СОИБ. Проектирование. Сертифицированное производство решений Cisco живо?!


Регулярно слежу за новостями, анонсами, вебинарами по новым продуктам ИБ от Cisco Systems, а вот новость про окончание продаж одного из решений Cisco NME-RVPN как-то пропустил и столкнулся с этим очень неожиданно.

Компания Cisco Systems всегда заявляли что в российской ИБ они в серьез и надолго. В подтверждение этому приводится наличие в решениях Cisco криптографии, сертифицированной не кем-нибудь, а ФСБ России.

Эти самые решения с крипографией, по заявлению Cisco, являются совместной разработкой Cisco и С-терра и включают: модуль NME-RVPN (MCM) для маршрутизаторов Cisco и С-терра CSP VPN Gate на платформе Cisco UCS C-200.

В различных презентациях, вебинарах, семинарах  эти решения позиционировались так: VPN на базе Cisco UCS C-200 для центральных объектов, NME-RVPN (MCM) для удаленных офисов. Для меня модули NME-RPN всегда были на отдельном счету, потому что единственные в линейке С-терра закупались не через Cisco, также и с регистрацией проектов и получением скидок заказчику.

И вот мы неожиданно потеряли защиту для удаленных офисов:

Новость довольно неожиданная, учитывая то, что в свежих сертификатах на С-терра VPN версии 4.1 включена и платформа МСМ.

 Пока рекомендовали подождать до сентября и морально подготовится к новой платформе МСМ950: производительность увеличится в разы, появятся опции с массивом жестких дисков и  интерфейсами SFP, потеряет совместимость с маршрутизаторами Cisco ISR первого поколения и приобретет совместимость с новым маршрутизатором Cisco ISR 4451-X, сохранение примерно того же порядка цены.

Новая платформа – это интересно, но все-таки не понятно, почему нельзя было подождать с окончанием продаж до начала продаж новой платформы?

Не представляю, какой была бы ИБ, если бы все производители решений сначала заканчивали продажи предыдущей линейки, а через несколько месяцев начинали продажу новой.


PS:  Во второй части статьи хочу коснуться некоторых моментов сертифицированного в ФСТЭК России производства решений Cisco.

Не смотря на регулярные разъяснения Cisco, опыт общения с пользователями продуктов Cisco показывает что они не до конца понимают, что такое сертифицированное производство и какие есть варианты по получению сертифицированных решений Cisco.

Позволю себе прокомментировать некоторые моменты с позиции интегратора:
·        В моем понимании сертифицированное производство решений Cisco в России существует (по крайне мерее – не вижу существенной разницы с вариантами сертифицированного производства продуктов ИБ других производителей)
·        После сравнения всех факторов, для заказчика приоритетнее приобретение решений, уже сертифицированных серийно (сертифицированное производство)
·        По непонятным мне причинам сертифицированное производство решений Cisco носит децентрализованный характер. В связи с отсутствием инициативы сверху (самой компании Cisco Systems) в плане постоянной серийной сертификации всех решений по ИБ в системе ФСТЭК России, сработала инициатива снизу – несколько компаний сертифицировали “производство” решений Cisco и предоставляют эту услугу для всех желающих. Ещё недавно таких компаний было 3: Kraftway, АМТ-Груп, Верком. На данный момент остались: АМТ-Груп, Верком.
·        С точки зрения пользователя все выглядит достаточно просто: отдаешь несертифицированный продукт Cisco, в течении 2-10 дней проводятся его испытания (условно назовем так комплекс работ), получаешь сертифицированный в системе ФСТЭК Р продукт Cisco с комплектом документов
·        Сертификация по варианту производства как правило недорогая (10-20% от стоимости базового продукта – типовые стоимости можно посмотреть тут)
·        Из моей практики пользователям Cisco можно рассматривать следующие варианты сертификации продуктов по ИБ Cisco:
o   Закупка продуктов Cisco сразу в сертифицированном варианте в АМТ или Верком (для Заказчика самый простой вариант,  задержка в 2 дня незаметна на фоне общих 10 недель поставки)
o   Закупка продуктов Cisco у одних продавцов и отдельно сертификация в АМТ или Верком (почти как первый вариант, только больше договоров, больше логистики и дополнительные несколько дней на передачу оборудования между компаниями)
o   Сертификация уже имеющихся у Заказчика продуктов Cisco с отправкой оборудования на сертификацию в АМТ или Верком (необходима возможность вывести из эксплуатации оборудование на несколько дней и отправить их для испытаний)
o   Сертификация уже имеющихся у Заказчика продуктов Cisco на месте заказчика (самый сложный вариант , но он возможен; включающий выезд мобильной лаборатории на объект Заказчика, тогда вывод из эксплуатации оборудование – на минимальный срок)
·        При сертификации надо обращать внимание на конкретные версии сертифицированного ПО в продуктах Cisco – какая версия указана в сертификате, с такой вам и придется жить до новой сертификации. Иногда это важно, так как в разных версиях ПО могут существенно различаться возможности.
·        Некоторые эксперты (как недавно Алексей Комаров) интересуются, почему Cisco не публикует сертификаты и другие документы из комплекта сертифицированного производства (формуляры, ТУ, руководства и т.п.) предполагая какую-то хитрость, уловку или заговор. Ничего подобного. Дело в том что компания Cisco не обладает правами на эту интеллектуальную собственность.  А компании – производители сертифицированных решений не публикуют из-за коммерческих требований. Они инвестировали в разработку этих документов и в проведение сертификации серий и соответственно ожидают окупить свои затраты.  
·        Некоторые эксперты (как недавно Алексей Комаров) предполагают что в этих непубличных ТУ скрываются какие-то ограничения, не позволяющие использовать сертифицированные решения Cisco в реальных проектах. Это не так. В своей практике каких-либо невыполнимых ограничений в ТУ серий Cisco не встречал (в отличие от формуляров некоторых сертифицированных в ФСБ решений). Вот пример из одного ТУ:

