среда, 11 мая 2016 г.

СОИБ. Проектирование. Новые требования к межсетевым экранам

Недавно ФСТЭК России опубликовал Информационное сообщение об утверждении Требований к межсетевым экранам.

Сами требования утверждены приказом ФСТЭК России от 9 февраля 2016 г. N 9 но зарегистрированы Минюстом России только 25 марта 2016 г. Требования имеют гриф ДСП и поэтому не публикуются. Полное название документа чтобы заказать его можно посмотреть, например, тут.

Требования предназначены для разработчиков СЗИ и организаций, участвующих в сертификации СЗИ. Но Информационное сообщение направлено на всех пользователей СЗИ – по сути в нем приводится выдержка всего самого необходимого, чего достаточно знать оператору – пользователю СЗИ.
·         Определили типы МЭ


·         Изменены требования к классам МЭ в зависимости от класса ИС (например, ранее для некоторых АСУ ТП и ИСПДн требовался МЭ 3-его класса, теперь 4-ого достаточно для любой ИС кроме гос. тайны)



·         Даты из информационного сообщения:
o   с 1 июля 2016 г. ФСТЭК России не принимаются к рассмотрению заявки на сертификацию межсетевых экранов на соответствие иным требованиям
o   c 1 декабря 2016 г. сертификация, а также инспекционный контроль серийного производства межсетевых экранов будут осуществляться только на соответствие Требованиям
o   с 1 декабря 2016 г. разрабатываемые, производимые и поставляемые межсетевые экраны должны соответствовать Требованиям
o   межсетевые экраны, установленные до 1 декабря 2016 г., могут эксплуатироваться без проведения повторной сертификации на соответствие Требованиям

Новые требования несомненно полезны, так как повышают уровень доверия к сертифицированным СЗИ (то, о чем много говорили – SDLC, регулярные тестирования и обновления, более детальные испытания).


Но по моим оценкам новая сертификация СЗИ, особенно по новым требованиям, может занять до года. Требования зарегистрировали в Минюсте в марте. Успеют ли разработчики сертифицировать хоть 1 межсетевой экран по новым требованиям к 1 декабря – это большой вопрос. А некоторым придется дорабатывать свои МЭ или вообще отказывать от сертификации если функциональные возможности МЭ не соответствуют Требованиям.  


Посмотрим теперь с какими вариантами событий (сценариями) могут столкнутся операторы - пользователи СЗИ:
·         Счастливые пользователи сертифицированных СЗИ могут продолжать их использовать до окончания срока действия сертификата
·         На данный момент в реестре ФСТЭК (кстати не обновлялся с 20 февраля) зарегистрировано 331 сертифицированных межсетевых экранов (действующих сертификатов на МЭ). Кроме этого есть ещё МЭ сертифицированные по ТУ (раньше так сертифицировались WAF, а теперь это МЭ типа “Г”)
У 94 МЭ в 2016 году истекает срок действия сертификата. Что делать пользователям? Ждать пока разработчик сертифицирует МЭ по новым требованиям или самостоятельно подавать на продление сертификата? Если самостоятельно – то оператор становится заявителем на сертификацию и обязан получить и выполнить Требования – а это по сути самостоятельная новая сертификация. Не рекомендую идти по такому варианту.
·         Что делать пользователям, которым необходим новый МЭ после 1 декабря 2016 г.? Если производители ещё не успеют сертифицировать свои МЭ по новым Требованиям - не стоит забывать про вариант с компенсирующими мерами – при отсутствии сертифицированных МЭ их легко можно будет обосновать. Также можно пойти по пути оценки соответствия СЗИ иными способами, но по-хорошему, для этого также надо брать Требования и проверять соответствие им
·         Что делать пользователям, которым сейчас, до 1 декабря 2016 года необходим новый межсетевой экран – обращайте внимание на текущий срок действия сертификата (желательно чтобы у производителя был запас побольше) и запрашивайте официальную информацию о работах по сертификации по новым Требованиям и порядке обновления вашего МЭ до новой сертифицированной версии.

И напоследок несколько слайдов из недавнего выступления ФСТЭК на TBForum c иллюстрацией новых типов МЭ:













Комментариев нет: