Как стать автором
Обновить

Комментарии 56

Т.е. FreeBSD 10 проверку ФСТЭК тоже прошла?
Так как это составной компонент Traffic Inspector Next Generation, а сертифицировался весь комплекс безопасности – выходит что да :)
НЛО прилетело и опубликовало эту надпись здесь
Сертифицируют. Причём не только ФСТЭК но ещё отдельные сертификаты МО и ФСБ есть со своими требованиями и различиями.
Другой вопрос как это всё лопатят и проверяют )
Скорее всего не лопатят и не проверяют. Возможно просто проверяют внешнюю активность. А так это 10 тясяч программистов системных садить надо, чтобы во вменяемый срок проверить.
Это нужно спросить у ФСТЭК, как они проверяли. Мы получили ответ, что система соответствует требованиям, выдвинутым сертифицирующим органом.
Методики, исходные данные и результаты исследований публике не доступны? Тогда сертификат — филькина грамота. Ему можно верить, а можно и нет…
Методики ФСТЭК распространяет по запросу. Сомневаться в подходе ФСТЭК, по мне, сомневаться в отечественной системе защите информации целиком.
Есть ли конкретные примеры выявленных несоответствий ПО либо железа сертифицированных ФСТЭК?
А кто-то НЕ сомневается в отечественной системе защиты информации? Я точно знаю, что существуют уязвимости на отказ в обслуживании (вероятно и на RCE) в сертифицированном ФСТЭК софте. Без конкретики, ессно.
В вашем понимании читается, что сертификация ФСТЭК проходит на все уязвимости и атаки, с чем не могу согласиться.
Уверены, что профиль защиты для «сертифицированного софта» включал в себя требования противостоять атакам типа отказ в обслуживании, а сертифицирован на НДВ?
Давайте перейдем к парадоксу бумажной и реальной безопасности. Порой для бизнеса необходима только сама бумажка (сертификат соответствия). Винить ФСТЭК в том, что производитель (разработчик) не желает развивать свой продукт, не стоит.
Винить ФСТЭК и Ко стоит в том, что имеется эта самая бумажная безопасность. Которая отнимает силы и средства от безопасности реальной. Когда важнее «у нас все соответствует требованиям», а не реальное отсутствие SQLi, RCE и иже с ним.
Вас никто не заставляет покупать нечто, что имеет уязвимости. Чем вызвано негодование, если никто не запрещает использовать СОА/СОВ или WAF?
Любой вопрос решается комплексно, исходя из моделирования конкретной ситуации и расчета риска, и без бумаг никуда.
Сертификация ФСТЭК никаким образом не говорит о качестве продукта, а только про соответствие конкретным требованиям.

Методики ФСТЭК распространяет по запросу. Сомневаться в подходе ФСТЭК, по мне, сомневаться в отечественной системе защите информации целиком.
Есть ли конкретные примеры выявленных несоответствий ПО либо железа сертифицированных ФСТЭК?

Да пожалуйста:

В конце 2013 была опубликована очередная порция разоблачений Сноудена — каталог различных программных и аппаратных закладок, разработанных подразделением АНБ — ANT. Вся информация о закладках носит гриф «Секретно» (Secret, S) либо «Совершенно секретно» (Top Secret, TS) и должна оставаться секретной до 2032 года.

Продукты: NetScreen 5XT, NetScreen 25, NetScreen 50, ISG 1000, SSG-5, SSG-20, SSG-140
Отдельные экземпляры этих продуктов (или их близкие аналоги) были неоднократно сертифицированы во ФСТЭК по 3 классу защищенности межсетевых экранов, что позволяет их использовать в том числе для защиты гостайны.

Сложно прокомментировать, т.к. в реестре средств защиты информации не нашел информации о сертификации указанных продуктов.
Еще раз повторюсь, сертификация — это не подтверждение исключительных свойств защиты информации в целом, а только декларирование соответствия конкретным требованиям. 3 класс РД МЭ, не говорит о том что он сертифицирован еще и на НДВ, и, в частном случае, необходимо использовать дополнительные средства (сертифицированные на НДВ и т.д).

Легко представить ситуацию, где наличие сертификата у продукта означает гарантию нахождения в нём уязвимости. И я даже не про наличие требования бэкдора для "большого брата". Взломают, например, гостовские алгоритмы и сообщат со всем подробностями на Хабре :) Сколько, по-вашему, потребуется регуляторам времени чтобы, хотя бы, разрешить переключиться на альтернативные алгоритмы, там где переключение возможно технически, без нарушения закона?

Давайте говорить на конкретных примерах, нафантазировать можем много.
Диалог плавно переходит из русла сертификации ФСТЭК в ФСБ.
Ответы на ваши вопросы размещены на сайте ТК-26, а в частности, закладывается переходный период или вводится запрет на эксплуатацию. Т.е. работа над обращением алгоритмов шифрования ведется планомерно, а не имеет характер «разовой работы».
Очень рекомендую, кстати, посмотреть на сайте ФСТЭК на перечень уязвимостей в CMS, которую вы на своем сайте используете. Как минимум одна там не перечислена. Что наводит на странные мысли о «полезности» как списка уязвимостей, так и самого ФСТЭК
Ок. Теперь вопрос на злобу дня. (Характерный впрочем для всех серт. Сзи).
Как будете на продукт обновы накатывать закрывающие критические дыры? От spetre и meltdown запатчились? Или теперь ещё год ждать пока лаборатория не проверит, а есть ли там НДВ в заплатках?
Лаборатория принимает патчи. Да не быстро, да стоит денег.
Очень интересно что они будут делать с микрокодом для процессоров?
Получат денежку, поставят печать. На этом в 90% случаев все и закончится.
Х. Качество!
Ааа, ну все ясно теперь, очередной сравнительно законный способ отъема денег.
Сколько по факту времени займёт сертифицировать новый небольшой патч к ядру в лучшем случае?
Нет отдельно выделенных патчей для ядра или базовой системы — сертифицируется весь комплекс в целом. Когда пройдем первую ресертификацию, сможем более детально об этом написать.

Если я правильно помню, то по регламенту предусматривается сокращённый путь исследования.

Сейчас процедура сертификации не предполагает быстрой проверки обновлений для сертифицированной версии. Каждое обновление необходимо «прогонять» по полному циклу тестирования. Надеемся, что в будущем это изменится и появится методика ускоренной ресертификации обновлений и доработок.
Сертификация — очень муторное занятие, но местами увлекательное. Такие штуки, как подсчет строк кода в мультиязычном проекте — повод померяться)))
Сопоставление исходных и объектных файлов, описание сертифицируемого функционала отнимает массу времени. В конечном счете, сертификат все равно не является чем-либо большим, чем бумажка. Однако при работе с ГОСами без нее не обойтись.
По поводу межсетевых экранов — это отдельная тема.
Посмотрев на реализацию некоторых хочется плакать. Говорю про СТРОМ. Который представляет по сути ретранслятор оптики в медь, в котором используется только одна оптическая жила в определенном направлении с кривым софтом и ужасной документацией, однако обладающим нужными сертификатами для того, чтобы заломить ценник.
P.S. U_bobra_estb_usiki
Это не МЭ в традиционном понимании, а диод данных — однонаправленный шлюз..На самом деле неплохая вещь. Непробиваемость на эксфильтрацию данных на уровне физики.
Ну а заказчикам это лишний повод задуматься — если у поставщика нет сертификата ФСТЭК, так ли он хорош, как рассказывает о себе?

Ме..., ну такое себе.
Все это филькина грамота, сертификация ФСТЭК. Обновлять продукты нельзя не ресертифицируя, если с персданными работаешь. И стоят эти продукты с дырами годами. Так что получается все наоборот, не защита данных, а разведение дыр. И даже банальные косяки нельзя исправить в программе.

Предложите как лучше.

В случае с ПДн — усилить ответственность, но убрать сертификационные требования.

Ответственность за что? За утечку, за создание условий когда утечка возможна или др.?
Сертификационные требования исполнитель может использовать чтобы выбить средства на мероприятия хоть какие-то из руководства /вышестоящей организации.

За нарушение закона о ПДн, прежде всего за нецелевое использование ПДн, в том числе утечки. Экспертиза, анализ на сооотвествие, по желанию или в рамках судебных дел.

Обновленные версии выпускаются, с новыми котролями, суммами, формулярами и т.д.
У многих производителей СЗИ соответствующие разделы или объявления на сайтах. Часто обновление и доставка (это носитель и бумаги) за счет производителя.

