Как стать автором
Обновить

Комментарии 28

Тут вам и межсетевой экран прикладного уровня, и фильтрация URL, и нейтрализация вредоносного кода, и встроенная корреляция событий, и расследование инцидентов, и интеграция со сканерами безопасности, и множество других функций, автоматизирующих рутинные задачи безопасника.

А разве современный подход к расследованию инцидентов не подразумевает использование SIEM? В котором как раз все эти вкусности агрегации и интеграции реализуются? С задачами IPS/IDS снорт справляется хорошо.
Никогда не пойму этот подход, при котором сначала предлагается внедрить кучу самодостаточных железок, а потом второй раз заморачиваться с их взаимной интеграцией и централизованной обработкой событий.
А разве современный подход к расследованию инцидентов не подразумевает использование SIEM? В котором как раз все эти вкусности агрегации и интеграции реализуются?


Тут будет уместно сказать, что it depends. Если у вас есть финансовые и человеческие ресурсы на разворачивание всех компонентов системы ИБ отдельно — то да, использование отдельного SIEM является предпочтительным. Но нужно помнить, что это вещь, во-первых, дорогая, и, во-вторых, тяжелая в настройке. Для значительной части заказчиков использование встроенных механизмов достаточно. Даже тот минимальный механизм управления инцидентами, который был встроен в Stonegate, позволял полноценно вести большую часть инцидентов.

Никогда не пойму этот подход, при котором сначала предлагается внедрить кучу самодостаточных железок, а потом второй раз заморачиваться с их взаимной интеграцией и централизованной обработкой событий.


А для этих целей сейчас предлагают использовать all-in-one решения, типа (не к ночи будь помянут) Check Point (тьфу-тьфу-тьфу, не приведи с ним работать).
Не совсем понимаю такую ненависть к продуктам CheckPoint. У меня есть некоторые вопросы к надежности данного продукта (выходят из строя гораздо чаще чем cisco), но у них очень системный и четкий подход к обеспечению безопасности. Есть UTM устройство, которое включает все необходимое для защиты сети. Что использовать, а что нет, уже ваша проблема. Но у них всего один продукт.
В решениях же cisco по моему уже даже сотрудники cisco путаются. Бесконечно число решений, с перекрывающим друг друга функционалом. Нет четкого представления и вектора движения. По крайней мере я не вижу.
И это я еще не упомянул кучу продуктов, которые Cisco просто бросила разрабатывать, взяв за них кучу денег.
Что плохого, когда один продукт может частично выполнять функции другого? Рутер выполняет функции МСЭ. NGFW выполняет функции WAF. WSA выполняет функции борьбы с ботнетами. AMP позволяет реализовать облегченную DLP. Иногда такая «облегченная» функциональность очень полезна, если нет возможности брать полнофункциональный продукт.
А FireSIGHT и есть SIEM для решений Cisco (не для всех, но для всех упомянутых)
Я вам, наверное, открою тайну, но в инфраструктуре могут быть не только Cisco.
Да, такое еще встречается иногда :-) Поэтому мы и не называем FireSIGHT полноценным мультивендорным SIEM'ом. Он только для управления событиями от решений Cisco. Но зато за эту функциональность денег не берем, в отличие от заоблачных цен на SIEM
Я не поверю что эта функциональность не отразилась на цене, хоть в явном виде она и не оплачивается. А SIEM стоит конских денег только у нескольких вендоров, которых можно пересчитать по пальцам, а одного из них вы точно знаете ;-)
Есть SIEM решения, не стоящие никаких денег, ибо СПО.
alukatsky А FireSIGHT будет работать с любыми продуктами Cisco по безопасности? Можно в него завести ASA и встроенный Firepower, добавить WSA, ESA, события из ISE, и прочее?
Пока не с любыми. Только ASA, FirePOWER и сканеры безопасности. Со временем может быть добавить и другие решения
Алексей, может вопрос немного не в тему, но не планируется ли реализация в Cisco ASA программных модулей S-terra (как сейчас FirePOWER)? Чтобы получать сертифицированный МЭ и VPN в одной коробке.
Мы рассматриваем такой вопрос, но не раньше завершения сертификации ASA в ФСБ. Без этого С-Терра может и заработает на ASA, но сертификата не получит. А без сертификата, что С-Терра, что встроенная криптография — равнозначны
Боюсь задать глупый вопрос, но рискну (т.к. больше спросить не у кого). А почему в Cisco ASA не реализовать ГОСТ шифрование? Подключить библиотеки криптопро (как это делается в CheckPoint), тогда бы и S-terra не нужна была.
Как вы думаете, что для компании выгоднее, продавать для решения этой задачи свое железо в виде модулей S-terra или отдать все на откуп Крипто-Про/Криптоком?

З.Ы. Пардон что вклиниваюсь.
А тут все просто. Чтобы разрабатывать СКЗИ необходимо иметь лицензию ФСБ на разработку. Делаться разработка должна на территории России. Для сертификации надо предоставить исходники всего решения, куда встраивается СКЗИ. Это куча головной боли и непросто в реализации. Только после этого можно получить сертификат ФСБ. Без сертификата, что ГОСТ, что AES равнозначны с точки зрения законодательства. Именно поэтому у Check Point нет сертификата ФСБ на решение на базе КриптоПро. А наличие сертификата на криптобиблиотеку не делает все решение, ее включающее, легитимным. С 2014-го года ФСБ поменяла правила и требует сертификат на все изделие целиком.
Алексей, расскажите подробнее, пожалуйста.
Я помню ваш пост «О так называемой поддержке ГОСТа...», по итогам которого решение CheckPoint оказывалось нелегитимным, потому что во всех случаях, когда закон требует ГОСТ, он же требует и проверку на «корректность встраивания», которой у ЧП нет.
Что-то поменялось в 2014, что оно стало ещё более нелегитимным? :)
Не, не совсем так. ФСБ все шифровальные средства делит на два класса — сертифицированные и все остальные. Чтобы продукт считался сертифицированным он должен:
— быть разработан в России по согласованному с ФСБ ТЗ
— пройти целиком испытания в ФСБ (для этого нужно предоставлять исходники)
— реализовывать ГОСТ.

Наличие только третьего пункта не делает продукт сертифицированным. Нужно еще первые два пункта реализовать. Для иностранных компаний это, мягко говоря, затруднительно. Поэтому можно включить в свое решение КриптоПРО, но продукт сертифицированнее от этого не станет. Тоже самое, если КриптоПро поставить на маршрутизаторы, на модуль UCS-E. Оно будет работать (и работает), но сертифицированным считаться не будет
С 2014-го года ФСБ поменяла правила и требует сертификат на все изделие целиком.

Подскажите, пожалуйста, в каком акте это изменение прописано?
Гугл ведет только на ваш блог и отсылку в кулуары.
К сожалению, в публичных актах этого нет. Это рассылалось по лицензиатам ФСБ
Значит это не законно.
То есть, если придет роскомнадзор, я показываю старые нормативные документы на контроль встраивания, показываю модель угроз с указанием на необходимость использования не выше КС2?
Не совсем так. Вопросы сертификации СКЗИ относятся к ведению ФСБ и они вольны регулировать это так, как считают нужным. На уровень федерального законодательства выносится только обязанность применять или не применять сертифицированные СКЗИ. К тому же, даже раньше было требование применения сертифицированного СКЗИ, а не криптобиблиотеки. Так что ФСБ в своем праве.

Что касается РКН, то он вообще не уполномочен проверять вопросы технической защиты ПДн.
К слову: вы и требований к КС2 не найдете в открытом доступе :-) Это закрытый документ. Так и с изменением процедуры сертификации
Вы опять передергиваете. Я говорю о том что, допустим, в модели угроз все расписано и указывается что необходимо применять криптосредства не выше КС2. Я беру сертифицированный крипто-про и устанавливаю его на сертифицированный линуксовый дистрибутив, выполняя тем самым встраивание. Официальные документы ФСБ говорят о том что для КС2 контроль встраивания не является обязательным. Чем ФСБ будет обосновывать незаконность моих действий?
Закрытой рассылкой среди лицензиатов? Не смешите меня…
Если вы берете сертифицированный КриптоПро, то должны соблюдать ТУ на него. А в нем черным по белому написано, что для встраивания КриптоПро куда-либо необходимо согласовать ТЗ с ФСБ. А при согласовании вы столкнетесь с тем, что сертификата получено не будет на решение, если оно не проверяется целиком.
Какие официальные документы ФСБ говорят, что для КС2 контроль встраивания не является обязательным? Номер приказа можно уточнить? Если уж мы дошли до такого уровня дискуссии.

Ну и к слову. Встраивать СКЗИ куда-то — это лицензируемый вид деятельности вообще-то. Не имея на это лицензии, вы рискуете попасть под 171-ю УК РФ.
Не надо, крипто-про нигде не пишет про обязательное соблюдение ТУ пользоватетем, особенно в пункте про встраивание. Там этого нет.

Закон? Олично:

Постановление Правительства Российской Федерации от 17 ноября 2007 года №781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных».

5.Требования к контролю встраивания криптосредства

5.1.Встраивание криптосредств класса КС1 и КС2 осуществляется БЕЗ КОНТРОЛЯ со стороны ФСБ России (если этот контроль не предусмотрен техническим заданием на разработку (модернизацию) информационной системы).

Встраивание криптосредств класса КС3, КВ1, КВ2 и КА1 осуществляется только под контролем со стороны ФСБ России.

5.2.Встраивание криптосредств класса КС1, КС2 или КС3 может осуществляться либо самим пользователем криптосредства при наличии соответствующей лицензии ФСБ России, либо организацией, имеющей соответствующую лицензию ФСБ России.

Встраивание криптосредства класса КВ1, КВ2 или КА1 осуществляется организацией, имеющей соответствующую лицензию ФСБ России.

Ну да, придется найти лицензиата и просить его выполнить формальный контроль встраивания… А нифига.

Методическими рекомендациями необходимо руководствоваться в случае определения оператором необходимости обеспечения безопасности персональных данных с использованием криптосредств (за исключением случая, когда оператором является физическое лицо, использующее персональные данные исключительно для личных и семейных нужд), а также при обеспечении безопасности персональных данных при обработке в информационных системах, отнесенных к компетенции ФСБ России. В частности, Методическими рекомендациями необходимо руководствоваться в следующих случаях:

при обеспечении с использованием криптосредств безопасности персональных данных при их обработке в государственных информационных системах персональных данных (часть 5 Федерального закона от 27 июля 2006 года №149-ФЗ «Об информации, информационных технологиях и о защите информации»);
при использовании криптосредств для обеспечения персональных данных в случаях, предусмотренных п.3Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (ПоложениеПКЗ-2005).

То есть, либо это государство и ему стопудово надо сертифицированный СКЗИ, либо ориентироваться на ПКЗ-2005, но он носит РЕКОМЕНДАТЕЛЬНЫЙ характер.

Иными словами, все что вы окрестили обязательным к исполнению, на самом деле является только рекомендациями. И если ФСБ лицензиатов за неисполнение своих понятий полузаконно дрючит, это не относится к простым пользователям =))

Чтобы не быть голословным, пункт из ПКЗ

4. Требования Положения ПКЗ
— 2005 носят РЕКОМЕНДАТЕЛЬНЫЙ характер при разработке,
производстве, реализации и эксплуатации:
средств криптографической защиты информации, доступ к котор
ой ограничивается по
решению обладателя, пользователя (потребителя) данной информации, собственника
(владельца) информационных ресурсов (информационных систем) или уполномоченных
ими лиц, не являющихся государственными органами или организациями,
выполняющ
ими государственные заказы;
Ничего, что 781-е Постановление отменено уже несколько лет назад?

Ну а что касается ТУ, то я почему-то вижу вот такой текст: «При встраивании СКЗИ ЖТЯИ.00050-03 в прикладные системы необходимо по Техническому заданию, согласованному с 8 Центром ФСБ России, проводить оценку влияния среды функционирования СКЗИ на выполнение предъявленных к СКЗИ требований в случаях:
— если информация, обрабатываемая СКЗИ, подлежит защите в соответствии с законодательством Российской Федерации;
— при организации защиты информации, обрабатываемой СКЗИ, в федеральных органах исполнительной власти, органах исполнительной власти субъектов Российской Федерации;
— при организации криптографической защиты информации, обрабатываемой СКЗИ, в организациях независимо от их организационно-правовой формы и формы собственности при выполнении ими заказов на поставку товаров, выполнение работ или оказание услуг для государственных нужд.
В остальных случаях рекомендуется проводить установленным порядком проверку корректности встраивания СКЗИ ЖТЯИ.00050-03 в прикладные системы с целью оценки обоснованности и достаточности мер, принятых для защиты информации, обрабатываемой СКЗИ.»
Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.