Pull to refresh

Comments 57

программно-техническое исполнение

там, кстати, не написано, что означает это словосочетание? может они имели в виду «программно-аппаратное»?

При этом фильтрация должна распространяться «на все операции перемещения через МЭ информации к узлам информационной системы и от них». Если первая часть требований вполне логична, то вторая утопична, так как требует раскрытия файрволом всех протоколов и любых недокументированных возможностей перемещения информации (например передачи информации вредоносными программами через DNS).


что в этом утопичного? вполне себе вменяемое требование для продукта подобного рода. другое дело, как это реализовать технически.

Ну а вообще, с такими требованиями, производительность сети… гхм… о какой производительности тут вообще можно говорить? Странные они)
Разработчики документов ориентировались на DPI и next-gen firewall, что в принципе оправданно для защиты серьёзной инфраструктуры. Вообще никто не не требует чтобы между сегментами были именно сертифицированные продукты — как модель угроз будет составлена.
Производительность кажется решалась требованием для периметровых фаерволов уметь разделять нагрузку, емнип.
Между сегментами — это тип Б. В статье рассмотрен тип В — для установки на рабочие станции. Тут разделение нагрузки не пройдет
Производительность кажется решалась требованием для периметровых фаерволов уметь разделять нагрузку, емнип

Возможно. Но вешать все только на программное исполнение — вот это утопичное требование.
UFO just landed and posted this here
До выхода Профилей для защиты рабочих станций можно было использовать сертифицированный антивирус, в составе которого шел файрвол — как компонент антивируса тоже сертифицированный.

— Каким это образом было можно так делать? Это явно не запрещалось большими буквами для тупых, но никак вы не могли в модели угроз указать что у вас антивирусную защиту осуществляет компонент МЭ, не имеющий сертификацию на САВЗ.
Но видимо многие талантливые люди так делали, потому что Лютиков особенно негодовал и настаивал на включении этого пункта в докуемнты. В итоге теперь разработчики попали на необходимость физического разделения модулей и вырезания вспомогательных модулей из сертифицируемого продукта…

Возможности для производителей антивирусов расширить сертификат не предусмотрено
— опять же кто это сказал.
Именно так, поскольку требований по персональным файрволам не было, то молча разрешалось использование компонента сертифицированного антивируса. На самом делен все было не так страшно. Дело в том, что сертификация по Профилям включает проверку на НДВ. Соответственно файрвол был как минимум сертифицирован по НДВ

Расширить сертификат можно в процессе ИК, но расширить по функционалу. Включить соответствии иным парофилям — такой процедуры насколько мне известно нет
Вы не правы по всем пунктам.
Процедура сертификация по профилям антивирусной защиты включает тестирование на отсутствие недекларируемых возможностей. Это как бы прописано в требованиях. Тех же Профилях
Если продукт сертифицирован на соответствие одному типу Профилей, то в ходе ИК можно добавить иной класс или уровень защиты этого типа Профилей, но не соответствие иному Профилю, так как сертификация производится на соответствие конкретному Профилю
В чем я не прав?
Ну вот практически это не так. НДВ не равно «не сертифицированный функционал»
НДВ вообще не функционал, вы абсолютно правы. Даже наоборот. Это отсутствие недокументированного функционала, если очень грубо
Естественно сделать можно все. Вопрос сколько будет это стоить. Теоретически можно разобрать любые протоколы и собрать любую информацию. По факту же, если скажем злоумышленники найдут возможность передачи информации через использование стандартного протокола (на уровне пакетов или инкапсуляцией) — сможет используемый файрвол без обновлений отфильтровать ранее неизвестный путь выхода или входа?
Это не те схемы. В ДСПшной части хорошие схемы, где расписаны где и что по типам нужно ставить. Не понимаю, что там страшного в открытии таких схем.
Остальные классы защиты описываются в документах с грифом ДСП и широкой публике недоступны.

МЭ 1-3 классы для защиты государевой тайны, а следовательно и не должны публиковать в открытом доступе, так как данные сведения в соответствии с законом о гос. тайне — должны являться гос. тайной.

Можно предсказать, что как в случае с антивирусами сертифицированных продуктов для классов защиты ниже четвертого не будет.


