четверг, 12 июля 2012 г.

Старые и новые сертифицированные системы обнаружения атак

Данная тема родилась в результате обсуждения из прошлого поста. С выходом новых требований для IDS/IPS, как я заметил, у многих сложилось ощущение, что теперь необходимо применять сертифицированные (когда вообще требуется сертификация) только по новым требованиям IDS/IPS. Попытаюсь выложить свою точку зрения на этот счет со ссылками на нормативные документы.


Итак, первое. Новые требования распространяются только на вновь разработанные IDS. Что эта фраза означает? Ответ следующий - требования накладываются на IDS, которые, условно скажем, разработаны (с точки зрения нормативной базы ИБ - поданы на сертификацию) с момента вступления в силу новых требований. Т.е. действия старых сертификатов никто не отменил.


Читаем информационное письмо ФСТЭК №240 от 01.03.2012 об утверждении требования к системам обнаружения атак..."Выполнение Требований является обязательным при проведении работ по оценке соответствия (включая работы по сертификации) средств технической защиты информации и средств обеспечения безопасности информационных технологий, применяемых для формирования государственных информационных ресурсов, организуемых ФСТЭК России в пределах своих полномочий." Толкование на мой взгляд следующее - если вы используете IDS для защиты ГИР, и этот ГИР организуется ФСТЭК-ом России, то да, применяемые IDS в этом случае должны отвечать новым требованиям. Здесь надо уточнять, какой-то это особый вид ГИР, которые организует ФСТЭК, или имеются ввиду все ГИР, поскольку их защита регламентируется в том числе ФСТЭКом. Мне это пока непонятно. В любом случае, даже если речь идет обо всех ГИР, а ГИР это информация в ГИС, то к примеру не каждая ИСПДн государственной организации является ГИСом, все зависит от положений, на основании которых система была создана. Что такое ГИС и с чем ее едят, можно найти на форумах. И опять же фраза "проведение работ по оценке соответствия (в том числе сертификации)" адресует интеграторов к термину "аттестация", поскольку в рамках этой процедуры проверяется соответствие средств защиты нормативным требованиям, и при этом она не является сертификацией. Это значит, что для защиты ГИР можно использовать IDS, сертифицированные на ТУ, главное чтобы при аттестационной проверке они отвечали всем новым требованиям нужного класса IDS.


Информация в письме о том, какие классы IDS соответствуют каким классам ИСПДн и другим системам нужна только для того, чтобы знать соответствие этих классов, но отнюдь не говорит, что во всех этих системах должны применяться только IDS, сертифицированная по новым требованиям. Т.е., если вы решите использовать для защиты ИСПДн сертифицированные по новым требованиям IDS, то будете знать какого класса они должны быть, не больше и не меньше.


Какой отсюда можно сделать вывод? Мнение о том, что в ИСПДн можно использовать только IDS, сертифицированное по новым требованиям на мой взгляд неверное. Необходимо рассматривать, является ли она ГИС...и опять же фраза "организуемых ФСТЭК" не дает мне покоя. Для защиты персональных данных во всех негосударственных информационных системах в любом случае можно использовать IDS, сертифицированные на ТУ.


Теперь по поводу не совсем относящегося к теме вопроса о том "можно ли использовать сертифицированные по старой практике на ТУ IDS для защиты государственной тайны?". Сейчас на этот вопрос дает процитированное мной выше положение с ГИР-ом. Если же эта фраза распространяется не на все ГИР, то можно либо: 
1) смотреть тексты сертификатов и ТУ этих IDS, там должны быть прописаны условия в которых можно их использовать, в частности класс АС и ИСПДн. 
2) если эта информация там не указана, смотреть документ ФСТЭК РД на отсутствие НДВ. В самом его начале сказано, что он разработан в дополнение к РД ФСТЭК на АС, который является основным для определения требований к системе защиты для АС (а значит и защиты гостайны). Соответственно ограничением по использованию IDS для защиты гостайны является наличие у него соответствующего сертификата на отсутствие НДВ.

пятница, 6 июля 2012 г.

Веселые тендеры

Посмотрел я сейчас на волну тендеров централизованных бухгалтерий Краснодарского края...Технические задания меня слегка удивили. Какой-то шустрый товарищ сделал предварительный анализ нужных средств защиты и выдал очень интересную спецификацию. Не долго думая, заложил механизмы обнаружения атак ПО ViPNet Client в состав системы обнаружения атак на ИСПДн. Ну правильно ViPNet Client же сертифицирован, зачем себя ещё какими-то рассуждениями озадачивать? А то, что он сертифицирован как МЭ, как СКЗИ, на отсутствие НДВ, но никакого сертификата как система обнаружения атак не имеет, это конечно ерунда. И все бы ничего, но заложена в работу аттестация системы. Вот я думаю - исполнителей туда уже несколько штук набралось, а как победитель собирается аттестовать ИСПДн без сертифицированной IDS? 
Вобщем написал я Заказчику запрос на разъяснение...В понедельник обещали выложить, мне очень интересно, что же там напишут. 
Но эпопея на этом не заканчивается. Стоит в ТЗ у них требование для подсистемы межсетевого экранирования и защиты каналов связи. Всё бы ничего, но указали они там класс КС2. Если кто-то внимательно читал формуляр на СКЗИ ViPNet Client КС2, то там указано, что исполнений этого ПО два, и уровень КС2 выполняется только совместно с электронным замком Соболь или Аккорд. Цена ViPNet Client порядка 6-6,5 тыс. рублей. А вот замочек стоит где-то 10 тыс. Теперь вопрос, как вы думаете, при формировании первичного предложения кто-то этот вопрос отслеживал? Правильно - нет!!! Запросили ориентировочные спеки без всяких замков, и в ТЗ, не долго думая, вкатили КС2. Я не поленился посчитать насколько вырастет бюджет, если закупить замки для выполнения требования по КС2. Цена сразу выросла под первичную цену тендера. А ведь нужно ещё делать работы, аттестацию проводить. А теперь самый интересный вопрос, как вы думаете, хоть кто-нибудь из потенциальных Исполнителей озаботился этим? Ой сомневаюсь. Вот я и посмотрю как будет выкручиваться победитель. Запрос Заказчику для разъяснений по этому поводу я тоже послал.