четверг, 21 апреля 2016 г.

Общее. Информирование от ФСТЭК об уязвимостях в СЗИ от НСД

На прошлой неделе ФСТЭК России опубликовал информационное сообщение об уязвимостях в СЗИ от НСД Secret Net и мерах по их нейтрализации. Подобное информирование от ФСТЭК по проблемам со средствами защиты информации случаются нечасто (прошлое было по ОС Windows 2003 год назад) поэтому давайте рассмотрим его подробнее:

·         основанием для сообщения послужила уязвимость в СЗИ Secret Net, зарегистрированная в БДУ - локальное повышение привилегий.     
·         уязвимости подвержены версии SN с 5.0 до 7
·         для версий 6 и 7 уже выпущено обновление, устраняющее уязвимость
·         обновлений для версий 5.0 и 5.1 не планируется
·         для нейтрализации: для SN версии 5 и 5.1 необходимо обязательно перейти на 6 или 7, для версий 6, 7 – необходимо обязательно установить обновления, в том числе получить изменения в эксплуатационной документации
·         до установки обновлений необходимо принять компенсирующие меры, в том числе настроить Замкнутую программную среду (ЗПС) в соответствии с инструкцией
·         обновление СЗИ от НСД Secret Net не требует переаттестации системы

Отдельно хотелось бы отметить некоторые моменты:
·          ЗПС  - это сложная в настройке и неприспособленная в быстро меняющейся среде функция. В ИСПДн применяется очень редко. Чаще при защите ГТ. Так что сходу включить ЗПС многим заказчикам будет проблематично (и это мягко сказано)    
·         из сообщения не понятно, предоставляется ли данное обновление производителем бесплатно? В общем случае  доступ к пакетам обновлений в рамках данной версии – это платная услуга входящая в любой пакет технической поддержки КодаБезопасности начиная с Базового

·         в соответствии с принятыми правилами маркировки серийного производства сертифицированных СЗИ: покупателю должно предоставляться только маркированное средство защиты информации. Маркировка осуществляется нанесением специальных знаков на носитель ПО и формуляр. Таким образом – загрузка СЗИ с сайта не является легитимным способом получения, сертифицированного СЗИ.

Так как обновленный дистрибутив СЗИ не соответствует дистрибутиву и формуляру который вы получили при первоначальной покупке СЗИ, вам необходимо получить у производителя новый дистрибутив (со знаком соответствия), новый формуляр (со знаком, и в котором указаны контрольные суммы уже обновленного СЗИ), технические условия и другую документацию, на которую есть ссылки в сертификате, формуляре или технических условиях. Как правило такой комплект также предоставляется производителем за отдельную плату

Положение о сертификации СЗИ, утвержденное приказом №199 от 27 октября 1999 г. - “2.5 Испытательные лаборатории … маркируют сертифицированные средства защиты информации знаком соответствия в порядке, установленном правилами системы сертификации.
2.6 Заявители:
… указывают в технической документации сведения о сертифицируемой технике защиты информации, нормативных документах, которым она должна соответствовать, обеспечивают доведение этой информации до потребителя;
маркируют производимую сертифицированную технику защиты информации знаком соответствия в порядке, установленном правилами системы сертификации;
3.4.5. Получение изготовителем средств защиты информации сертификата дает ему право получить в федеральном органе по сертификации лицензию (Приложение 5) на применение знака соответствия.
В случае сертификации единичных образцов или партии средств защиты информации лицензия на применение знака соответствия заявителю не выдается. Маркирование знаками соответствия средств защиты информации в этом случае производится испытательной лабораторией, проводившей сертификационные испытания.
Владелец лицензии на применение знака соответствия несет ответственность за поставку маркированных средств защиты информации.”
Более подробно про маркирование СЗИ можно почитать в “Инструкция о порядке маркирования сертификатов соответствия, их копий и сертифицированных средств защиты информации (утв. Приказом Гостехкомиссии РФ от 1999 г.);”

·         почему ФСТЭК в своем письме упомянул о возможности загрузки обновления с сайта? Возможно в данном случае сделано исключение, для того чтобы заказчики могли оперативно устранить уязвимость. Но в дальнейшем всё равно необходимо получить обновленные эксплуатационные документы
·         интересно почему ФСТЭК не делал аналогичных публичных сообщений по уязвимостям в других СЗИ, популярных на Российском рынке? Например, по уязвимостям в МЭ Cisco
·         в целом было бы полезно увидеть от ФСТЭК документ, разъясняющий обязанности всех участников системы сертификации СЗИ (в том числе покупателей сертифицированных СЗИ) при появлении уязвимостей или обновлений сертифицированных СЗИ. Можно предположить, что уязвимость в СЗИ Secret Net это не первая и далеко не последняя уязвимость. Вот, например, очередная уязвимостьв OpenSSL, а по информации от ФСТЭК эта библиотека используется в десятке российских СЗИ. Нужно понимать, что делать в общем случае….





Комментариев нет: