Comments 16
Фиг с ними, с требованиями, а что с ответственностью за сливы БД?
Фстэк предлагает усиленно штрафовать тех, кто не хочет покупать сертифицированные ими же продукты и этим самым не оплачивать взятки фстэк? Есть ли тут что-то отличающееся от просто поборов и конфликта интересов?
Странная у вас логика.
Мед.оборудование, скажем имплант, должен быть сертифицирован - чтобы людям всякое *овно калечущее не вставляли;
в самолеты(и все что их обслуживает), тоже должно ставится сертифицированное оборудование, чтобы аварий было меньше;
для некоторых работ, от людей требуют сертификаты - ну что человек как минимум был на курсах и что-то слышал/знает;
Когда ФСТЭк начал думать о том что делать со сливами ПД (а половина сливов потому что кладут болт на ИБ), то сразу "а-а-а коррупция, не дают пользоваться крякнутой ОС без AV, политикой паролей, на ПК стоящем в холле".
Ну как бы да. Я лично воевал с субподрядчиком/безопасниками которые вкорячили нам китайские но-нейм -сканеры отпечатков пальцев. Окей, кто подтвердит что это все безопасно(хрантмя хэшом с солью) и не утечет в ынтернет?
Вы мухлюете в сравнении: выбрали специально отрасли, где небезопасность приводит к смертям, апеллируете к базовой ценности человеческой жизни. Но тема новости намного шире.
Если вы хотите мое видение ситуации: ты я за ежегодный открытый аудит компаний, где хранится масса ПД. Чтобы ровно все видели, где хорошо устроено, а где плохо (прям вот с общественным контролем, потому что потерпевшей стороной в случае слива будет то самое общество). Проводить его должен не фстэк (т.к. у него конфликт интересов), а просто именитые ИБ компании с рынка (и для этого нужен институт репутации), причем я бы сделал ротацию компаний в таких проверках (например, если в этот год проводит А, то в следующий Б, после В, а потом опять можно А. Чтобы уменьшить скорость формирования коррупционных связей). И я бы не ограничивал список принимаемых ИТ-продуктов для безопасности какими-то производителями, иначе все съезжает в лоббизм, а оценивал систему по свойствам и принципам.
Вы мухлюете в сравнении: выбрали специально отрасли, где небезопасность приводит к смертям, апеллируете к базовой ценности человеческой жизни.
Во-первых не я первый начал с подмены понятий, а во-вторых, третий пример специально для вас - сертификация специалистов, всякие CCNA, MTCNA.
Окей, как на счет сертификации по ISO:9001? Может нахер ее? Не, ну а чё? кому нужно управление качеством? - вон китайцы на алишке мамой клянутся и все окей.
Если вы хотите мое видение ситуации
Можно я не буду это комментировать? А то придется отдельную статью писать - очень советую самостоятельно почитать про чего-куда и как.
ФСТЭК делает охрененно важную вещь - он стандартизирует ИБ и сейчас предлагает начать штрафовать тех кто кладет болт на стандарты. Ну как бы во всех отраслях так.
Второй момент - сертификация это элемент ИБ, один из. Сам по себе он ничего не дает. Точно так же как ничего не дает политика паролей если у всех права админа и харды которые можно носить домой.
Для начала нужно, чтобы была зрелая нормативка по требованиям к средствам защиты и самому процессу сертификации. Не спорю, что в последние годы ФСТЭК сильно продвинулся в этом направлении.
Где в открытом доступе отчйты (технические!) о проверке тех или иных средств защиты, которые прошли процедуру сертификации? По сути исслеодвания не проводятся, а просто идут по чек-листу (не всегда честно).
Но непонятно, почему я должен использовать сертифицированное средство защиты, которое переделано путём изменения названия, частенько нарушение лицензии с какого-нибудь opensource средства. И после того, как что-то с ним случится, вендор ничего не можеи сделать, ссылаясь на то, что "шаг влево - шаг вправо" - слетит сертификат (а по факту просто нет компетенции, кроме как названия перекрашивать.
Ну давайте так, сертификация ФСТЭк это не только показать openssl\ssh с шифрованием по ГОСТу. Иначе в реестре было бы овердохера девайсов.
Для получения сертификата, вы должны внедрить различные процессы - от анализа уязвимостей и фаззинг-тестирования, до процессов распространения новых версий ПО. Жизненные циклы и вот это все.
Где в открытом доступе отчйты (технические!) о проверке тех или иных средств защиты, которые прошли процедуру сертификации?
Эммм, мир устроен немножечко по другому. Например, мы проводим испытание оборудование на сейсмику и ЭМС, сам отчет - это наша собственность, за которую было отдано овердохера денег - в нем есть наши решения. Так вот отчет - тайна за семью печатями, а вот сертификат соответствия заявленным требованиям - пожалуйста, хоть с сайта качайте. Когда к нам приезжает заказчик и говорит мол гайз, а вот есть у меня сомнения, как ваша железка вела себя на <испытание_нейм> - можно взять NDA и показать отчет.
