Комментарии 56
Т.е. FreeBSD 10 проверку ФСТЭК тоже прошла?
Сертифицируют. Причём не только ФСТЭК но ещё отдельные сертификаты МО и ФСБ есть со своими требованиями и различиями.
Другой вопрос как это всё лопатят и проверяют )
Другой вопрос как это всё лопатят и проверяют )
Это нужно спросить у ФСТЭК, как они проверяли. Мы получили ответ, что система соответствует требованиям, выдвинутым сертифицирующим органом.
Методики, исходные данные и результаты исследований публике не доступны? Тогда сертификат — филькина грамота. Ему можно верить, а можно и нет…
Методики ФСТЭК распространяет по запросу. Сомневаться в подходе ФСТЭК, по мне, сомневаться в отечественной системе защите информации целиком.
Есть ли конкретные примеры выявленных несоответствий ПО либо железа сертифицированных ФСТЭК?
Есть ли конкретные примеры выявленных несоответствий ПО либо железа сертифицированных ФСТЭК?
А кто-то НЕ сомневается в отечественной системе защиты информации? Я точно знаю, что существуют уязвимости на отказ в обслуживании (вероятно и на RCE) в сертифицированном ФСТЭК софте. Без конкретики, ессно.
В вашем понимании читается, что сертификация ФСТЭК проходит на все уязвимости и атаки, с чем не могу согласиться.
Уверены, что профиль защиты для «сертифицированного софта» включал в себя требования противостоять атакам типа отказ в обслуживании, а сертифицирован на НДВ?
Давайте перейдем к парадоксу бумажной и реальной безопасности. Порой для бизнеса необходима только сама бумажка (сертификат соответствия). Винить ФСТЭК в том, что производитель (разработчик) не желает развивать свой продукт, не стоит.
Уверены, что профиль защиты для «сертифицированного софта» включал в себя требования противостоять атакам типа отказ в обслуживании, а сертифицирован на НДВ?
Давайте перейдем к парадоксу бумажной и реальной безопасности. Порой для бизнеса необходима только сама бумажка (сертификат соответствия). Винить ФСТЭК в том, что производитель (разработчик) не желает развивать свой продукт, не стоит.
Винить ФСТЭК и Ко стоит в том, что имеется эта самая бумажная безопасность. Которая отнимает силы и средства от безопасности реальной. Когда важнее «у нас все соответствует требованиям», а не реальное отсутствие SQLi, RCE и иже с ним.
Вас никто не заставляет покупать нечто, что имеет уязвимости. Чем вызвано негодование, если никто не запрещает использовать СОА/СОВ или WAF?
Любой вопрос решается комплексно, исходя из моделирования конкретной ситуации и расчета риска, и без бумаг никуда.
Сертификация ФСТЭК никаким образом не говорит о качестве продукта, а только про соответствие конкретным требованиям.
Любой вопрос решается комплексно, исходя из моделирования конкретной ситуации и расчета риска, и без бумаг никуда.
Сертификация ФСТЭК никаким образом не говорит о качестве продукта, а только про соответствие конкретным требованиям.
Методики ФСТЭК распространяет по запросу. Сомневаться в подходе ФСТЭК, по мне, сомневаться в отечественной системе защите информации целиком.
Есть ли конкретные примеры выявленных несоответствий ПО либо железа сертифицированных ФСТЭК?
Да пожалуйста:
В конце 2013 была опубликована очередная порция разоблачений Сноудена — каталог различных программных и аппаратных закладок, разработанных подразделением АНБ — ANT. Вся информация о закладках носит гриф «Секретно» (Secret, S) либо «Совершенно секретно» (Top Secret, TS) и должна оставаться секретной до 2032 года.
Продукты: NetScreen 5XT, NetScreen 25, NetScreen 50, ISG 1000, SSG-5, SSG-20, SSG-140
Отдельные экземпляры этих продуктов (или их близкие аналоги) были неоднократно сертифицированы во ФСТЭК по 3 классу защищенности межсетевых экранов, что позволяет их использовать в том числе для защиты гостайны.
Сложно прокомментировать, т.к. в реестре средств защиты информации не нашел информации о сертификации указанных продуктов.
Еще раз повторюсь, сертификация — это не подтверждение исключительных свойств защиты информации в целом, а только декларирование соответствия конкретным требованиям. 3 класс РД МЭ, не говорит о том что он сертифицирован еще и на НДВ, и, в частном случае, необходимо использовать дополнительные средства (сертифицированные на НДВ и т.д).
Еще раз повторюсь, сертификация — это не подтверждение исключительных свойств защиты информации в целом, а только декларирование соответствия конкретным требованиям. 3 класс РД МЭ, не говорит о том что он сертифицирован еще и на НДВ, и, в частном случае, необходимо использовать дополнительные средства (сертифицированные на НДВ и т.д).
Легко представить ситуацию, где наличие сертификата у продукта означает гарантию нахождения в нём уязвимости. И я даже не про наличие требования бэкдора для "большого брата". Взломают, например, гостовские алгоритмы и сообщат со всем подробностями на Хабре :) Сколько, по-вашему, потребуется регуляторам времени чтобы, хотя бы, разрешить переключиться на альтернативные алгоритмы, там где переключение возможно технически, без нарушения закона?
Давайте говорить на конкретных примерах, нафантазировать можем много.
Диалог плавно переходит из русла сертификации ФСТЭК в ФСБ.
Ответы на ваши вопросы размещены на сайте ТК-26, а в частности, закладывается переходный период или вводится запрет на эксплуатацию. Т.е. работа над обращением алгоритмов шифрования ведется планомерно, а не имеет характер «разовой работы».
Диалог плавно переходит из русла сертификации ФСТЭК в ФСБ.
Ответы на ваши вопросы размещены на сайте ТК-26, а в частности, закладывается переходный период или вводится запрет на эксплуатацию. Т.е. работа над обращением алгоритмов шифрования ведется планомерно, а не имеет характер «разовой работы».
Очень рекомендую, кстати, посмотреть на сайте ФСТЭК на перечень уязвимостей в CMS, которую вы на своем сайте используете. Как минимум одна там не перечислена. Что наводит на странные мысли о «полезности» как списка уязвимостей, так и самого ФСТЭК
Ок. Теперь вопрос на злобу дня. (Характерный впрочем для всех серт. Сзи).
Как будете на продукт обновы накатывать закрывающие критические дыры? От spetre и meltdown запатчились? Или теперь ещё год ждать пока лаборатория не проверит, а есть ли там НДВ в заплатках?
Как будете на продукт обновы накатывать закрывающие критические дыры? От spetre и meltdown запатчились? Или теперь ещё год ждать пока лаборатория не проверит, а есть ли там НДВ в заплатках?
Лаборатория принимает патчи. Да не быстро, да стоит денег.
Сейчас процедура сертификации не предполагает быстрой проверки обновлений для сертифицированной версии. Каждое обновление необходимо «прогонять» по полному циклу тестирования. Надеемся, что в будущем это изменится и появится методика ускоренной ресертификации обновлений и доработок.
Сертификация — очень муторное занятие, но местами увлекательное. Такие штуки, как подсчет строк кода в мультиязычном проекте — повод померяться)))
Сопоставление исходных и объектных файлов, описание сертифицируемого функционала отнимает массу времени. В конечном счете, сертификат все равно не является чем-либо большим, чем бумажка. Однако при работе с ГОСами без нее не обойтись.
Сопоставление исходных и объектных файлов, описание сертифицируемого функционала отнимает массу времени. В конечном счете, сертификат все равно не является чем-либо большим, чем бумажка. Однако при работе с ГОСами без нее не обойтись.
По поводу межсетевых экранов — это отдельная тема.
Посмотрев на реализацию некоторых хочется плакать. Говорю про СТРОМ. Который представляет по сути ретранслятор оптики в медь, в котором используется только одна оптическая жила в определенном направлении с кривым софтом и ужасной документацией, однако обладающим нужными сертификатами для того, чтобы заломить ценник.
P.S. U_bobra_estb_usiki
Посмотрев на реализацию некоторых хочется плакать. Говорю про СТРОМ. Который представляет по сути ретранслятор оптики в медь, в котором используется только одна оптическая жила в определенном направлении с кривым софтом и ужасной документацией, однако обладающим нужными сертификатами для того, чтобы заломить ценник.
P.S. U_bobra_estb_usiki
Ну а заказчикам это лишний повод задуматься — если у поставщика нет сертификата ФСТЭК, так ли он хорош, как рассказывает о себе?
Ме..., ну такое себе.
Все это филькина грамота, сертификация ФСТЭК. Обновлять продукты нельзя не ресертифицируя, если с персданными работаешь. И стоят эти продукты с дырами годами. Так что получается все наоборот, не защита данных, а разведение дыр. И даже банальные косяки нельзя исправить в программе.
Предложите как лучше.
В случае с ПДн — усилить ответственность, но убрать сертификационные требования.
Обновленные версии выпускаются, с новыми котролями, суммами, формулярами и т.д.
У многих производителей СЗИ соответствующие разделы или объявления на сайтах. Часто обновление и доставка (это носитель и бумаги) за счет производителя.
Много лет назад на форуме этой компании спрашивал насчёт лицензионной частоты:
Данное ПО работает на платформе Windows. По лицензионнной политике Microsoft каждому клиенту сервера требуется клиентская лицензия (за исключением FTP и WEB служб). Т.е. недостаточно купить лицензию на 50 пользователей вашего экрана — нужно купить ещё 50 лицензий на Windows(!)
Компания Smartsoft скромно умалчивает этот факт.
Данное ПО работает на платформе Windows. По лицензионнной политике Microsoft каждому клиенту сервера требуется клиентская лицензия (за исключением FTP и WEB служб). Т.е. недостаточно купить лицензию на 50 пользователей вашего экрана — нужно купить ещё 50 лицензий на Windows(!)
Компания Smartsoft скромно умалчивает этот факт.
Простите, но — не верю.
Для меня слово сертификация означает лишь то что «уплочена денежка» и ящик коньяка занесён «куда надо». И нужна эта бумажка лишь для прикрытия, мол если что — у нас продукт сертифицированный, пишите в спортлото.
Вот если бы ваши исходные тексты показали компании-разработчику статического анализатора кода, паре-тройке антивирусных компаний, пригласили бы ознакомиться нескольких признанных специалистов в данной отрасли (выложив в публичный доступ сканы заключений)…
Для меня слово сертификация означает лишь то что «уплочена денежка» и ящик коньяка занесён «куда надо». И нужна эта бумажка лишь для прикрытия, мол если что — у нас продукт сертифицированный, пишите в спортлото.
Вот если бы ваши исходные тексты показали компании-разработчику статического анализатора кода, паре-тройке антивирусных компаний, пригласили бы ознакомиться нескольких признанных специалистов в данной отрасли (выложив в публичный доступ сканы заключений)…
Государственная сертификация — это проверка софта на требования государства. Государство само решает, что ему нужно, ящик коньяка или анализ исходников. Для простых пользователей она мало что даёт, даже если доверие к государству откуда-то есть. Проблема только в том, что государство влезает в дела простых пользователей, обязуя их ставить сертифицированный софт.
mihmig: Мне кажется, что вы недопонимаете что такое сертификация и зачем она нужна.
Сертификация проводится на соответствие каким-либо требованиям, и, соответственно, сертификат — это документальное подтверждение того, что по результатам анализа ПО соответствует требованиям.
Наличие сертификата не гарантирует отсутствия проблем у ПО, это лишь подтверждение того, что ПО как минимум обладает нужными свойствами.
По уму, требования на МЭ от ФСТЭК'а это всего лишь часть ТЗ на продукт. И требования на мой взгляд довольно разумные.
Текущая система сейчас неповоротлива, и не всегда поспевает за изменениями, но довольно последовательна. Я не знаю другого способа, как обеспечить необходимый уровень качества ПО, которое поставляется в госорганизации.
А как быть если обнаружилась ошибка и без изменений в код не обойтись? По новой сертификацию проходить?
Ресертификация. Такой стандарт.
Господа. Убедительная просьба.
Если мы говорим об обновлении ПО, то не «ресертификация», а «процедура прохождения инспекционного контроля».
Прошу меня извинить, но глаз режет это слово — «ресертификация» )
Если мы говорим об обновлении ПО, то не «ресертификация», а «процедура прохождения инспекционного контроля».
Прошу меня извинить, но глаз режет это слово — «ресертификация» )
И она как раз, в теории, должна занимать меньше времени/затрат.
Именно так.
Однако если это аппаратно-программная платформа, то получится ли так с ней?
Ибо сертифицируется платформа в целом, именно, в таком случае.
По крайней мере насколько мне известно.
Однако если это аппаратно-программная платформа, то получится ли так с ней?
Ибо сертифицируется платформа в целом, именно, в таком случае.
По крайней мере насколько мне известно.
Есть регламент закрытия уязвимостей, прописанный в приложении к Формуляру, который предполагает:
1. Информирование всех клиентов об обнаруженной уязвимости, с инструкцией, как избежать эксплуатации уязвимости, описанием организационно-технических мероприятий по устранению возможности эксплуатации уязвимости;
2. Выпуск патча или обновления и донесения его до клиента с занесением записи в Формуляр;
3. Затем патч передается в Испытательную Лабораторию и ФСТЭК, проводится инспекционный контроль;
4. После проведения контроля изменения вносятся в сертификат, эксплуатационную документацию и производитель обновляет сертификаты и документацию у своих клиентов.
Это в теории и это разумно. Осталось, чтобы и на практике было также.
1. Информирование всех клиентов об обнаруженной уязвимости, с инструкцией, как избежать эксплуатации уязвимости, описанием организационно-технических мероприятий по устранению возможности эксплуатации уязвимости;
2. Выпуск патча или обновления и донесения его до клиента с занесением записи в Формуляр;
3. Затем патч передается в Испытательную Лабораторию и ФСТЭК, проводится инспекционный контроль;
4. После проведения контроля изменения вносятся в сертификат, эксплуатационную документацию и производитель обновляет сертификаты и документацию у своих клиентов.
Это в теории и это разумно. Осталось, чтобы и на практике было также.
А какие закладки были добавлены по требованиям ФСТЭК?
Господа.
А почему отказались от идеи реализации МЭ+СОВ сразу?
Если МЭ позиционируется для типов «А» и «Б», то для ГИС в которых они могут использоваться СОВ тоже нужно. Ставить ещё одну железку отдельно — крайне затратно. Однако без закрытия требований по СОВ тоже не обойтись.
А почему отказались от идеи реализации МЭ+СОВ сразу?
Если МЭ позиционируется для типов «А» и «Б», то для ГИС в которых они могут использоваться СОВ тоже нужно. Ставить ещё одну железку отдельно — крайне затратно. Однако без закрытия требований по СОВ тоже не обойтись.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Код проверяли буквально по строчкам: как наш межсетевой экран проходил сертификацию ФСТЭК