25.1.19

Анализ реестра сертифицированных ФСТЭК в 2018-м году средств защиты информации

Вчера на портале anti-malware.ru вышла первая часть обзора российского рынка ИБ, которая вызывает лично у меня вопросы (у 63% компаний в России бюджет на ИБ меньше 500 тысяч рублей????), но которая при этом ставит перед собой цель проанализировать общее (и оно, судя по отчету, удручащее) состояние ИБ в нашей стране. Я же параллельно провел уже ставшее традиционным исследование реестра сертифицированных ФСТЭК в 2018-м году средств защиты информации.

Если сравнивать результаты с 2017-м годом, то может сложится впечатление, что ситуация хуже не стала, а местами даже лучше. Общее число выданных за год сертификатов выросло на 18%, а число сертификатов на иностранные решения выросло на 2%. Но на самом деле ситуация немного иная. Например, 77% всех сертификатов у "иностранцев" выдано на решения Cisco. Да, мне, как работнику Cisco, приятно видеть доминирование своей компании, но в целом картина получается той, которую я предсказывал в прошлом году - "иностранцы" уходят с рынка сертифицированных решений, не имея возможности соответствовать все более жестким требованиям регулятора. В списке сертификатов за 2018-й год я не увидел ни одного сертификата от Check Point или Fortinet, а они были достаточно агрессивны в части выполнения требований своих продуктов требованиям ФСТЭК в прошлые годы. Да, на продукты этих компаний действующие сертификаты еще есть, но не на текущие версии ПО (некоторое ПО уже не продается и не поддерживается).


Зато возросло число сертификатов по схеме "серия". ФСТЭК давно говорила, что она будет стараться уходить от сертификации единичных экзмепляров и партий, допуская это в особых случаях. Если посмотреть на реестр, то мы увидим, что такие сертификаты выданы преимущественно заказчикам под их нужды или под решения, которые массовыми никогда не будут (например, под ПО портала госуслуг или ПО ведения какого-либо реестра, которые существуют в единственном экземпляре). Таких средств защиты узкого применения в реестре более половины. Кстати, обратил внимание, что под Единую биометрическую систему, никаких сертификатов соответствия требованиям безопасности нет.


С момента введения санкций против России и начала курса на импортозамещение прошло уже почти 5 лет. Достаточно большой срок, чтобы российские производители выпустили аналоги иностранным решениям по ИБ. Интерес со стороны заказчиков есть. Поддержа государства (не деньгами, так нормативкой) тоже есть. Конкуренция снижается. А рынок так ничем и не может заполнить возникший вакуум :-( Лидером по числу выданных сертификатов является направление межсетевых экранов, коих получено 22% от общего числа бумажек с голограммой. В то время как весь мир уже давно бороздит мировой океан движется в сторону прикладной ИБ, занимается решениями по ИБ на блокчейне и искусственном интеллекте, борется с целевыми угрозами, мы по-прежнему основную ставку в защите делаем на межсетевые экраны :-( Правда, стоит снова отметить, что 78% сертификатов на МСЭ выдано на продукцию Cisco. А вот сегмент, который рванул с прошлого года - это системы обнаружения вторжений - их стало больше в три раза. Причем 78% всех сертификатов - это российская продукция. Это, на мой взгляд, тоже объяснимо. Бери иностранные Snort, Surricata или Bro и строй на них "свою" IDS. Затрат минимум - один профит. Можно даже сигнатуры свои не писать, а брать чужие.


Еще ряд интересных наблюдений - из сертифицированных ОС (а их 4), три были иностранного происхождения. Некоторые решения по старинце сертифицировались как СВТ, хотя являлись по сути либо средствами защиты базами данных, либо операционными системами. Кстати, средств защиты СУБД, сертифицированных по ТУ или НДВ, было больше одного (4, если быть точнее). Новый WAF в реестре появился только один, средств защиты виртуализации - три, средство анализа кода - одно, недоSIEM (от СерчИнформа и Ankey) - два, средств анализа защищенности - тоже два.

Кстати, мне можно возразить, что отсутствие новых сертификатов в 2018-м году может означать, что решение было сертифицировано в 2017-м и поэтому, при сроке действия сертификата в течение 3-х лет, оно не требует обновления бумаги от регулятора. Отчасти это так, но... А как же новые версии ПО? Или их за год так и не появилось?

