводу сертифицированной версии Windows XP в условиях окончания поддержки производителем. Давайте подробнее посмотрим на информационное сообщение, так как по другим СЗИ ФСТЭК нас не балует публичными письмами, давайте разберем это поподробнее.

Во-первых, ФСТЭК Р отмечает следующие факты:
·        Производителем прекращена поддержка и выпуск обновлений для ОС Windows XP
·        В большом количестве государственных органов и обычных организаций сертифицированная ОС Windows XP применяется для защиты информации ограниченного доступа
·        Имеются серии ОС Windows XP, сертификат соответствия которых ещё действует
·        Производители сертифицированных серий и пользователи ОС Windows XP обращаются за продлением сертификатов и ФСТЭК планирует продлевать до 2016 года (но с ограничениями)
·        Сохранение тенденции по обнаружению уязвимостей в комбинации с отсутствием патчей приведут в существенному повышению вероятности реализации ряда угроз  -> к их актуальности

Во-вторых ФСТЭК Р считает, что:
·        новая аттестация ИС, в которой серт. ОС Windows XP используется в качестве меры  защиты – возможна. Но, обязательна новая модель угроз и применение дополнительных мер защиты
·        для действующих аттестатов – переаттестация не требуется. Но, необходимо применение дополнительных мер защиты и их аттестационные испытания (а что если не пройдут испытания? аттестат теряет силу?)

В-третьих, ФСТЭК Р рекомендует спланировать и провести мероприятия по переходу на другие СЗИ до декабря 2016 г. В числе рекомендуемых мероприятий – выделение ОС Windows XP в отдельные сегменты и защита периметра этих сегментов с применением средств антивирусной защиты, средств обнаружения вторжений, DLP систем, средств  управления потоками информации; периодический анализ уязвимостей, контроль целостности. Кроме того рекомендуется  ряд организационных мероприятий – они понятные и разумные.

На недавнем семинаре по защите ПДн заказчики задавали мне вопросы на ту же тему, но по другим СЗИ (например, сертифицированный МЭ Cisco PIX, который EOL). Да и с той же Windows XP – ФСТЭК Р рассматривает только сертифицированные ОС, применяемые в качестве меры защиты. А как на счет просто ОС, применяемых в ИС?

Было бы замечательно, если бы ФСТЭК продолжила тему с информационными письмами или методическими документами, разъясняющими те или иные проблемы.


Если обобщить, то ниже все вопросы по данной теме  (по старой доброй традиции к каждому вопросу регулятору привожу свой вариант ответа):
1.      Возможно ли при создании системы защиты информации ограниченного доступа, выбирать СЗИ, на которое имеется действующий сертификат,  но без технической поддержки от производителя (ТП не оказывается производителем в принципе или ТП не приобретена организацией)
Мой вариант ответа: Можно, так как в составе требований безопасности информации – отсутствуют требования по наличию действующей ТП на СЗИ. Но при моделировании угроз и выборе контрмер отсутствие ТП необходимо учитывать, а следовательно при создании системы защиты информации необходимо собирать информацию, об имеющихся лицензиях и ТП. По моим оценкам стоимость дополнительных мер будет выше стоимости ТП.

2.      Возможно ли при создании системы защиты информации ограниченного доступа, выбирать СЗИ, на которое имеется действующий сертификат, но для которого нарушаются лицензионные права (срок прав использования закончился, количество СЗИ не соответствует лицензии, другие нарушения лицензионных условий
Мой вариант ответа: Выбирать можно, а использовать нельзя, так как нарушается смежное законодательство. Следовательно при создании системы защиты информации необходимо собирать информацию о имеющихся лицензиях и ТП

3.      Возможно ли при создании системы защиты информации ограниченного доступа, выбирать СЗИ, на которое закончился срок действия сертификата?
Мой вариант ответа: Можно выбирать и использовать, если в организации уже имеются данные СЗИ, так как в составе требований безопасности информации – отсутствуют ограничения на подобные решения. В соответствии с ПП №608 и Положением ФСТЭК №119 о сертификации СЗИ единственное требование при окончании срока действия сертификата – прекращение их реализации изготовителем.

