СОИБ. Проектирование. Новые требования к межсетевым экранам
Недавно ФСТЭК России опубликовал Информационное сообщение об утверждении Требований к межсетевым экранам.
Сами требования утверждены приказом
ФСТЭК России от 9 февраля 2016 г. N 9 но зарегистрированы Минюстом России только
25 марта 2016 г. Требования имеют гриф ДСП и поэтому не публикуются. Полное
название документа чтобы заказать его можно посмотреть, например, тут.
Требования предназначены для
разработчиков СЗИ и организаций, участвующих в сертификации СЗИ. Но Информационное
сообщение направлено на всех пользователей СЗИ – по сути в нем приводится
выдержка всего самого необходимого, чего достаточно знать оператору –
пользователю СЗИ.
·
Определили типы МЭ
·
Изменены требования к классам МЭ в зависимости
от класса ИС (например, ранее для некоторых АСУ ТП и ИСПДн требовался МЭ 3-его
класса, теперь 4-ого достаточно для любой ИС кроме гос. тайны)
·
Даты из информационного сообщения:
o
с 1 июля 2016 г. ФСТЭК России не принимаются к
рассмотрению заявки на сертификацию межсетевых экранов на соответствие иным
требованиям
o
c 1 декабря 2016 г. сертификация, а также инспекционный
контроль серийного производства межсетевых экранов будут осуществляться только
на соответствие Требованиям
o
с 1 декабря 2016 г. разрабатываемые,
производимые и поставляемые
межсетевые экраны должны соответствовать Требованиям
o
межсетевые экраны, установленные до 1 декабря
2016 г., могут эксплуатироваться без проведения повторной сертификации на
соответствие Требованиям
Новые требования несомненно
полезны, так как повышают уровень доверия к сертифицированным СЗИ (то, о чем много
говорили – SDLC,
регулярные тестирования и обновления, более детальные испытания).
Но по моим оценкам новая сертификация
СЗИ, особенно по новым требованиям, может занять до года. Требования
зарегистрировали в Минюсте в марте. Успеют ли разработчики сертифицировать хоть
1 межсетевой экран по новым требованиям к 1 декабря – это большой вопрос. А
некоторым придется дорабатывать свои МЭ или вообще отказывать от сертификации если
функциональные возможности МЭ не соответствуют Требованиям.
Посмотрим теперь с какими
вариантами событий (сценариями) могут столкнутся операторы - пользователи СЗИ:
·
Счастливые пользователи сертифицированных СЗИ
могут продолжать их использовать до
окончания срока действия сертификата
·
На данный момент в реестре ФСТЭК (кстати не
обновлялся с 20 февраля) зарегистрировано 331 сертифицированных межсетевых
экранов (действующих сертификатов на МЭ). Кроме этого есть ещё МЭ
сертифицированные по ТУ (раньше так сертифицировались WAF, а теперь это МЭ типа “Г”)
У 94 МЭ в 2016 году истекает срок действия сертификата. Что делать
пользователям? Ждать пока разработчик сертифицирует МЭ по новым требованиям или
самостоятельно подавать на продление сертификата? Если самостоятельно – то оператор
становится заявителем на сертификацию и обязан получить и выполнить Требования –
а это по сути самостоятельная новая сертификация. Не рекомендую идти по такому
варианту.
·
Что делать пользователям, которым необходим
новый МЭ после 1 декабря 2016 г.? Если производители ещё не успеют сертифицировать
свои МЭ по новым Требованиям - не стоит забывать про вариант с компенсирующими мерами – при отсутствии
сертифицированных МЭ их легко можно будет обосновать.
Также можно пойти по пути оценки
соответствия СЗИ иными способами,
но по-хорошему, для этого также надо брать Требования и проверять соответствие
им
·
Что делать пользователям, которым сейчас, до 1 декабря
2016 года необходим новый межсетевой экран – обращайте внимание на текущий срок
действия сертификата (желательно чтобы у производителя был запас побольше) и запрашивайте
официальную информацию о работах по сертификации по новым Требованиям и порядке
обновления вашего МЭ до новой сертифицированной версии.
И напоследок несколько слайдов из
недавнего выступления ФСТЭК на TBForum c иллюстрацией новых типов МЭ:
Комментарии