20.2.17

Конференция ФСТЭК: сертификация средств защиты

Продолжаем обзор новостей с конференции ФСТЭК, прошедшей на позапрошлой неделе. Очень интересным было выступление Дмитрия Шевцова, начальника 2-го управления ФСТЭК, который осветил планы регулятора по выпуску новых требований к средствам защиты, планы по новой нормативной базе, а также описал типовые проблемы, возникающие в деятельности производителей, подающих свою продукцию на сертификацию. Есть видео выступления, поэтому я обращу внимание на следующие моменты:

  • С 2011-го года ФСТЭК уже утвердила требования к 6-ти типам средств защиты - системам обнаружения вторжений, антивирусам, средствам доверенной загрузки, средствам контроля съемных машинных носителей, межсетевым экранам и операционным системам. По одному средству защиты в год…
  • В 2017-м году планируется принятие требований к СУБД и средствам управления потоками информации (они уже написаны и готовятся к утверждению), а также требования к средствам виртуализации. Больше никаких планов озвучено не было, что и понятно - ФСТЭК их не соблюдает с завидной регулярностью. Находятся более приоритеные задачи (то разработка новой версии СТР, то еще что-то), которые, в условиях нехватки персонала и отсутствии Agile-методологии разработки нормативных актов, не позволяют ФСТЭК выпускать документы с такой же скоростью, что, например, тот же NIST.
  • Также ФСТЭК планирует выпустить методички по поиску НДВ и уязвимостей (при наличии или отсутствии исходных текстов ПО). Заявляется, что методы будут отличаться в зависимости от класса и типа ПО. Это позитивно. Негативно то, что эти документы обещают выпустить уже года два; как и методику моделирования угроз.
  • ФСТЭК стала большее внимание уделять не просто первичной сертификации, а именно поддержке сертифицированного продукта в актуальном и защищенном состоянии. Для этого ФСТЭК регулярно проверяет устранение известных уязвимостей из БДУ ФСТЭК и даже проводит эксперименты по социальному инжинирингу, звоня в службы поддержки производителей и проверяет качество их работы с потребителями. Неудовлетворительная работа производителей/заявителей заканчивается внушением со стороны регулятора, а иногда и более серьезными последствиями. В частности, на конференции прозвучало, что отозвано было 3 сертификата на средства защиты, в которых заявитель отказался устранять уязвимости и повторно проводить инспекционный контроль сертифицированного изделия. На фоне почти 4-х тысяч сертификатов число 3 невелико, но с другой стороны, это первый шаг в усилении контроля со стороны ФСТЭК и обеспечении реальной, а не бумажной защищенности предприятий, использующих сертифицированные реешения.
  • Вопросу качества сертифицированных решений вообще было посвящено много внимания. Например, ФСТЭК сетует на отсутствие у многих российских производителей практики и процедур безопасной разработки (о том, как это сделано у импортных производителей я и рассказывал в своей презентации), что приводит к увеличению сроков устранения уязвимостей (некоторые заявители, особенно сертифицирующие по схеме “партия” и “единичный экземпляр”, и вовсе забивают болт не только на уведомление потребителей о найденных и устраненных уязвимостях, но и на само устранение).
  • Для ФСТЭК, как мне показалось, стало сюрпризом, что отдельные производители сертифицированных решений специально ищут уязвимости в продукции своих конкурентов и “сливают” эту информацию в ФСТЭК в рамках конкурентной борьбы. Регулятор обещал бороться с такими случаями.


Вообще ФСТЭК меняется в лучшую сторону в части изменения и подходов и требований к средствам защиты, которые в условиях импортозамещения должны встать на защиту российских организаций. Правда, самих средств больше не становится (часть 1 и часть 2 про это), а учитывая усиление требований к сертификации, к заявителям, к самим продуктам, и не станет. Тут, увы, либо шашечки, либо ехать. Либо требования усиливать, как того велит Верховный главнокомандующий, либо рынок средств защиты развивать, которому надо дать свободу на первых порах и только потом уже загонять в определенные рамки. Я вернулся вчера из США, с конференции/выставки RSA, где уже не первый раз наблюдаю интересную картину - каждый год пояляется с несколько десятков новых игроков, предлагающих либо новый взгляд на известную проблему, либо совсем новое решение. И никто их не загоняет в прокрустово ложе каких-то там требований. Если стартап, конечно, не хочет идти в госсектор или в Минобороны. Вот тогда от него потребуют по максимуму. На коммерческом же рынке раздолье и всем находится место. Ну да ладно, история рассудит, в правильном ли направлении мы движемся.