Далеко не факт. Различия между классами есть достаточно существенные, а с учетом что подавляющие большинство информационных систем персональных данных (ИСПДн) имеет 3-й уровень защищенности, то МЭ 6 класса вполне хватит для защиты перс. данных в общем случае.

Поэтому рассмотрим Профиль защиты для четвертого класса защиты. Нужно сказать, что требования для всех типов достаточно похожи, поэтому для примера требований возьмем Профиль типа В

Различия в требованиях есть и они довольно существенны, например в МЭ А4 требуется маскирование сетевых адресов, да и само описание требований, если читать имеет различия.

К сожалению в открытую часть не попали схемы, указывающие, где должен располагаться сертифицированный МЭ типа В.

А как вы хотели чтоб они попали? У всех сети разные. Требования о наличии МЭ указаны в нормативных документах, например приказы ФСТЭК 17 и 21, во исполнении этих приказов разрабатывается Тех. задание на систему защиты, в котором и указывается размещение МЭ

Получается, что МЭ должен иметь средства защиты от DDoS?

Кроме DDoS разве нет атак на отказ в обслуживании? А TCP Syn flood?

Касательно настроек
Нет требований по режимам работы — все запрещено/разрешено/режим обучения. Предполагается настраивать каждое соединение по одному?;

Сертифицированные СЗИ настраиваются в соответствии с ТЗ, в котором прописаны все разрешенные информационные потоки. Предпроектная стадия в профилях защиты не рассматривается, да и в общем не должна рассматриваться для данного уровня доверия (ОУД3).

И тут потребителей ожидает засада. До выхода Профилей для защиты рабочих станций можно было использовать сертифицированный антивирус, в составе которого шел файрвол — как компонент антивируса тоже сертифицированный.

Такого не было и раньше. Если по вашему проекту защиты требовалось применение МЭ, то вы должны были использовать средство защиты информации (СЗИ), на которое есть формуляр в котором указан номер сертификата, в кортом в свою очередь указано что это сертифицированный МЭ. Хочу отметить что раньше были сертифицированные СЗИ имеющие сертификат как антивирус, как МЭ и как СОВ. Но это ни в коем случае не обозначает что можно использовать сертифицированный антивирус как МЭ

Пячаль в любых вариантах.

Странный вывод, Сертифицированные СЗИ могут использоваться до окончания сроков действия сертификатов, так есть и было всегда. Постулат об использование одного типа СЗИ как другого (антивирус как МЭ) вообще не выдерживает критики.

А вообще ФСТЭК молодцы. Да в документах есть баги, да и в общей системе классификации экранов тоже есть нюансы, например почему выделили МЭ типа «Г» для веб-серверов, но не сделали отдельный тип для SQL-серверов. Есть мнение что, планировалось описать МЭ уровня приложений, но по каким-то причинам сделать это не удалось. Но! Данные требования к МЭ являются существенным шагом вперед по сравнению с документами 1995 г.

например в МЭ А4

Вот что зря попало в ДСП, так это таблицы по функционалу по классам и уровням защиты. Я не против помещения части информации под ДСП — закон есть закон. Но на мой взгляд часть информации можно было вынести для наглядности.

Сертифицированные СЗИ настраиваются в соответствии с ТЗ, в котором прописаны все разрешенные информационные потоки

Это утопия:
— специалисты на местах не знают как скажем сейчас шифровальщики выходят в интернет. Я бы бы очень за, если бы ФСТЭК поддерживал актуальную модель угроз, по которой можно было бы создавать и поддерживать такое ТЗ. ПО факту же такое ТЗ с учетом не только информационных потоков организации, но и методов работы злоумышленников сейчас отсуствует
— на местах квалификация администраторов недостаточна, чтобы провести полноценный аудит. Увы

Хочу отметить что раньше были сертифицированные СЗИ имеющие сертификат как антивирус, как МЭ и как СОВ

Возможно я что-то пропустил. Какие сертифицированные МЭ были для рабочих станций?