4.      Возможно ли при создании системы защиты информации ограниченного доступа, выбор сертифицированных СЗИ, которые устанавливаются на ОС или встраиваются в ПО, если на ОС или ПО отсутствует ТП от производителя?
Мой вариант ответа: Можно, так как в составе требований безопасности информации – отсутствуют требования по наличию действующей ТП на ОС или ПО. Но при моделировании угроз и выборе контрмер отсутствие ТП необходимо учитывать, а следовательно при создании системы защиты информации необходимо собирать информацию, об имеющихся лицензиях и ТП. По моим оценкам стоимость дополнительных мер будет выше стоимости ТП.

5.      Возможно ли при создании системы защиты информации ограниченного доступа, выбор сертифицированных СЗИ, которые устанавливаются на ОС или встраиваются в ПО,  если для ОС или ПО нарушаются лицензионные права производителя?
Мой вариант ответа: Можно, так как в составе требований безопасности информации – отсутствуют требования по необходимости соблюдения лицензионных прав на ОС или ПО. Создание самой ИС выпадает из области регулирования ФСТЭК Р. Но при моделировании угроз и выборе контрмер отсутствие лицензионных прав необходимо учитывать, а следовательно при создании системы защиты информации необходимо собирать информацию, об имеющихся лицензиях и ТП. По моим оценкам стоимость дополнительных мер может быть выше стоимости лицензий на ОС и ПО.

6.      Должны ли в процессе оценки эффективности или аттестации системы защиты информации ограниченного доступа, учитываться наличие действующей ТП на СЗИ, соблюдение лицензионных прав производителей СЗИ, действие сертификата СЗИ, наличие действующей ТП на ОС и ПО в составе ИС, соблюдение лицензионных прав производителя ОС и ПО в составе ИС?  Может ли на основании отсутствия ТП или нарушения лицензионных прав или истечения срока действия сертификата быть принято решение о несоответствии системы защиты информации требованиям безопасности информации?
Мой вариант ответа: Так как в составе требований безопасности информации отсутствуют требования к наличию ТП, соблюдению лицензионных прав и срокам действия сертификата то нет оснований для принятия решения о несоответствии ....
Исключение – если орган по аттестации по своей инициативе включит данные проверки в методику аттестационных испытаний и согласует её с заказчиком (в соответствии с ГОСТ РО 0043-003-2012).

7.      Обязанности владельца или оператора системы защиты информации при истечении срока действия сертификата СЗИ, истечении срока действия ТП, обнаружении нарушения лицензионных прав?
Мой вариант ответа: В связи с окончанием срока действия сертификата СЗИ обязанностей нет.
В связи с окончанием срока действия ТП или обнаружения нарушения лицензионных прав в рамках аттестованной ИС -> изменение условий обработки информации / изменение актуальности угроз -> необходимо известить орган по аттестации –> орган по аттестации проводит дополнительные проверки эффективности системы защиты (в соответствии с ГОСТ РО 0043-003-2012)
Для аттестованной распределенной ИС в аналогичных условиях требуется повторная аттестация (в соответствии с ГОСТ РО 0043-004-2013)
Для остальных ИС в связи с окончанием срока действия ТП или обнаружения нарушения лицензионных прав требуется пересмотреть модель угроз, состав контрмер и внедрить дополнительные меры.

Данные вопросы отправляю в ФСТЭК Р и поделюсь с вами официальными ответами.

PS: Для определенных сертифицированных СЗИ в формуляре или правилах использования могут быть указаны требования по наличию ТП или соблюдению лицензионных прав. Их надо учитывать и выполнять.


PPS: Товарищи эксперты, не факт что ФСТЭК Р сможет ответить на вопросы, поэтому приветствуется и ваше аргументированное мнение по данным вопросам

Комментариев нет: