СОИБ. Анализ. Уязвимости сертифицированных СЗИ

В июле Алексей Комаров в своем блоге поднимал тему о необходимости исключения из реестра ФСТЭК сертифицированных решений с уязвимостями.

И уже в августе ФСТЭК России начал принимать действия в этом направлении - Заявители отправляющие на сертификацию решения одного (а может и не одного) известного западного вендора получили письмо с предупреждением.  Для западных производителей СЗИ в случае сертификации на экземпляр или партию, Заявитель – это как правило конечный пользователь или интегратор; при сертификации на серию – заявитель как правило партнер в России по сертифицированному производству.

В письме регулятор напоминает, что в сертифицированном СЗИ имеются уязвимости, опубликованные в БДУ высокого и критического уровней опасности. Так-же ФСТЭК России напоминает что Заявители на сертификацию должны обеспечивать соответствие средств защиты информации требованиям безопасности информации (пункт 7 Постановления Правительства РФ от 26 июня 1995 г. N 608 "О сертификации средств защиты информации"), а также принимать меры по обеспечению стабильности характеристик сертифицируемых СЗИ (пункт 2.6 Положения о сертификации средств защиты информации по требованиям безопасности информации Утверждено приказом председателя государственной технической комиссии при Президенте Российской Федерации от 27 октября 1995 г. № 199), в том числе должны принимать меры по выявлению и устранению уязвимостей в производимых или поставляемых СЗИ.

Далее идет просьба проинформировать ФСТЭК о принятых и планируемых мерах по устранению уязвимостей. Исходя из общения с регулятором у меня сложилось впечатление, что варианты по устранению могут быть следующие:
1.       Следуя рекомендациям производителя подобрать версию ПО, в которой все опубликованные уязвимости будут устранены, которая будет работать на имеющейся аппаратной части; провести в системе сертификации ФСТЭК инспекционный контроль новой версии ПО; обновить или уведомить заказчиков о необходимости обновления ПО на всем оборудовании (усложняется в некоторых случаях отсутствием у Заказчика действующего сервиса технической поддержки и соответственно возможности обновить ПО)
2.       Принять организационные меры. В случае если уязвимость связана с определенными сервисами (например, SSL, SIP, управление через web), можно выпустить требования, ограничивающие использование данных сервисов.
3.       Исключить из эксплуатации СЗИ с уязвимостями или уведомить Заказчика о необходимости исключения из эксплуатации СЗИ с уязвимостями


В последнем варианте возможен отзыв сертификата на следующем основании
Постановление Правительства РФ от 26 июня 1995 г. N 608:
“10. Федеральный орган по сертификации и органы по сертификации средств защиты информации имеют право приостанавливать или аннулировать действие сертификата в следующих случаях:
·                    изменение нормативных и методических документов по защите информации в части требований к средствам защиты информации, методам испытаний и контроля;
·                    изменение технологии изготовления, конструкции (состава), комплектности средств защиты информации и системы контроля их качества;
·                    отказ изготовителя обеспечить беспрепятственное выполнение своих полномочий лицами, осуществляющими государственные контроль и надзор, инспекционный контроль за сертификацией и сертифицированными средствами защиты информации.”

Можно сделать вывод что регулятор пытается прийти к тому чтобы сертифицированные СЗИ были безопасными не только на бумаге, но и на деле. В последних профилях безопасности для сертифицированных СЗИ вопросы устранения уязвимостей закладываются заранее.   Но пока ещё остается открытым вопрос – должны ли Заказчики платить за устранением производителем уязвимостей?  По факту без сервиса на ТП не обойтись.



Комментарии

Популярные сообщения из этого блога

СКЗИ. НПА. Некоторые вопросы применения криптографии

Модель угроз безопасности клиента финансовой организации

КИИ. Категорирование объектов, часть 3