Много лет назад на форуме этой компании спрашивал насчёт лицензионной частоты:
Данное ПО работает на платформе Windows. По лицензионнной политике Microsoft каждому клиенту сервера требуется клиентская лицензия (за исключением FTP и WEB служб). Т.е. недостаточно купить лицензию на 50 пользователей вашего экрана — нужно купить ещё 50 лицензий на Windows(!)
Компания Smartsoft скромно умалчивает этот факт.
Они с винды на никс уже соскочили в ng версии.
Простите, но — не верю.
Для меня слово сертификация означает лишь то что «уплочена денежка» и ящик коньяка занесён «куда надо». И нужна эта бумажка лишь для прикрытия, мол если что — у нас продукт сертифицированный, пишите в спортлото.

Вот если бы ваши исходные тексты показали компании-разработчику статического анализатора кода, паре-тройке антивирусных компаний, пригласили бы ознакомиться нескольких признанных специалистов в данной отрасли (выложив в публичный доступ сканы заключений)…

Государственная сертификация — это проверка софта на требования государства. Государство само решает, что ему нужно, ящик коньяка или анализ исходников. Для простых пользователей она мало что даёт, даже если доверие к государству откуда-то есть. Проблема только в том, что государство влезает в дела простых пользователей, обязуя их ставить сертифицированный софт.

mihmig: Мне кажется, что вы недопонимаете что такое сертификация и зачем она нужна.
Сертификация проводится на соответствие каким-либо требованиям, и, соответственно, сертификат — это документальное подтверждение того, что по результатам анализа ПО соответствует требованиям.
Наличие сертификата не гарантирует отсутствия проблем у ПО, это лишь подтверждение того, что ПО как минимум обладает нужными свойствами.
По уму, требования на МЭ от ФСТЭК'а это всего лишь часть ТЗ на продукт. И требования на мой взгляд довольно разумные.
Текущая система сейчас неповоротлива, и не всегда поспевает за изменениями, но довольно последовательна. Я не знаю другого способа, как обеспечить необходимый уровень качества ПО, которое поставляется в госорганизации.

Спасибо за разъяснения.
Просто у меня сложилось впечатление что сертифицированный продукт (не только ПО) — это продукт проверенный на качество. А оно вон как выходит.
Жаль только что производители «сертифицироанного ПО» выдают одно за другое (а пользователи принимают это).

Я в своё время идею текущих требований понял так:
сертификация гарантирует минимальное качество/соответствие необходимым (но не достаточным) требованиям, а дальше в игру вступает в рынок и производители, конкурируя между собой, обеспечивают качество.

А как быть если обнаружилась ошибка и без изменений в код не обойтись? По новой сертификацию проходить?
Ресертификация. Такой стандарт.
Господа. Убедительная просьба.
Если мы говорим об обновлении ПО, то не «ресертификация», а «процедура прохождения инспекционного контроля».
Прошу меня извинить, но глаз режет это слово — «ресертификация» )

И она как раз, в теории, должна занимать меньше времени/затрат.

Именно так.
Однако если это аппаратно-программная платформа, то получится ли так с ней?
Ибо сертифицируется платформа в целом, именно, в таком случае.
По крайней мере насколько мне известно.
Есть регламент закрытия уязвимостей, прописанный в приложении к Формуляру, который предполагает:
1. Информирование всех клиентов об обнаруженной уязвимости, с инструкцией, как избежать эксплуатации уязвимости, описанием организационно-технических мероприятий по устранению возможности эксплуатации уязвимости;
2. Выпуск патча или обновления и донесения его до клиента с занесением записи в Формуляр;
3. Затем патч передается в Испытательную Лабораторию и ФСТЭК, проводится инспекционный контроль;
4. После проведения контроля изменения вносятся в сертификат, эксплуатационную документацию и производитель обновляет сертификаты и документацию у своих клиентов.
Это в теории и это разумно. Осталось, чтобы и на практике было также.
А какие закладки были добавлены по требованиям ФСТЭК?
В каждый сотый комплект поставки мы обязаны добавить к формуляру самодельную закладку в стиле оригами из бумаги непременно синего цвета.
Все закладки должны быть отражены в документации.
Поэтому можно посмотреть именно там.
Господа.
А почему отказались от идеи реализации МЭ+СОВ сразу?
Если МЭ позиционируется для типов «А» и «Б», то для ГИС в которых они могут использоваться СОВ тоже нужно. Ставить ещё одну железку отдельно — крайне затратно. Однако без закрытия требований по СОВ тоже не обойтись.

Продукт может иметь несколько сертификатов сразу: и МЭ, и СОВ, и антивирус, и СЗИ.

В сертифицированной версии решения системы обнаружения и предотвращения вторжений действительно нет. Сертификация функционала запланирована.
Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.