14.9.18

Можно ли защитить ИТ-инфраструктуру российского госоргана отечественными решениями по ИБ?

Вчера в Facebook зашла речь, в очередной раз, об импортозамещении в ИБ, которое, как прозвучало на одной из конференций в Питере, должно состояться вот уже через 2-3 года. Тут надо бы ответственно заявить, что говоря об импортозамещении, большинство экспертов делает классическую ошибку, считая, что выпуск отечественного аналога зарубежного продукта, - это и есть импортозамещение. Но увы... Даже если отбросить в сторону тот факт, что для нормального развития того или иного сегмента нужно более одного вендора и продукта, то выпуск (и снова отбросим в сторону, на этот раз, вопрос качества и функциональности отечественного продукта) российского решения еще не означает, что его выбрали заказчики. Вот когда российские компании, хотя бы госорганы и госкорпорации, перейдут на все эти домотканные МСЭ, СОВ/СОА, UEBA, SIEM и др., тогда и можно будет говорить об импортозамещении.

Но вернемся к версии апологетов импортозамещения, которые говорят, что в России есть хотя бы по одному, но аналогу, западным и восточным (мы же понимаем, что китайское - это тоже импорт) продуктам и поэтому можно говорить о том, что реально отечественный рынок готов заместить все иностранное. Ну давайте смотреть. Если ограничиться не всем российским рынков, а только госорганами, то я позволил себе выбрать несколько кейсов, для которых сегодня нет сертифицированных российских продуктов по защите информации (по аналогии с заметкой восьмилетней давности про СКЗИ):
  • Работа на Macbook'ах
  • Разграничение доступа в iSCSI и FC сетях
  • Защита SAN
  • Высокоскоростные магистрали и резервные каналы связи (40 Гбит/сек и выше)
  • Виртуальные среды на базе KVM
  • Доверенная загрузка на ноутбуках (тут возможно и есть что-то, но я с ходу не вспомнил)
  • Регламентация и контроль беспроводного доступа
  • Средства контроля целостности ПО (как минимум на Windows 10, где пока не работает ФИКС)
  • Обманные системы (вроде как решение Кода безопасности больше не существует).
Это я привел неполный перечень тех иностранных решений, которые достаточно активно используются в российских организациях, и при этом не имеют отечественных средств защиты, имеющих сертификат ФСТЭК. А если в качестве основы взять организацию, которая прислушалась к мнению чиновников и действительно перешла на отечественные информационные технологии или open source:
  • средства унифицированных коммуникаций iMind, Vinteo, TrueConf и др.
  • open source платформы Hadoop, Spark, Elastic, Pentaho, MongoDB и др.
  • параллельные СУБД InfiniDB, InfoBright и др.
  • семейство Apache - Tomcat, Cassandra, Struts, Metron, HTTP Server и др.
  • сервера приложений - WildFly, GlassFish и др.
  • web-сервера - nginx и др.
  • промышленные решения - Tibbo и др.
  • электронный документооборот - Alfresco, Directum и др.
Вот я с ходу не вспомнил российских разработчиков, которые бы декларировали средства защиты для упомянутых решений, преимущественно защищая решения иностранные - Windows, Oracle, IBM и т.п. А уж сертифицированных решений для названных решений и вовсе нет.

Есть две стратегии - разработать решения по ИБ для того, что используется сейчас заказчиками, или заставить перейти на то, что смогли разработать российские вендоры (но в области ИБ, так как ИТ-вендоры не сильно заботятся о соответствии требованиям ФСТЭК). Первая стратегия правильнее, но более ресурсоемка как по деньгам, там и по времени. Вторая гораздо проще в реализации и именно ее сегодня реализуют, заставляя российские госорганы переходить на отечественные мобильные и настольные ОС (и это не iOS, Android или Windows), перелицованные open source ИБ-решения и т.п. И если госорганам деваться особо некуда - за пределы 17-го приказа, требующего сертификат ФСТЭК, особо не выйдешь, то у коммерческих структур выбора побольше и стоит 10 раз подумать, надо ли загонять себя в прокрустово ложе требования по сертификации, которое выполнить нельзя.

А как же быть, если нормативные акты требуют сертификации? Так не требуют. Нужна оценка соответствия, а это не только обязательная сертификация ФСТЭК. Вот о том, что это такое и почему в обозримом будущем в России будет все сложнее найти адекватное число сертифицированных средств защиты, мы и будем говорить в рамках вебинара, который пройдет 26 сентября в 11 по московскому времени. Все детали и ссылка на регистрацию тут.

UPDATE: В Твиттере меня коллеги поправили. ФИКС есть для Windows 10. Для ноутов есть модули m2 и UEFI для доверенной загрузке. Есть Аккорд для KVM. Гарда поддерживает PostgreSQL, Cassandra, Hadoop и HDP. Threat Deception есть у Лаборатории Касперского.

5 коммент.:

Target комментирует...

1. ФСТЭК России после выхода приказов № 235 и 239 по КИИ декларирует, что можно использовать любые формы подтверждения соответствия из ФЗ № 184, если нет прямого указания в законе об использовании сертифицированных СрЗИ. Допустим негосударственный оператор ПДн решил проводить испытание или приемку СрЗИ или всей подсистемы защиты информации ИСПДн вместо использования сертифицированных СрЗИ, не учитывая ограничений ст. 7 ФЗ № 184 "О техническом регулировании", в которой предусмотрены эти формы подтверждения соответствия, но имеется закрытый перечень видов деятельности для этих форм, к которым ИБ не отнесена (т.е. приказы ФСТЭК России № 235 и 239 по КИИ нарушают эту статью ФЗ). В этом случае возникают вопросы: Как это делать, чтобы ФСТЭК России не задал вдруг неудобных вопросов? Чем руководствоваться? Что проще проводить "испытание" или "приемку"? Нанимать кого-то, кто может это делать легитимно? Может быть дешевле использовать сертифицированные СрЗИ?
2. ФСБ России вообще не заявляла, что можно проводить испытание или приемку СКЗИ. Как быть с этим?

Unknown комментирует...

Для kvm вроде у Astra Linux есть решение, но насколько мне известно оно только вот вот выйдет в v. 1.6

Unknown комментирует...

Доверенная загрузка на ноутах есть, на Aрмии 2018 показали соболь для ноутбуков, там m2 слот

Алексей Лукацкий комментирует...

Хорошо

IBS2019 комментирует...

Target
1. Ответы есть в ГОСТ Р 51583—2014 (разработанном ФСТЭК России):
5.23 виды испытаний АСЗИ и общие требования к их проведению определяются ГОСТ 34.603 (Виды испытаний АС). а также нормативными правовыми актами и методическими документами уполномоченного федерального органа исполнительной власти и национальными стандартами по ЗИ.
5.24 Испытания АСЗИ на соответствие требованиям безопасности информации от ее утечки по
техническим каналам, несанкционированного доступа к ней, от несанкционированных и непреднамеренных воздействий на информацию, в том числе по криптографической и антивирусной защите, по обнаружению вторжений (атак) и др. осуществляются в соответствии с положениями нормативных правовых актов и методических документов уполномоченных федеральных органов исполнительной власти и национальных стандартов.
6.10.2 На этапе «Разработка и адаптация программ» проводят:
- разработку и испытания СЗИ. технологического оборудования, средств контроля и измерений
системы ЗИ АСЗИ;
6.11 Внедрение системы ЗИАСЗИ включает:
• установку и настройку СЗИ;
• разработку организационно-распорядительных документов, определяющих мероприятия поЗИ
в ходе эксплуатации АСЗИ:
• предварительные испытания системы ЗИ АСЗИ; (6.13.6)
• опытную эксплуатацию и доработку системы ЗИ АСЗИ;
• приемочные испытания системы ЗИ АСЗИ; (6.13.8)

Также есть ГОСТ Р 53115-2008. Защита информации. Испытание технических средств обработки информации на соответствие требованиям защищенности от несанкционированного доступа.

2. ФСБ России признает только сертификацию СКЗИ