СЗПДн. Проектирование. Сертифицированные СЗИ
Запрашивал у ведущих мировых
производителей СЗИ планы по сертификации продукции в системе ФСТЭК России или
ФСБ России. Делюсь с вами:
McAfee:
·
Сертифицирован McAfee
Total Protection for Endpoint (антивирус McAfee VirusScan Enterprise,
web-фильтрация McAfee SiteAdvisor Enterprise Plus, контроль приложений,
персональный межсетевой экран, персональное средство обнаружения вторжений
McAfee Host Intrusion Prevention и система управления McAfee ePolicy
Orchestrator) на соответствие ТУ
·
Идет сертификация McAfee Total Protection for
Endpoint (антивирус, контроль приложений, персональный межсетевой экран,
персональное средство обнаружения вторжений и система управления) на
соответствие НДВ по 4 классу защищенности
·
Идет сертификация McAfee DLP (средство защиты КИ
от тучки) на соответствие ТУ и НДВ по 4 классу защищенности.
Trend Micro:
·
Сертифицирован комплекс средств защиты «Trend Micro Enterprise Security 10.0» включающий OfficeScan 10.0, ServerProtect,
InterScan Messaging Security Virtual Appliance 7.0, ScanMail for Lotus Domino
5.0 Win, ScanMail for Microsoft Exchange 10.0, InterScan Web Security Virtual
Appliance 5.0, Deep Security 7.0, Control Manager 5.0 – на
соответствие ТУ и
на НДВ по 4 уровню контроля
Symantec:
·
Сертифицировано Symantec Data Loss
Prevention (версия 10) - средство предотвращения несанкционированного
копирования информации на ТУ и по 4 уровню РД НДВ (аналогично идет
сертификация версии 11.1)
·
Сертифицировано Symantec Endpoint
Protection (версия 11.0.5) - комплексное СЗИ (антивирус, персональный межсетевой экран, средство контроля приложений, средство контроля съемных носителей, средство обнаружения вторжений) на ТУ и по 4 уровню РД НДВ (аналогично идет сертификация
версии 12).
·
Сертифицировано Symantec Endpoint
Protection Small Business Edition (версия 12) - комплексное средство защиты информации на ТУ
·
Сертифицировано средство почтовой фильтрации «Symantec
Brightmail Gateway Virtual Edition (версия 8.0.3)» - на ТУ
·
Сертифицировано средство антивирусной защиты «Symantec Mail
Security» для почтового сервера Lotus Domino версии 7.5 - на ТУ
·
Сертифицировано средство антивирусной защиты «Symantec Mail
Security» для почтового сервера Microsoft Exchange версии 6.0.8 - на ТУ
·
Сертифицировано комплексное средство защиты «Symantec Critical
System Protection Server Edition» (версия 5.2) на платформе MS Windows
2003/XP - на ТУ (будут продолжать сертифицировать новые версии)
·
Идет сертификация Control
Compliance Suite (в том числе сканнера защищенности CCS VM) на ТУ.
Check Point:
·
Сертифицирован шлюз безопасности,
сертифицированный ФСТЭК как МЭ 3-го класса (версия R65 HFA50)
·
Интегрирован шлюз безопасности с библиотекой
КриптоПро (версия R65 HFA50), сертифицированной ФСБ по КС1, КС2 (IPSEC и SSL)
·
Идет сертификация шлюза безопасности
как МЭ 3-го класса, антивирус и IPS (версия R71.20) и на отсутствие НДВ по 4
уровню
·
Идет интеграция шлюза безопасности
(на платформе версии R71.20) IPSEC VPN с
библиотекой КриптоПро, сертифицированной ФСБ по КС1, КС2
·
Идет интеграция шлюза безопасности
(на платформе версии R71.20) SSL VPN с
библиотекой КриптоПро, сертифицированной ФСБ по КС1, КС2
·
Идет сертификация шлюза безопасности
в ФСБ по КС1, КС2
·
Идет сертификация Endpoint
Security сначала без встроенного КриптоПро как персональный межсетевой экран.
Затем сертифицироваться SSL VPN ГОСТ, который будет терминироваться на Mobile
Access Blade шлюза безопасности.