Точно так же вы не найдете технических отчетов Эйрбаса и Боинга (эти вообще готовы выпиливать свидетелей) по испытаниям каких-нибудь дверей.
Надо просто понимать, что сертификация стоит денег - это фильтр, который во-первых отсекает совсем уж некомпетентных, во-вторых, если у чуваков нашлись $ на сертификацию, значит они могут себе позволить каких-никаких специалистов, в третьих вы снимаете с себя ответственность.
Сертификация не дает 100% гарантии на секьюрность, но ИБ это всегда НАБОР мер. Одна из мер использовать софт\железо прошедшее сторонний аудит, пусть даже и закрытый. Это лучше чем использовать софт\железо без аудита вообще.
Ну это вы преувеличили про большое количество девайство на ГОСТе. Там не достаточно прикрутить stunnel из состава КриптоПро CSP. Да и сертификат ФСБ на СКЗИ (ну или подтвердить контроль встраивания СКЗИ) человеку с улицы не дадут. Мой посыл с Госуслугами был в том, что если уж играть по правилам, то всем. Ну даже и сделали бы они на стороне сервера ГОСТ, - а на стороне меня, клиента что? ГОСТ шифрование встроено в популярный ОС, как например RSA? СКЗИ можно скачать и использовать бесплатно (ViPNet не в счёт)? Может быть сначала подвести техническую базу, доступную для всех, чтобы потом вводить ограничения нормативкой?
Например, мы проводим испытание оборудование на сейсмику и ЭМС, сам
отчет - это наша собственность, за которую было отдано овердохера денег -
в нем есть наши решения.
Я не специалист в сейсмоаккустике и ЭМС, но очень сомневаюсь, что там отсутстуют методики проведения испытаний, научно подтвержденные. Как это в сертификационных испытаниях, чек-лист: проверка (требование из нормативки), выполняемое действие, эталонный результат. Вот приходишь к таким лабораториям, подписываешь NDA. Начинаешь смотреть документы и оказывается, что половина требований то не проверить, т.к. даже в стендовых условиях не воспроизвести (это без промышленной нагрузки и т.п.) То не работает, это не работает. Как выходят из положения лаборатории? Сертифицируют на ТУ. И вот зачем мне средство защиты, которое по факту не выполняет и половины заявленного. Про техподдержку вообще молчу.
Не нужно сравнивать вендоров средств защиты с Боингом и Эйрбасом. Сколько у нас в мире производителей самолетов и у скольких из них большие линейки? Самолетостроение - это намного более критичное производство, чем СрЗИ. Там человеческие жизни, тут риски безопасности, которые полностью никогда не закрыть. А вот NGFW в РФ в мае 2024 было уже 45 вендоров, средств виртуализации 32.
Это лучше чем использовать софт\железо без аудита вообще.
Сравните сколько выходит патчей безопасности и устраняется уязвимостей в ПО с открытым исходным кодом по сравнению с проприентарными средствами защиты. Давно доказано, что это не из-за качества кода в последних, т.к. по факту там никакого НОУ-ХАУ нет, а просто "подгонка" под местячковые требования.
отвечу немного хаотично
Я не специалист в сейсмоаккустике и ЭМС, но очень сомневаюсь, что там отсутстуют методики проведения испытаний, научно подтвержденные.
Методики не закрыты NDA, закрываются решения которые позволяют оборудованию пройти испытания. Например? нужно чтобы сервер работал при 1g 20 Гц (это такая нехировая тряска), очевидно что HDD встанут колом... какие есть решения? Воткнуть SSD - раз. Сделать бездисковую загрузку с флешки и вообще все развернуть в ОЗУ - два, PXE - три, воткнуть HDD и написать хитрое ПО которое по датчикам паркует головки, пишет данные в ОЗУ и по окончании скидывает на HDD - четрые, поставить демпферы которые будут нивелировать тряску и сервер вообще не заметит сейсмики. Чисто гипотетически, если вы реализовали последний вариант (этак за года два-три) то делиться этим решением с миром бесплатно, как бы не очень то и захочется.
что половина требований то не проверить, т.к. даже в стендовых условиях не воспроизвести
Давайте так, бывает что действительно некоторые вещи не воспроизвести - дальше есть довольно много вариантов, начиная от снятия требования заканчивая теоретическими расчётами, которые тоже делаются по какой-то методике, а не с потолка.
Лаборатория которая поставит печать и подпись под тем что она не проверяла... т.е. по сути поставит под удар свою лицензию... наверное такие есть, но кажется мне это не может быть массовым.
Самолетостроение - это намного более критичное производство, чем СрЗИ.
Расскажите мне в АСУ ТП, что производство самолетов более критично, чем управление дизелем, который запускает пожаротушение в случае чАго, на какой-нибудь хим. линии. В АСУ ТП вообще до 2022 г. из требований была только парольная защита, и то на уровне 1234567890. Приходишь говоришь ну давайте мы вам там сетку на VLANы разобъем, пароли, SNMPv3, диоды данных МЭ. А тебе в ответ - так этого в требованиях нет. Чем мы обоснуем доп.затраты? И вот что на это сказать? Сейчас хоть ФСТЭКом заставили все это внедрять.