Сертифицированные СЗИ могут использоваться до окончания сроков действия сертификатов

Я собственно против этого ничего не имею. Я говорю про то, что необходимость иметь два сертифицированных продукта вместо одного — это рост размера бюджета, тогда как по регионам он на этот год срезан процентов на 20
Какие сертифицированные МЭ были для рабочих станций?
Office Scan, сертиификат заканчивается в ноябре.
Trend Micro. Не встречал на практике. Спасибо за информацию, изучу
Это утопия:
— специалисты на местах не знают…
— на местах квалификация администраторов недостаточна ...

Это не утопия, это нормальная работа. Другое дело, что за квалификацию нужно платить. Специалисты на местах, администраторы должны имееть соответвующее образование. Просто админ не имеет права заниматься обеспечением ИБ (у госиков),

Возможно я что-то пропустил. Какие сертифицированные МЭ были для рабочих станций?

Как минимум VIPNET, Континент-АП
Сам пользовался http://www.securitycode.ru/products/security_studio_endpoint_protection/ но тут тру печаль, Outpost купил Яндекс, данный продукт походу свернули. На этот софт были самые лучшие сертификаты — как АВ, СОВ и МЭ

Я говорю про то, что необходимость иметь два сертифицированных продукта вместо одного — это рост размера бюджета
,
Еще раз повторюсь, так было всегда.
Полностью согласен, что за квалификацию нужно платить — с чем сейчас на рынке проблемы. Я не спорю с тем, что должно быть. Я говорю, что по факту.
Но даже если есть бюджет — этого мало — нужны знания. Те же методики, курсы, типовые модели угроз. А их сейчас на рынке в области ИБ по сути нет. Теоретически они конечно есть, но я лично не видел ни одной нормальной модели угроз в части вредоносных файлов. Если у вас есть — готов проверить — скидывайте в личку. По моей статистике 19 из 20 организаций не знают вообще о неизвестных угрозах и назначении антивируса

Аутпост действительно был. С удовольствием пользовался. Жаль.
Курсы нормальные есть, надо просто понять что вам нужно.
Если нужны знания нормативки и методик: УЦ МАСКОМ, Информзащита, АИС, Сюретль — welcome получите корочки которые подойдут для регуляторов.
Если нужно качнуть практическую безопасность — PentestIT, кстати они есть на Хабре или буржуйские CEH и др.
Главное понимать что за один курс невозможно стать и специалистом по методикам и практическим безопасником.

По моей статистике 19 из 20 организаций не знают вообще о неизвестных угрозах и назначении антивируса

Очень хотелось бы работать в организации которая знает о неизвестных угрозах, пока что все живем в мире известного :)

но я лично не видел ни одной нормальной модели угроз в части вредоносных файлов.

И не уведите, так как предметом для моделей является вредоносный код, а не вредоносный файл. Для понимания разницы можно ознакомиться с описанием вируса slammer — это первое.
Второе, а что в этой модели вы хотите увидеть? Перечисление всех зловредов? Классификацию зловредов?
Это делать бесполезно — даказано историей. Все классификации вирусов, которые когда либо пытались сделать на практике рушатся, поскольку вирусмейкерам глубоко плевать, что их творение не вписываеться в те рамки, которые им придумали «умные дяди».

На практике, вредоносный код рассматривается как абстракция, которая имеет функционал нарушающий свойства безопасности информации (целостность, доступность и т.д.).

Детализироваться внутрь особого практического смысла не имеет, поскольку по сути нет разницы зашифрует ли ваши данные вирус, или же уничтожит или перешлет куда либо, главное что будут нарушены свойства безопасности информации, для поддержания которых и строится система защиты.

Современная практика обеспечения защиты от вредоносного кода базируются на борьбе с проникновением и выполнением вредоносного кода на защищаемом объекте, в вот это достигается уже большим числом способов. Начиная с антивирусов, организацией замкнутой программной среды, блокирование каналов проникновения вредоносного кода (Интернет, флешки) и др.

В заключение хочу ответить что модель угроз, сама в себе большого смысла не имеет, она нужна для формирования технического задания на построение системы защиты.
Да не вопрос. Если все известно и есть все курсы — просьба ответить на простой вопрос — зачем нужен антивирус (именно антивирус, а не антивирусная система защиты. Разница есть и существенная) на:
— рабочей станции
— почтовом сервере
— шлюзе
Кстати вы уже ошиблись в описании назначения в предпоследнем абзаце. Антивирус не может обеспечить нормального уровня защиты от проникновения
Простой вопрос: зачем нужен антивирус. Ответ на него каждый делает сам.
Для меня как потребителя, антивирус является частью комплексной системы защиты от вредоносного кода.

