пятница, 6 июля 2012 г.

Веселые тендеры

Посмотрел я сейчас на волну тендеров централизованных бухгалтерий Краснодарского края...Технические задания меня слегка удивили. Какой-то шустрый товарищ сделал предварительный анализ нужных средств защиты и выдал очень интересную спецификацию. Не долго думая, заложил механизмы обнаружения атак ПО ViPNet Client в состав системы обнаружения атак на ИСПДн. Ну правильно ViPNet Client же сертифицирован, зачем себя ещё какими-то рассуждениями озадачивать? А то, что он сертифицирован как МЭ, как СКЗИ, на отсутствие НДВ, но никакого сертификата как система обнаружения атак не имеет, это конечно ерунда. И все бы ничего, но заложена в работу аттестация системы. Вот я думаю - исполнителей туда уже несколько штук набралось, а как победитель собирается аттестовать ИСПДн без сертифицированной IDS? 
Вобщем написал я Заказчику запрос на разъяснение...В понедельник обещали выложить, мне очень интересно, что же там напишут. 
Но эпопея на этом не заканчивается. Стоит в ТЗ у них требование для подсистемы межсетевого экранирования и защиты каналов связи. Всё бы ничего, но указали они там класс КС2. Если кто-то внимательно читал формуляр на СКЗИ ViPNet Client КС2, то там указано, что исполнений этого ПО два, и уровень КС2 выполняется только совместно с электронным замком Соболь или Аккорд. Цена ViPNet Client порядка 6-6,5 тыс. рублей. А вот замочек стоит где-то 10 тыс. Теперь вопрос, как вы думаете, при формировании первичного предложения кто-то этот вопрос отслеживал? Правильно - нет!!! Запросили ориентировочные спеки без всяких замков, и в ТЗ, не долго думая, вкатили КС2. Я не поленился посчитать насколько вырастет бюджет, если закупить замки для выполнения требования по КС2. Цена сразу выросла под первичную цену тендера. А ведь нужно ещё делать работы, аттестацию проводить. А теперь самый интересный вопрос, как вы думаете, хоть кто-нибудь из потенциальных Исполнителей озаботился этим? Ой сомневаюсь. Вот я и посмотрю как будет выкручиваться победитель. Запрос Заказчику для разъяснений по этому поводу я тоже послал.

24 комментария:

  1. Видимо ТЗ готовилось раньше, чем вышли нормы по сертификации IPS.
    Ну и как всегда обновить не успели/не захотели.

    ОтветитьУдалить
  2. Не думаю...нормы по сертификации были прописаны ещё в 2011 в ПП330 (которое ДСП), весной 2012 публиковали письмо ФСТЭК с разъяснениями по этому поводу. Все остальные средства защиты указано, что д.б. сертифицированы, скорее всего Интегратор, у которого запрашивали предварительную спеку, решил таком образом "оптимизировать проект".

    ОтветитьУдалить
  3. вы знаете хоть одну сертифицированную по требованиям к СОА СОА?

    ОтветитьУдалить
  4. Давайте разберемся. Новый РД по СОА в части профиля безопасности - это документ для тех, кто планирует сертифицировать её. Т.е. теперь просто соответствия ТУ недостаточно, требования жестко зафиксированы и их надо будет выполнять, но повторяю, для тех, кто будет сертифицировать СОА. Для интеграторов в этом РД только одна информация - это соответствие классов сертифицированных СОА классам АС и ИСПДн. Теперь разбираемся дальше - в ФЗ152, в ПП781, в ПП330 и в 58 приказе где-нибудь указано что СОА д.б. сертифицированы именно по новым требованиям? Ответ нет. Так что юзайте наздоровье существующие сертифицированные СОА. Вопрос будет только в том, как потом эти сертификаты обновлять. Но это проблема откладывается на год, два. Тогда уже появятся сертифицированные решения по новым требованиям. Главный вывод один - новые требования для разработчиков СОА, а не для интеграторов

    ОтветитьУдалить
  5. Каким образом можно использовать СОА, сертифицированные по ТУ, если в письме ФСТЭК чётко прописано, что для ИСПДн К4 и К3 должны использоваться СОА 6 класса, для К2 - 5го и для К1 - 4го?

    ОтветитьУдалить
  6. Смотрим информационное письмо ФСТЭК №240 от 01.03.2012, там сказано что IDS такого-то класса применяется в системах такого-то класса. И скажите мне, где написано, что применение систем обнаружения атак, сертифицированных на ТУ запрещено?
    Вывод такой, если у вас есть сертифицированная IDS по новым требованиям, то вы имеете право ее устанавливать в информационных системах указанного в этом документе класса, а если есть IDS, сертифицированная на ТУ, то нет никаких норм, ограничивающих её применение. Другое дело, что с выходом РД такие IDS пропадут, поскольку при окончании действия сертификата сертификацию на ТУ пройти уже не удастся. Все логично и обосновано, вендорам и пользователям предлагается мягкий переход со старой схемы сертификации на новую.

    ОтветитьУдалить
  7. Т.е. если у меня есть СОА, сертифицированная по неизвестным ТУ (например, Security Studio Endpoint Protection), то я могу её смело применять для защиты сов.секретных сведений и это никак не будет противоречить требованиям ФСТЭК к системам обнаружения атак.

    Я Вас правильно понял?

    ОтветитьУдалить
  8. Вы кое-чего не учли, берете сертификат любого СЗИ (совсместно с ТУ) и читаете его содержимое. В сертификате например SSEP указано, что оно может быть использовано - для создания систем АС класса до 1Г и ИСПДн до 1 класса. Так что о защите сов.секретных сведений в данном примере речи идти не может.

    ОтветитьУдалить
  9. Этот комментарий был удален автором.

    ОтветитьУдалить
  10. В письме ФСТЭК №240 оговаривается единственное условие, когда соблюдение новых требований для используемых IDS обязательно - это цитирую.."Выполнение Требований является обязательным при проведении работ по оценке соответствия (включая работы по сертификации) средств технической защиты информации и средств обеспечения безопасности информационных технологий, применяемых для формирования государственных информационных ресурсов, организуемых ФСТЭК России в пределах своих полномочий."

    ОтветитьУдалить
  11. Вы так и не ответили на мой вопрос :) (если смущает SSEP - возьмите Proventia IPS).

    ОтветитьУдалить
  12. Артем у меня нет под рукой копии сертификата и ТУ на Proventia IPS, если у вас есть, вышлите пожалуйста.

    ОтветитьУдалить
  13. У меня тоже нет :). Может, RSA enVISION тогда? (я смотрю по реестру серт.СЗИ с сайта ФСТЭК).

    ОтветитьУдалить
  14. Артем, дискуссия нарастает, я выложу отдельный пост на эту тему чуть позже с описанием алгоритма того, как применять IDS в ИСПДн и АС.

    ОтветитьУдалить
  15. Михаил.
    Если вернуться к первоначальному сообщению

    Почему вы ограничились только ТУ?
    До выхода нового РД, IPS могли сертифицироваться на соответствие одному типу требований (это намек Ж)

    ОтветитьУдалить
  16. Сергей, до выхода РД для IDS вообще никаких требований для этого класса средств защиты не было, соответственно при попытке сертифцировать IDS их функционал проверялся на соответствие ТУ, а уровень применимости к различным системам ограничивался только полученным сертификатом на НДВ. Некоторые вендоры сертифицировали свои продукты и по дополнительнным треованиям типа МЭ или ещё что-нить, но если бы этот дополнительный функционал в итоге понижал бы возможную область применимости решения, то они бы этого не делали. Ну скажем для примера, если бы сертификат на НДВ для IDS был по 3 уровню, а возможности МЭ отвечали бы только 4-му классу, то зачем сертифицировать функционал МЭ? Можно было просто этого не делать и спокойно применять IDS для гостайны. Так что к IDS сертификаты на допоплнительный функционал имели косвенное отношение.

    ОтветитьУдалить
  17. Сергей, вы знаете ещё какой-то тип требований к IDS? Я уже в непонятках ))
    По общим критериям наверное тоже можно было бы провести, но как-то у нас с этой нормативкой туго идут дела. Я прецедентов не знаю.

    ОтветитьУдалить
  18. Да, знаю ещё один вариант.
    Требования к IDS можно было прописать в Задании по безопасности и сертифицировать на соответствие ЗБ.
    Именно так в западном мире сертифицируется большинство IPS. И у нас работала аналогичная схема по ОК.
    Просто сейчас добавились профили безопасности для IPS. А система та же.

    ОтветитьУдалить
  19. Понятно )) а вы знаете IDS, которые были бы так сертифицированы? Ну просто для информации...А то может я пропустил

    ОтветитьУдалить
  20. Я знаю продукты сертифицированные на соответствие ЗБ, у которых в ЗБ прописаны функции обнаружения атак/вторжений :)

    ОтветитьУдалить
  21. Отличный ответ, хватит издеваться...имя сестра, имя ))

    ОтветитьУдалить
  22. Михаил, Вы падаете в моих глазах.
    Казалось бы я намекнул уже достаточно.
    Всётаки вы работаете в Интеграторе, я работаю в интеграторе. Возможно наши компании конкурируют в одном и том же конкурсе. Павильно ли помогать конкуренту себя выигрывать?

    Хорошо, приведу пример, но надеюсь не решение данной задачи.
    http://www.altx-soft.ru/files/groups/57.pdf
    Раздел 6.1.1.8 Обнаружение вторжений

    ОтветитьУдалить
  23. Что мешает наладить отношение с производителями всех сертифицированных решений и запросить у них сертификаты, ТУ, ЗБ, формуляры.

    Много вопросов отпадет.

    ОтветитьУдалить
  24. Ну как-то очень официально )) Мы все здесь так или иначе делимся информацией, которая может быть полезной для потенциальных конкурентов. Специфика форумов и блогосферы. В любом случае эти риски окупаются.
    Насчет ссылки, спасибо. Просто шерстить реестр ФСТЭК уже не остается времени.

    ОтветитьУдалить