Stonegate:
·
Сертифицировано StoneGate SSL - по
3 классу РД МЭ, РД НДВ - по 4 уровню
контроля, соответствует ТУ
·
Сертифицировано система
предотвращения вторжений с функцией межсетевого экрана Stonegate IPS - по 3
классу РД МЭ, РД НДВ - по 4 уровню
контроля, соответствует ТУ
·
Сертифицировано межсетевой экран с
функциями обнаружения вторжений, антивирусной защиты и фильтрации web-трафика StoneGate
Firewall - по 2 классу для МЭ, по 4 уровню контроля в соответствии с РД НДВ и
требованиям ТУ. В том числе в сертифицированный комплекс входит StoneGate VPN
Client
·
Идет сертификация StoneGate SSL как
средства криптографической защиты трафика в ФСБ по КС1, КС2
·
Идет сертификация StoneGate
Firewall как средства криптографической защиты трафика в ФСБ по КС1, КС2.
Все эти продукты
сертифицируются силами производителя и заказчик платит только небольшую доплату
за сертифицированный комплект документов и дистрибутив.
Собственно меня
очень радует, что для защиты
персональных данных можно использовать фактически любые СЗИ, в том числе самые передовые
и многофункциональные.
И мне совершенно
непонятна жесткая критика текущего подходя регуляторов требующего использовать сертифицированные
СЗИ. Стоимость Системы защиты персональных данных с использованием
сертифицированных СЗИ увеличивается в среднем на 5%, но за это добавляется порядок
и улучшается контроль.
Комментарии
Вы правы,
в ТУ McAfee HIP функции обнаружения вторжений не прописаны. Следовательно не проверялись. В этом McAfee лопухнулись.
Значит McAfee HIP - только как персональный межсетевой экран и средство контроля запуска приложений.
А вот у Symantec EP - в ТУ прописано обнаружение вторжений.
Обязательно только для охраняемой законом информации.
Всегда можно купить не сертифицированный вариант например McAfee или других.
И в европе и США тоже есть сертификация и тоже есть регуляторные требования - например использовать в госструктурах сертифицированные СЗИ.
Только сертификация у них по общим критериям, заданиям по безопасности и т.п.
почему это, интересно, повышаются контроль и порядок?
- по первых средство защиты информации тестируется испытательной лабораторией на выполнение основных функций, и на отсутствие косяков. Это касается основного релиза и последующих ключевых обновлений.
То есть заказчику можно столько ресурсов на анализ СЗИ уже не тратить.
- в соответствии с требованиями по сертификации средство защиты обязательно должно иметь документацию на русском языке. Это плюс.
- все сертифицированные СЗИ и документация имеют уникальные идентификаторы и подлежат учету.
Так-же необходимо учитывать места установки сертифицированных СЗИ и эти обязательные требования я читаю добавляют порядок в организации.
http://anvolkov.blogspot.com/2010/09/devicelock.html
:)
при этом сертифицированность - не есть залог хорошей документации.
учет СЗИ в организации скорее определяется не сертифицированностью этих СЗИ, а зрелостью ИТ/ИБ в организации.
заказчику в принципе и не нужно тратить ресурсы на анализ СЗИ, ему просто нужно то, что выполняет свои прикладные защитные функции.
а основная прикладная функция сертифицированных СЗИ - это иметь бумажку для отмаза:)
и проверяют при проверках наличие этой бумажки, а не реальное использование для защиты.
Вопрос на что именно сертифицировалось СЗИ. Возможно в ТУ не были прописаны функции которые понадобились товарищу Волкова.
Во вторых не опубликована программа и методика тестирования и схема тестового стенда товарищем Волкова DeviceLock-а.
В третьих сертифицировался только DeviceLock под ОС Windows XP.
Эти 3 фактора не дают нам права критиковать систему сертификации без выяснения подробностей.
Даже если у процедуры сертификации есть недостатки. Её можно учучшать и развивать, но только тогда когда будет спрос на сертифицированные СЗИ.
Сейчас искуственно увеличивается спрос. Через некоторое время улучшится и качество.
если сзи работает только в вакууме, в идеальных условиях, то зачем оно вообще нужно, если в реальном мире оно неприменимо и бесполезно.
а то что устоявшаяся за десятилетия система будет с повышением спроса развиваться - как-то не верится. этой системе ничего не мешало(мешает) начать совершенствоваться раньше(сейчас).
лучше выбирать несертифицированные решения, которыми в мире уже пользуются миллионы, и работоспособность которых проверена в боевых условиях, чем ждать пока на коленке сделают трехколесный велосипед с сертификатом или подгонят под требования сертификации и состряпают сертификат на не самую новую версию нормального продукта.
И McAfee и Symantec и CheckPoint сертифицированы на соответствие Security Target.
Не вижу никаких проблем чтобы в России тоже сертифицировать.
Тем более уже есть движение ФСТЭК.