Сравните сколько выходит патчей безопасности и устраняется уязвимостей в ПО с открытым исходным кодом по сравнению с проприентарными средствами защиты.
Так никто не запрещает проходить ФСТЭК на опенсорсе, на чем угодно лишь бы требованиям соответствовало.
Еще раз, ФСТЭК не говорит что закрыты все уязвимости. Сертификат ФСТЭКа говорит о том что компания-производитель, отслеживает, реагирует и устраняет по каким-то определенным методикам уязвимости. В общем ФСТЭК это про пайплайны в организации.
Вы просто смотрите на большие крупные пакеты типа ssh\ssl, посмотрите с другой стороны: Более наглядный пример, работаю я с мед данными и использую pyvista(2.5 k звезд) для визуализации - проводил ли я анализ этой либы? Да нет конечно, кинул в нее данные, получил картинку, задача выполнена. Проводил ли кто-нибудь анализ именно на ИБ из опенсорс сообщества? Тоже сомнительно. Вернее специально тесты никто не гоняет перед каждым релизом. Видите, даже понять сложно проводится ли анализ. А тут ПД в виде мед.данных. Лан мы ответственные сначала все анонимизируем (ибо нафиг оно нам надо хранить), а 90% докторов шлют данные как есть, с фио, с годом рождения и чуть ли не адресом проживания. Если бы мы выпускали продукт и сертифицировали ФСТЭКом, нам пришлось бы проверять либу.
Ну это вы преувеличили про большое количество девайство на ГОСТе.
Я как раз говорил наоборот, что девайсов мало потому что сертификат ФСТЭК это не просто вкорячить ГОСТ+SSL\SSH, это еще дохера бумаг и процессов.
СКЗИ можно скачать и использовать бесплатно (ViPNet не в счёт)? Может быть сначала подвести техническую базу, доступную для всех, чтобы потом вводить ограничения нормативкой?
Почему она должна быть бесплатной? Вот не уловил. Точно так же можно заявить что общ. транспорт должен быть бесплатным. Я напомню, что SSL-сертификаты тоже очень долгое время были платными(а некоторые до сих пор стоят денег), хотя казалось бы...
Ну даже и сделали бы они на стороне сервера ГОСТ, - а на стороне меня, клиента что?
AstraLinux+ya-браузер? Вы хотите чтобы за 2 года вся страна 140+ млн. пользователей и еще х10-х100 устройств взяли и с потолка получили поддержку ГОСТа? Это нереально. Срок модернизации оборудования на заводах может достигать 15-30 лет. Офисных систем 5-10. Плюс встает вопрос курицы и яйца - зачем обновляться если и так все работает. На серверах так же смотрят на траффик и такие - как мы перейдем если у нас 90% траффика с Андройда 10?
Два решения - долго ждать и жестко внедрять(приказами и штрафами)
Ну введут оборотные штрафы за утечки ПДн, увеличат за использование не сертифицированных средств. Но сами себя то они оштрафовать не смогут? Вот захожу я на Госуслуги, а там HTTPs не по отечественным алгоритмам? Как же так, рботает только в одну сторону?
Но сами себя то они оштрафовать не смогут?
Себя не будут, у них все хорошо. Ну а госсектор потихоньку перетаскивают, госуслуги всеж слишком большой ресурс, вангую что они не могут из-за старых устройств перейти
Hidden text
RSA сертификат, подписанный корневым сертификатом (и выпущенный в АУЦ), который является самоподписанным одним из ведомств, ничем не подтвержденный. Изначально структура CA в мире строилась по совсем иным принципам и взять и просто проигнорировать половину условий выпуска корневого сертификата очень смелый шаг.
Опять же по факту была взята чужая технология и бездумно переделаны правила под себя. Слабо сделать своё?
Где же вы там не по ГОСТ видите сертификат? Он уже там как 2 года назад начал по ГОСТу отдаваться пользователям. Вопрос в другом - вы заходите на госуслуги через браузер с включенной поддержкой шифрования по ГОСТ? Если нет, то, конечно, он вам ГОСТ не отдаст) В зависимости от поддерживаемых браузером стандартов жеж
В зависимости от поддерживаемых в ОС криптоалгоритмах, а не в браузере. И в какой же ОС "из коробки" уже есть эти криптоалгоритмы? Почему я должен покупать СКЗИ и его нет скажем в Astra/ALT Linux сразу? Почему я должен принудительно устанавливать корневой сертификат МинЦифры?
Честно, покажите, когда сервер отдает ГОСТовый сертификат. С установленным СКЗИ КриптоПро или ViPNet все равно отдается RSA.
Да и корневой сертификат МинЦифры тоже RSA
ФСТЭК предложила увеличить штрафы за нарушение требований к защите информации до 25 раз