(UPDATE 2) Готовы ли ГИС к уровням доверия СЗИ?

 


С 1 января 2021 г. вступает в силу последний пункт изменений в приказ ФСТЭК России от 11февраля 2013 г. N 17, посвященный уровням доверия в средствах защиты информации государственных информационных систем:

“В пункте 26 абзац пятый изложить в следующей редакции:

"В информационных системах 1 класса защищенности применяются сертифицированные средства защиты информации, соответствующие 4 или более высокому уровню доверия. В информационных системах 2 класса защищенности применяются сертифицированные средства защиты информации, соответствующие 5 или более высокому уровню доверия. В информационных системах 3 класса защищенности применяются сертифицированные средства защиты информации, соответствующие 6 или более высокому уровню доверия.";”

Данный пункт уже откладывался на полгода, из-за того, что отрасль была не готова, но сейчас видимо всё-таки будет вступать в силу.

Сейчас интересны 2 вопроса:

·        Насколько готовы производители СЗИ, традиционно используемых при создании систем защиты информации ГИС?

·        Что делать с имеющимися на данный момент СЗИ без уровней доверия?

По первому пункту привожу краткий обзор наличия в сертификатах СЗИ соответствия уровням доверия (выборка на мой субъективный взгляд):

·        Касперский – весь по 4 до 2 уровня доверия (кроме KICS for networks и K Endpoint для Mac)

·        Dr. Web  по 2 УД

·        КБ Secret Net Studio– нет УД,  Secret Net LSP – по УД 4, Соболь – нет УД, vGate – 4 УД

·        Dallas Lock 8 – УД 4 (только для версии -К), - нет УД (для версии -С, для Linux и для виртуализации)

·        eToken 10 – 6 УД, ruToken – 4 УД, JaCarta – нет УД

·        КБ Континент СОВ – 3 УД, АПКШ – 3 УД, WAF и TLS – нет УД, АП – нет УД

·        ViPNet IDS – 3 УД, TIAS – 4 УД, Coordinator HW – 4УД, xFirewall – нет УД, на Client – сертификат ФСТЭК вообще отсутствует

·        С-терра – УД 4

·        Check Point – нет УД, FortiGate – нет УД,

·        Сisco ASA– отдельные экземпляры по 6 УД, остальные и серии – нет УД, Cisco IE-3000 по УД 6

·        PT AF, AI, NAD, ISIM, SIEM, Xspider, MP – 4 УД

·        RedCheck – 4 УД,  Сканер-ВС – 4 УД

·        Из серт. Операционных систем – УД есть только у Astra, Альт, Ред ОС и Аврора

Если оценивать в среднем – то готовность ГИС к уровням доверия 63%.

Давайте теперь подумаем, что делать операторам, у которых оказались СЗИ без уровней доверия в составе системы защиты? Хотелось бы, конечно, получить разъяснения от ФСТЭК России – и такой вопрос я им отправил, буду держать вас в курсе. 

Сейчас хотелось бы придерживаться позиции что новый “закон” не имеет обратной силы и системы, которые уже находятся в эксплуатации могут продолжать использовать СЗИ до окончания срока поддержки / исключения из реестра ФСТЭК. Также при расширении системы (типовые сегменты) без ТЗ на создание/модернизацию, думаю, что будет уместна закупка СЗИ без УД (продление, тиражирование).

С другой стороны, если производится проектирование создания новых/модернизация существующих ГИС или новая аттестация, то необходимо будет уже соответствовать действующим требованиям – то есть закладывать СЗИ с УД. Тем самым выбор СЗИ сократится, а защиту удаленного доступа (VPN, TLS) невозможно будет реализовать.    

 

 

Комментарии

Unknown написал(а)…
У vGate 4.3 есть сертификат по УД 4:
https://www.securitycode.ru/company/news/vgate-4-3-proshel-inspektsionnyy-kontrol-fstek-i-postupil-v-prodazhu/
Сергей Борисов написал(а)…
Спасибо за информацию - апдейчу
Аноним написал(а)…
Юзергейт ещё с 4 уд
Unknown написал(а)…
а что не так с VPN? КБ и Инфотекс HW имеют сертификат по уровням доверия ФСТЭК, а ФСБ требований к уровням доверия не предъявляло :)
Сергей Борисов написал(а)…
Даже такие зубры как Инфотекс и КБ не все свои продукты сертифицировали по УД. А они используются в ГИС, не говоря про остальных вендоров. Это провал ...
Жанна написал(а)…
Сергей, RedCheck получил сертификат по 4 УД - https://www.altx-soft.ru/company/news/5128/
Спасибо за апдейт!
Сергей Борисов написал(а)…
Жанна, спасибо за информацию, обновил.
VoV написал(а)…
У Рутокена сертификат продлен
https://www.rutoken.ru/press-center/news/2020-12-22.html

Популярные сообщения из этого блога

Mind map по моделированию угроз ИБ

Юмор. О профессиональном стандарте «Блогер в сфере информационной безопасности»

Разъяснения ФСТЭК по поводу уровней доверия СЗИ для ГИС