Антивирусная защита не является темой статьи.
Ответ на него каждый делает сам.

Я бы не сказал. Защита от вредоносного кода — часть должностных обязанностей и в информационной системе и антивирус и МЭ имеют строго определенные роли
UFO just landed and posted this here
UFO just landed and posted this here
UFO just landed and posted this here
UFO just landed and posted this here
UFO just landed and posted this here
Не. Не мы. Мы точно не подавали
Остальные классы защиты описываются в документах с грифом ДСП и широкой публике недоступны.

Мне одному это режет глаз? Как бы ДСП — не гриф. Или эта информация тоже теперь «недоступна широкой публике»? ))
ДСП — не гриф, это все знают :), это пометка конфиденциальности не имеющая под собой юридической силы.
На текущий момент есть грифы: коммерческая тайна, секретно, сов. секретно, особой важности.

Все это прописано в действующих Федеральных законах и Постановлениях Правительства.
Конечно не гриф. Информация ограниченного распространения. Но огрести за ее утечку можно не меньше, чем за секретную
UFO just landed and posted this here
выглядит как документ 199* года, а на дворе 2016.
На самом деле документ не плохой. По сравнению с требованиями к антивирусам — даже отличный. Хорошо проработан в частях по документации и аудиту. Но вот в части функционала… Да, тут явно определили только направления
UFO just landed and posted this here
UFO just landed and posted this here
UFO just landed and posted this here
UFO just landed and posted this here
UFO just landed and posted this here
UFO just landed and posted this here
UFO just landed and posted this here
UFO just landed and posted this here
На самом деле то, что вы описали — последствия, а не проблема. Проблема в другом. Посмотрите сопроводительные документы к нашим законам. Да хоть к пакету Яровой. Что там написано? Не требует затрат из бюджета. И рядом в законе прописывается ведомство, которое будет регулятором. Мы вот ругаемся на Роскомнадзор, ФСТЭК и тд. Но предположим вы начальник какой Восьмерки. Вам сверху спустилось требование проверять все организации страны на соблюдение требований к защите согласно закону… + вы должны разработать приказы и иные акты по данной тематике. А бюджета на новые задачи нет. Без затрат из бюджета же. И как? По сути и Роскомнадзор и ФСТЭК вертятся как на сковородке исполняя неисполнимые при числе их сотрудников и их зарплатах задачи. Ни в коем разе не защищаю эти организации, но как бы вы действовали на их месте без бюджета и нужного штата? Проблема увы системная. Почитайте решение о введении проектного управления в правительстве — смех и слезы
UFO just landed and posted this here
UFO just landed and posted this here
Ну А это не спортивно. Это корпоративный межсетевой экран. Такое и по старым требованиям было. Вот бы посмотреть на файрвол для десктопов или веб-серверов

Таки ждем, что после 1го декабря будут делать с закупками тех же файрволов для десктопов
Не то, чтобы я хочу заниматься некропостингом, но у ГК Конфидент появился новый сертификат на СЗИ от НСД Dallas Lock 8.0 с функциями МЭ и СОВ.
Я лично предсказывал, что сертифицироваться будут компоненты типа файрвола, входящие в антивирус. Вопрос цены. Посмотрим
Цена за 1 лицензию в районе 10.000 рублей.
Он и раньше не дешевый был
Тут веселье в том, что сейчас все обязаны закупить сертифицированное решение, но мало того, что выбора особо нет, так и денег в бюджет не заложено скорее всего
Не все. Эксплуатируемые на объектах СЗИ, которые были установлены до 1.12.2016 продолжают своё функционирование и не требуют замены. До окончания срока действия их сертификата. А дальше уже — замена.
Пока нет такого желания — очень серьёзные требования.
Согласен, но не удивлюсь, если заказчики будут просить все сертификаты в одном флаконе
Only those users with full accounts are able to leave comments. Log in, please.

Articles