вторник, 10 ноября 2015 г.

СОИБ. Анализ. Почему классические российские производители СЗИ не торопятся с сертификацией?

Есть ряд классических российских производителей СЗИ, которые плотно работают регуляторами и выводят на рынок свои технические решения только после окончания сертификации. Но бывают и в этом механизме и сбои. Вот несколько примеров.

Пример 1. Решения по межсетевому экранированию и криптографической защите семейства ViPNet CUSTOM. Данные СЗИ обычно славились высокими классами защиты и маленькими ограничениями сертифицированных версий и завоевали большую популярность - используются многими коммерческими компаниями для защиты ПДн, используются, наверное, во всех Гос-ах.

В некотором приближении можно сказать что решением ViPNet пользуется полстраны и эти полстраны сейчас страдают – в последней сертифицированной версии 3.2 отсутствует поддержка современных ОС: Windows 8, 8.1, 10, 2012 Server. А между тем Microsoft уже закончила основную поддержку ОС Windows Vista и 7, на которых ещё работает ViPNet.

Версия ViPNet 4.0 была анонсирована аж 2012 году. С тех пор разработана уже версия 4.3.1 и до сих пор ни одного сертификата ФСТЭК или ФСБ. 3 года. Что они делают всё это время? Не могут встроить качественную закладку?

Почему регуляторы устраивают гонения на западных вендоров, не сертифицирующих обновления для закрытия уязвимостей, а тут допускают использование сертифицированного СЗИ, которое не обновлялось уже более 3 лет.

Пример 2. В документации на некоторые свежие СКЗИ указывается требование использовать антивирус, сертифицированный ФСБ России. Возьмем, например, СКЗИ КриптоПро CSP которым пользуется ещё полстраны.

“При эксплуатации СКЗИ ЖТЯИ.00083-01 должны выполняться следующие требования:
5. СКЗИ должно использоваться со средствами антивирусной защиты, сертифицированными ФСБ России. Класс антивирусных средств защиты определяется условиями эксплуатации СКЗИ в автоматизированных системах. В период отсутствия сертифицированных ФСБ России антивирусных средств для операционной системы iOS допускается использование СКЗИ на работающих под управлением операционной системы iOS устройствах без антивирусных средств, при условии загрузки приложений на устройство, на котором используется СКЗИ, только штатным образом.”

Антивирусов, сертифицированных ФСБ России у нас раз-два: Касперский, Dr.Web и непонятное M-42. Куда смотрят другие вендоры - Nod32, Symantec, McAfee, TrendMicro, КБ SSEP, почему не проходят сертификацию в системе ФСБ России? Кто создает монополию?

Пример 3. В июне 2012 года вышли новые требования ФСТЭК России к средствам антивирусной защиты (профили САВЗ). Немалый ряд вендоров уже успели сертифицироваться по новым требованиям -Касперский, TrendMicro, McAfee, КБ SSEP. А вот один помянутый выше вендор тормозит – сертификации по новым требованиям нет у Dr. Web. А ведь требования к новым классам антивирусной защиты приводятся в приказах ФСТЭК России №17, 21, 31.

Недавно Dr.Web вывесил у себя информационное письмо по поводу использования его для защиты ГИС. С одной стороны, это может показаться разрешением использовать в определенных случаях. С другой стороны – это указание не использовать Dr. Web в новых ГИС и при повторной аттестации существующих. Аналогичные рассуждения и выводы можно провести и для ИСПДн.


Вывод из примера 2 и 3 - единственным легитимным антивирусным средством, подходящим для защиты ГИС с СКЗИ у нас является антивирус Касперского.

(UPDATE более корректная формулировка) Вывод из примера 2 и 3 - единственным легитимным антивирусным средством, подходящим для защиты вновь создаваемых ГИС с СКЗИ или при переаттестации существующих ГИС с СКЗИ - у нас является антивирус Касперского.



Пример 4. В феврале 2014 года ФСТЭК России утверждены требования к средствам доверенной загрузки. Прошло почти два года, а сертифицировано только одно СДЗ Alltel TRUST
Чего ждут электронные замки типа Соболь или Аккорд, средства защиты от НСД типа Dallas Lock и Secret Net? Так можно дождаться разрешения использоваться только в старых ГИС и ИСПДн.




8 комментариев:

Фридрих Путин комментирует...

