СОИБ. Анализ. Уязвимости сертифицированных СЗИ

В июле Алексей Комаров в своем блоге поднимал тему о необходимости исключения из реестра ФСТЭК сертифицированных решений с уязвимостями.

И уже в августе ФСТЭК России начал принимать действия в этом направлении - Заявители отправляющие на сертификацию решения одного (а может и не одного) известного западного вендора получили письмо с предупреждением.  Для западных производителей СЗИ в случае сертификации на экземпляр или партию, Заявитель – это как правило конечный пользователь или интегратор; при сертификации на серию – заявитель как правило партнер в России по сертифицированному производству.

В письме регулятор напоминает, что в сертифицированном СЗИ имеются уязвимости, опубликованные в БДУ высокого и критического уровней опасности. Так-же ФСТЭК России напоминает что Заявители на сертификацию должны обеспечивать соответствие средств защиты информации требованиям безопасности информации (пункт 7 Постановления Правительства РФ от 26 июня 1995 г. N 608 "О сертификации средств защиты информации"), а также принимать меры по обеспечению стабильности характеристик сертифицируемых СЗИ (пункт 2.6 Положения о сертификации средств защиты информации по требованиям безопасности информации Утверждено приказом председателя государственной технической комиссии при Президенте Российской Федерации от 27 октября 1995 г. № 199), в том числе должны принимать меры по выявлению и устранению уязвимостей в производимых или поставляемых СЗИ.

Далее идет просьба проинформировать ФСТЭК о принятых и планируемых мерах по устранению уязвимостей. Исходя из общения с регулятором у меня сложилось впечатление, что варианты по устранению могут быть следующие:

1.       Следуя рекомендациям производителя подобрать версию ПО, в которой все опубликованные уязвимости будут устранены, которая будет работать на имеющейся аппаратной части; провести в системе сертификации ФСТЭК инспекционный контроль новой версии ПО; обновить или уведомить заказчиков о необходимости обновления ПО на всем оборудовании (усложняется в некоторых случаях отсутствием у Заказчика действующего сервиса технической поддержки и соответственно возможности обновить ПО)

2.       Принять организационные меры. В случае если уязвимость связана с определенными сервисами (например, SSL, SIP, управление через web), можно выпустить требования, ограничивающие использование данных сервисов.

3.       Исключить из эксплуатации СЗИ с уязвимостями или уведомить Заказчика о необходимости исключения из эксплуатации СЗИ с уязвимостями

В последнем варианте возможен отзыв сертификата на следующем основании

Постановление Правительства РФ от 26 июня 1995 г. N 608:

“10. Федеральный орган по сертификации и органы по сертификации средств защиты информации имеют право приостанавливать или аннулировать действие сертификата в следующих случаях:

·                    изменение нормативных и методических документов по защите информации в части требований к средствам защиты информации, методам испытаний и контроля;

·                    изменение технологии изготовления, конструкции (состава), комплектности средств защиты информации и системы контроля их качества;

·                    отказ изготовителя обеспечить беспрепятственное выполнение своих полномочий лицами, осуществляющими государственные контроль и надзор, инспекционный контроль за сертификацией и сертифицированными средствами защиты информации.”

Можно сделать вывод что регулятор пытается прийти к тому чтобы сертифицированные СЗИ были безопасными не только на бумаге, но и на деле. В последних профилях безопасности для сертифицированных СЗИ вопросы устранения уязвимостей закладываются заранее.   Но пока ещё остается открытым вопрос – должны ли Заказчики платить за устранением производителем уязвимостей?  По факту без сервиса на ТП не обойтись.