22.2.17

Конференция ФСТЭК: финальный аккорд, МСЭ, БДУ и ЧПУ

Пора уже завершать рассказ о конференции ФСТЭК, а то затянул я что-то. Правда, есть тому объяснение - я все ждал, что ФСТЭК выпустит обещанное информационное письмо по применению межсетевых экранов, о котором много говорилось на конференции, но, видимо, пошло что-то не так. Поэтому, не дожидаясь письма подведу краткое резюме по тому, что я услышал. Основная проблема с МСЭ возникла после публикации информационного письма ФСТЭК, в котором было написано, что с 1-го декабря разрабатываемые, производимые и поставляемые МСЭ должны соответствовать новым требованиям к МСЭ, разработанным ФСТЭК. Проблема возникла именно с поставкой после 1-го декабря МСЭ, сертифицированных еще по "старым" требованиям. И вот ФСТЭК дала разъяснения:
  • Новый РД устанавливает новые требования к классу защитных средств, их функциональности и процессу разработки, а вот возможность применения этого класса защитных средств определяется иными документами, а точнее 17/21/31-м приказами, которые и говорят, какого класса МСЭ в какого класса ГИС/ИСПДн/АСУ ТП можно применять. Поэтому пока эти документы не изменены, можно спокойно использовать "старые" МСЭ с действующим сертификатом.
  • Разработка МСЭ должна уже вестись по новому РД. Сертификация новых МСЭ также должна уже вестись по новому РД.
  • Производство и поставка "старых" МСЭ возможна при наличии действующего сертификата. Сертификация их по "старым" требованиям также возможна. Например, в случае использования в аттестованной ГИС, в которой не меняются условия функционирования и для нее просто продлевается аттестат. Правда, с течением времени таких ситуаций должно становиться все меньше и меньше.
  • Сертификация уже снятых с производства, но ранее сертифицированных МСЭ, тоже возможна. Но при условии отсутствия известных уязвимостей и после согласования с ФСТЭК. Правда, такая ситуация скоро будет маловероятна. Если вернуться к моей презентации, то если МСЭ снят с производства, то у некоторых производителей заверщается и его поддержка, а некоторые продлевают выпуск обновлений для него еще на некоторый период (у Cisco, например, 5 лет). Если в течение этого периода у снятого с производства МСЭ будут устраняться уязвимости, то почему бы его и не сертифицировать (хотя логика подсказывает, что смысла в этом не много). Но на НДВ уже врядли - производитель не сможет предоставить информации по снятому продукту. К слову, тем заказчикам, которые до сих умудряются использовать сертифицированные Cisco Pix, лучше задуматься о переходе на новые модели МСЭ - устранение уязвимостей в них уже невозможно - продукт перестал выпускаться 10 лет назад, а поддерживаться лет пять назад.
  • Применение "старых" МСЭ возможно, если требования (из публичных - это 17/21/31-е приказы) это допускают. Выбрасывать "старые" МСЭ никто не заставляет - пока действует их сертификат они вполне легитимны к применению. Если бы это было не так, то проще было просто аннулировать все сертификаты на "старые" МСЭ и решить вопрос кардинально.
  • Аналогичная ситуация и с аттестацией. Аттестат действует - продолжаете использовать "старые" МСЭ. Продлеваете аттестат - продолжаете использовать "старый" МСЭ (с устраненными уязвимостями).
  • На момент конференции существовало уже 5 МСЭ, сертифицированных по новым версиям, но этот список постоянно пополняется. Единственное, на что стоит обратить внимание - не всегда выдаются новые сертификаты, иногда обновляются "старые". Например, такое вы увидите в таблице ниже по "Рубикону", "Континенту", Cisco...


C межсетевыми экранами, пожалуй, все. Пару слов надо сказать про Банк данных угроз и уязвимостей, который по заданию ФСТЭК создавал и ведет Воронежский ГНИИ ПТЗИ, и который все больше становится ключевым звеном в новых подходах ФСТЭК по моделированию угроз, по устранению уязвимостей, по выработке требований к средствам защиты и информационным системам.

Ключевые изменения в БДУ представлены на слайде, я только упомяну официальный Twitter БДУ, на который можно бесплатно подписаться и получать обновления информации об уязвимостях и угрозах.


Из планов на 2017-й год я жду следующего:
  • новая классификация угроз (если ФСТЭК ее примет)
  • переход на CVSS 3.0
  • база шаблонов опасных конструкций для разных языков программирования (в контексте активизации темы по SDLC очень полезно)
  • личный кабинет пользователя
  • поддержка OVAL
  • "зал славы" и ведение рейтинга исследователей, пожелавших сообщить об обнаруженных уязвимостях в ГНИИ ПТЗИ/ФСТЭК.
Ну и в заключение заметки хотелось бы обратить внимание на выписку из плана ФСТЭК по разработке нормативных актов. По нашей теме там всего два последних пункта - разработка обновленной версии 17-го приказа и выпуск нового приказа для ОПК - "Об утверждении требований к обеспечению безопасности информации, содержащейся в информационных системах управления производством, используемых организациями оборонно-промышленного комплекса, в том числе в системах автоматизированного проектирования, системах управления станками (оборудованием) с числовым программным управлением". С одной стороны документ по ЧПУ у ФСТЭК уже есть, а с другой, видимо, назрела необходимость его обновления и расширения именно для объектов ОПК (в условиях текущей геополитической ситуации).


Вот такой мне запомнилась конференция ФСТЭК 2017-го года.

9 коммент.:

Ржавский Константин комментирует...

Алексей, а вот или я не доглядел, или Вы не осветили информацию по разделению работ по аттестации и проектированию между физическими лицензиатами. Спасибо.

Алексей Лукацкий комментирует...

А про это на конференции почти не говорили. В проекте промежуточного 17-го приказа есть и все.

Ржавский Константин комментирует...

Странно, Прозоров акцентировал на этом, в последнем посте, очень интересный момент.

Алексей Лукацкий комментирует...

Я про это писал в обзоре проекта промежуточного 17-го приказа. Больше ничего нового не было

Ржавский Константин комментирует...

Интересно, а как 44-й ФЗ на это посмотрит, или ФСТЭК эту ситуацию как то думает обойти?

Александр комментирует...

Алексей, в этом новом приказе для ОПК есть кардинальное отличие от старого - не ограничиваются собственно станками, а и собираются устанавливать требования к системам управления производством (предприятием???) и системам проектирования, а следовательно - SAP, Oracle, Creo (ProE), Catia и пр, и т.п.

Алексей Лукацкий комментирует...

Предположу, что речь идет о PLM/CAD/MES решениях. Не уверен насчет ERP.

Unknown комментирует...

Алексей, откуда информация про сертификат на ViPNet Coordinator HW 4. На официальном сайте указана другая информация: Ведутся работы по сертификации продукта на соответствие требованиям к МЭ А4 класса. А у Вас уже даже номер откуда то есть.

Алексей Лукацкий комментирует...

Из ФСТЭК