Утвердили профили для СОВ по общим критериям.
например, на западе делают хорошие автомобили и телевизоры, а у нас не делают.
тут дело совсем не в факте сертификации/несертификации, а в том, как все реализовано.
пусть сертифицируют сзи и используют их в своих госсистемах, мне-то не жалко :).
просто пусть не навязывают эти поделки всем.
http://www.itsec.pro/2011/12/blog-post_22.html, так и мнения Лукацкого и Волкова о том что это это необоснованные и ненужные ограничения.
И оба мнения имеют право на жизнь.
Я понимаю их об и спорить без конкретики не вижу смысла.
Но на счет Исходной заметки.
Я лично считаю продукты Symantec, McAfee и Check Point лучшими в классе Endpoint Protection.
Я бы и так их выбрал.
Так что мешает мне купить ещё и сертифицированный дистрибутив.
Получаю необходимые мне меры для уменьшения риска и выполняю все требования Законодательства.
В то время как вокруг бегают люди и кричат что этого невозможно сделать.
1. почему-то никто из комментаторов не обратил внимание на обновление сертифицированного СЗИ. Надеюсь, все понимают что процедура установки обновлений
а) сильно затягивается (увеличивается время между обнаружением уязвимости и установкой patcha)
б) становится "несколько нетривиальной". По крайней мере, про WSUS для сертифицированных обновлений XP, Office, SQL я пока не слышал
2. лично наблюдал утчки памяти в одном сертифицированном антивирусе. Проблема была устранена в след. версии, но она была сертифицирована через несколько месяцев.
а далее см. п. 1) либо "несертифицированную, но рабочую" либо "сертифицированную и каждый день перезагружать сервер(!)"
3. качество сертификации оставляет желать лучшего.
3.a) конкретный пример - после установки MS SQL в соответствии с требованиями прогамма проверки говорит "Вывод: По результатам контроля сертифицированной версии СУБД MicrosoftR SQL ServerT 2005 Standard Edition сделано отрицательное заключение."
после общения с ... получили замечательный ответ, цитирую "Высылаем Вам новую версию программы контроля, которая должна решить возникшие проблемы."
ну и почему _я_ должен доверять таким "сертификаторам"?
3.б) Приходилось ли общаться с неким ПО под названием "Панцирь"? Попробуйте, обещаю массу впечатлений. Только машинки выбирайте "совсем тестовые".
===
на текущий момент я имею резко отрицательное отношение к "сертифицированным СЗИ"
вероятно, это отношение начнет потихоньку меняться если будут "отзывы сертификатов", если ФСТЭК и лаборатории будут нести какую-то ответственность за ...
1. Есть несколько подходов к обновлению сертифицированного ПО.
Большинство производителей сертифицируют некоторое ядро безопасности которое остается неизменным в течении длительного времени.
Например, Trend Micro Enterprise Security 10.0.
Все небольшие изменения и обновления сигнатур не затрагивают сертифицированное ядро.
Там где постоянно требуется сертификация обновлений предусматривают различные процедуры по автоматизации.
Например, для сертифицированной Windows выпущен сертифицированный WSUS. Я об этом даже писал. http://sborisov.blogspot.com/2011/04/microsoft.html
Да, в случае с обновлениями Windows появляется задержка в 2-4 недели.
Но я в любом случаю советую не спешить со срочной установкой обновлений от Microsoft, так как это может быть чревато ещё большими проблемами.
Оптимальным будет следующий сценарий, как выходит обновление и Алтекс-софт начинает тестировать не изменились ли функции безопасности, вы разворачиваете эти обновления в тестовой зоне и тоже тестируете в течении 2 недель.
Когда заканчивается тестирование и Алтекс-софт одобряет обновление, ваша служба ИБ на основе анализа работоспособности тоже одобряет обновление.
2. Как правило минорное обновление антивируса не требует сертификации.
3. То что вы сказали это говорит не только о качестве сертификации (проблемы бывают с любым ПО или железом), а о реально работающей технической поддержке.
Попробуйте от Microsoft или Oracle добиться такого быстрого решения проблемы.
С Панцирем приходилось работать в тестовой зоне. Впечатление - что это набор плохо связных утилит. Но о чем это свидетельствует? О том что нельзя выбирать решение только по сертификату.
Но в данный момент сертифицировано или сертифицируется более 60% продуктов на российском рынке ИБ.
В том числе решения производителей о которых я написал.
Есть из чего выбирать. Так что в добавлении требования по сертификации в дополнение к остальных функциональным или системным требованиям не вижу ничего страшного