Вывод из п. 2, как мне кажется, не совсем корректный, ибо дистрибутив с сертификатом ФСТЭК и дистрибутив с сертификатом ФСБ - разные. Если хост с устновленным криптопровайдером или VPN-клиентом является узлом ГИС, что делать - непонятно.

Почему не сертифицируют Secret Net, Dallas Lock и т.д. на соответствие требованиям к модулям доверенной загрузки, как мне кажется, понятно. Получить они могут сертификат на МДЗ уровня загрузочной записи (наверное, если постараются), а такая реализация меры не требуется в УПД.17. УПД.17 обязателен для 1 и 2 классов и есть явные требования по усилению - применение МДЗ уровня BIOS или уровня платы расширения. Ни слова об уровне загрузочной записи.

Sergey Alexandrovich M комментирует...

Сергей, КБ пересертифицировали ПАК Соболь как СДЗ второго класса защиты уровня платы расширения.
http://www.securitycode.ru/upload/iblock/bae/1967%D0%9F%D0%90%D0%9A%20%D0%A1%D0%BE%D0%B1%D0%BE%D0%BB%D1%8C3.0%D0%BF%D1%80%D0%BE%D0%B4%D0%BB.pdf

Сергей Борисов комментирует...

Sergey Alexandrovich M: спасибо за информацию про Соболь.
Как то пропустил это обновление сертификата, и в реестре на сайте ФСТЭК этого тоже нет.

Сергей Борисов комментирует...

Фридрих Путин: пусть пройдут сертификацию ФСБ. Далее мы уже решим вопрос - какой дистрибутив использовать. Как правило ФСТЭК отдают приоритет ФСБ если применяется СКЗИ на данном узле. А вообщем можно без проблем покупать оба дистрибутива ФСТЭК и ФСБ. На работоспособности и совместимости это никак не сказывается

Сергей Борисов комментирует...

Периодически потребность использовать МДЗ возникает как для 1,2 класса, так и для других по результатам моделирования угроз и выбора контрмер. Было бы удобно использовать SN или DL в ряде случаев. но у них пока нет сертификации по МДЗ.

tomato комментирует...

Релизы SN LSP будто намеренно отстают на полтора года от обновлений Linux, ц.а. у этого СЗИ, видимо, как это выразиться... консервативная.

KK комментирует...

Добрый день! Показал вашу запись эксперту "Доктор Веб", далее цитирую близко к тексту.

Пример 2 - речь о применении совместно с СКЗИ сертифицированных в ФСБ
антивирусах. У нас по ФСБ все отлично - сертификатов много, и на разные
продукты, и на разные версии, и для разных ОС. Поэтому Касперский не
единственный из примера 2.

Пример 3 неоднозначен.
Согласно последним требованиям ФСТЭК России все вновь созданные САВЗ
должны соответствовать ряду НПА ФСТЭК России. Но т.к. ESS 6.0 был
разработан и сертифицирован ранее вышедших НПА, его применение возможно,
т.к. новые требования к САВЗ на ESS не распространяются. Закон обратной
силы не имеет.

В наш адрес есть письмо ФСТЭК, где указано, что ESS 6.0 можно применять
в действующих ГИС, созданных, введенных в эксплуатацию до вступления в
силу Приказа ФСТЭК № 17 (вступил в силу 01.09.2013).

Так что вывод - неверный.

Для защиты ГИС как с СЗКИ, так и без применение DR.Web - легитимен!
Нет конкретики каких именно ГИС (старых/новых), а ведь это важный
момент.

Сергей Борисов комментирует...

Добрый день, КК.
Похоже что либо вы неправильно передали мысль статьи, либо эксперт Dr.Web не прочитал её.
Потому что в моей статье написано ровно то, что написал вам эксперт Dr.Web:

2. В ФСБ сертифицированы 3 решения: Касперский, Dr.Web и M-42
3. В вновь создаваемых ГИС или при переаттестации существующих - мы не можем использовать Dr.Web. В случае действующих ГИС, которые уже защищены Dr.Web - можем продолжать использовать до момента окончания аттестата.

Вывод - да там не указано это это про вновь создаваемые ГИС. Думал что это понятно по тексту. Корректирую

"Вывод из примера 2 и 3 - единственным легитимным антивирусным средством, подходящим для защиты вновь создаваемых ГИС с СКЗИ или при переаттестации ГИС с СКЗИ - у нас является антивирус Касперского"