Новых выводов не будет - сделанные год назад подтверждаются. Иностранные решения из сегмента сертифицированных выживают, российских решений больше не становится; закрыть все потребности заказчиков и все пункты из 17/21/31/239 приказов они не могут. Что делать заказчикам, не совсем понятно. Остается вспомнить только птицу Говоруна из мультфильма "Тайна третьей планеты": "Держаться нету больше сил..." :-)

Самое парадоксальное во всей этой ситуации, что ФСТЭК, регулятор, который призван обеспечивать защиту информации в государства, своими требованиями ее только снижает :-( Защищаться-то нечем - на рынок и новые решения ФСТЭК влиять не может, только на установление требований... реализовывать которые становится все сложнее и сложнее. Понять регулятора тоже можно (враги сжимают кольцо), но от этого не легче.

9 коммент.:

Pavel Korostelev комментирует...

Пара важных комментариев:
1. Новая версия ПО добавляется в существующий сертификат. Не надо получать каждый раз новый сертификат на новый билд или минорную версию. Новый сертификат нужен, если вышло новое поколение продуктов.
2. Не могу понять, почему продукты должны закрывать все требования 17/21/31/239 приказов, если приказы относятся к системе заказчика? Как средство ИБ будет разрабатывать политику в области обеспечения доступности? Целый раздел Защита технических систем (ЗТС вообще средствами ИБ не может быть реализован. Передергивание в общем.
3. По СОВ тоже интересно. Там есть решения от Каспера или Позитива, которые к IDS имеют отдаленное отношение. Но кроме как по СОВ непонятно, по каким требованиям х сертифицировать.

Алексей Лукацкий комментирует...

1. Зависит от версии. Если минорная, то да. Если мажорная, например, с 8 на 9, то это по сути новый продукт.
2. Почему все требования? Многие защитные меры могут быть закрыты только техсредствами. Позиция регулятора - селать РД под каждый класс защитных средств, которые применяются для закрытия требований приказов. Если пытаться закрыть все технические требования приказов, то окажется, что сегодня это невозможно.
3. Ну для таких случаев часто используется сертификация по ТУ или по НДВ. Таких продуктов в реестре чуть ли не половина

Pavel Korostelev комментирует...

1. Согласен, при этом иногда даже в минорной версии происходит значительное расширение функциональности. В том же положении о сертификации написано, что если функция не касается безопасности, то в лабораторию можно не обращаться.
2. Ну так в заметке написано "все пункты", что и удивило. Что касается РД под каждый класс средств защиты, желание в целом понятное и надо будет смотреть на эти самые новые РД. А пока их нет, текущая нормативка позволяет решить эти задачи иными способами (через компенсирующие меры и проч)
3. А зачем, если можно вписаться в 239-й приказ? Вот и вписываются :)

Алексей Лукацкий комментирует...

2, Многие вещи просто нельзя сделать без технических мер :-) А новые РД будут дспшные :-(

basnevod комментирует...

Алексей, подскажите, а как там в штатах? Страховые бюро содержат штатных консультантов по ИБ? Ведь это логично отдать им.

Алексей Лукацкий комментирует...

Отдать что? Страховые, активно продающие страховку киберрисков, имеют своих аудиторов.

Roman S комментирует...

МЭ основное защитное средство?
Все проблемы от этих ваших интернетов. Поэтому закрыл полностью Интернет с помощью МЭ, и 99% атак от западных партнеров отвалилось.:-)

IBS2019 комментирует...

Алексей, вы написали "закрыть все потребности заказчиков и все пункты из 17/21/31/239 приказов они не могут". Можно чуть конкретнее, какие именно пункты из 21/17 приказов (входящие в базовые наборы мер) не могут быть закрыты сертифицированными СЗИ?

Алексей Лукацкий комментирует...

Например, песочниц и DDoS сертифицированных нет. Еще я про это писал тут - https://lukatsky.blogspot.com/2018/09/blog-post_14.html. И Конфидент не раз выступал с доказательствами того, что на российском рынке нет сертифицированных средств, которые бы закрыли все техмеры из 17-го приказа