При эксплуатации МЭ необходимо обеспечить выполнение следующих условий:
-        исключение возможности использования для обработки информации, содержащей сведения, составляющие государственную тайну
-        наличие администратора МЭ, отвечающего за правильные настройки правил фильтрации МЭ;
-        сохранение в секрете идентификаторов и паролей администратора МЭ;
-        обеспечение физической сохранности МЭ и управляющей ПЭВМ и исключение возможности доступа к нему посторонних лиц;
-        ведение на резервных носителях двух копий конфигурации МЭ, их периодическое обновление и проверка целостности;
-        периодическое тестирование функций защиты МЭ, администратором информационной безопасности (контроль правильности настроек безопасности МЭ, проверка целостности текущей конфигурации МЭ).



Комментарии

Отправить комментарий

Популярные сообщения из этого блога

СКЗИ. НПА. Некоторые вопросы применения криптографии

Изображение
Как показывает практика, немногие организации помнят и руководствуются приказом ФАПСИ (правопреемником которой является ФСБ России) от 13 июня 2001 г. N 152 "Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну ". А ведь Инструкция является обязательной при использовании сертифицированных СКЗИ для обеспечения безопасности информации ограниченного доступа (подлежащей защите в соответствии с законодательством РФ).     А это ПДн, все виды тайн, ГИСы, НПСы, будущие КИИ. С 2008 по 2012 год для ПДн действовало послабление в виде “Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обесп...
Далее...

КИИ. Категорирование объектов, часть 3

Изображение
Продолжаем проводить категорирование объекта КИИ на примере организации сферы здравоохранения. На предыдущем этапе мы выявили критические процессы организации. Теперь определяем объекты КИИ и отправляем их на согласование (этап простой и очевидный, но постараюсь добавить несколько полезных моментов) 3. Определение объектов КИИ Продолжаем начатое на прошлых этапах (а можно и совместить 1-3) общение с руководителями подразделений. Спрашиваем какие ИС или АСУ обрабатывают информацию, необходимую для обеспечения выявленных критических процессов, и (или) осуществляют управление, контроль или мониторинг критических процессов. Отдельно в ИТ подразделении получаем полный перечень ИС (он должен был готовится в рамках мероприятий по ПДн) и АСУ, совместно с ИТ выкидываем из перечня ИС, не связанные с критическими процессами (как правило, кадровые, бухгалтерские, отчетность, банк-клиенты). В результате, того, что данные об ИС и АСУ получены не из одного источника, гарантируется его ...
Далее...

Модель угроз безопасности клиента финансовой организации

Изображение
  Уже более 2 месяцев как вступил в силу методический документ ФСТЭК по моделированию угроз, а ни одного публичного примера модели угроз информационной безопасности сообществом не было опубликовано. Как мы обсуждали на межблогерском вебинаре по моделированию угроз ИБ , такой пример мог бы сильно помочь ответственным лицам, обязанным руководствоваться данной методикой. Пример модели угроз обещал сделать Алексей Лукацкий, но пока у него получилась серия публикаций про проблемы моделирования и примера ещё нет. В УЦСБ в рамках услуг по моделированию угроз, коллеги уже провели необходимую аналитику и подготовили внутренние средства автоматизации для разработки МУ, что уже говорит о возможности моделирования угроз по новой Методике.  К последнему межблогерскому вебинару по безопасности клиентов финансовых организаций я решил проверить насколько адекватной получится модель угроз для типового сегмента клиента ФО (а для данной статьи ещё и обновил графическое оформление). ...
Далее...