четверг, 30 августа 2012 г.

Вот вам и ФИПС

Сегодня случайно столкнулся с автоматизированной системой безбумажного делопроизводства экспертизы изобретений (система удаленной подачи заявок на изобретения) Федерального Института Промышленной Собственности и сильно удивился. Ребята взяли и развернули все на CheckPoint. В том числе сделали VPN SSL портал с ГОСТ-шифрованием. То, что CheckPoint реализовал у себя поддержку ГОСТ-шифрования через интеграцию с КриптоПро CSP уже давно не секрет, но их позиция была принципиальной в нежелании (или отсутствии возможности) проходить сертификацию в ФСБ. В своих презентациях они писали, что данную процедуру с их продуктами проходить не нужно. Не знаю, насколько они правы. Сейчас это один из камней преткновения, воюют все: регуляторы с вендорами, вендоры с покупателями и т.д. и т.п. Моя личная позиция в этом плане была "от греха подальше пользовать только сертифицированные СКЗИ для гос.заказчика". Да и как-то не слышал я, про реальные проекты, где бы использовали ГОСТ-VPN на CheckPoint. И вот пожалуйте. Уж не знаю, как они протащили такой проект, но система уже реально работает. Заявки на изобретение - это коммерческая тайна и с одной стороны владелец информации вправе сам устанавливать для неё меры по защите, но здесь речь идет в том числе и о государственных организациях, а значит необходимо использовать:
1) сертифицированные СКЗИ (в том числе сертифицированные VPN);
2) и/или ПО, прошедшее оценку влияния в случае взаимодействия прикладного ПО с СКЗИ.
В случае VPN SSL ещё можно попытаться перед регулятором уйти от сертификации к оценке влияния. В процессе обсуждения с одним из вендоров аргументы, которые мне привели на этот счет, технически мне показались обоснованными. Для установления ясности даже пришлось послать запрос в ФСБ по этому вопросу, но никакого ответа я к сожалению не получил, так что остается неясность. Как бы то ни было, про успешное выполнение ни первого, ни второго варианта относительно продуктов CheckPoint я не слышал. Но факт остается фактом.
Вот ссылочка на посмотреть ФИПС ))

вторник, 28 августа 2012 г.

Истории о сертификации

Решил коротенечко рассказать некоторые интересные моменты по сертификации средств защиты из своего опыта. Мало ли кому пригодится.

История №1 - не слушайте испытательные лаборатории

Заявлял я как-то на сертификацию несколько продуктов. Встал закономерный вопрос - сертифицировать их как что? Единственным документом на сегодня, определяющим что может быть средством защиты, является положение о сертификации №199 т 27.10.95 (и то оно для гостайны). И вот смотрю я перечень типов средств защиты в приложении 1 и понимаю, что некоторые продукты не попадают под этот список. Начинаю звонить в испытательную лабораторию (названия приводить не буду). Рассказываю, что хочу сертифицировать, говорю, что пойдем по схеме "на соответствие ТУ + отсутствие НДВ". На что мне уверенным голосом заявляют, что так не получится, ибо ни в каком РД ФСТЭК не упоминается такой тип средств защиты, а значит придется сертифицировать просто как защищенное средство обработки информации на отсутствие НДВ. Договариваемся, выдают цену. Тут я хочу посоветовать запросить цены по нескольким лабораториям, лично я нашел ту, в которой мне согласились выполнить работу в 1,5 раза дешевле. И вот дальше становится интересней. В процессе согласования заявки на сертификацию во ФСТЭК его представители мне вдруг заявляют, что сертифицировать надо все-таки по схеме ТУ+НДВ как средство защиты, попытка транслировать слова представителей испытательной лаборатории не менее уверенно отвергается. Отсюда делаем практический вывод - мнение о том что, если функционал (тип) средства защиты не упоминается ни в одном из РД ФСТЭК, то его сертифицировать как средство защиты нельзя - неверно.

История №2 - что такое ключевая информация

Одним из продуктов, которые подавались на сертификацию, являлся генератор паролей. Вобщем-то ничего особенного с функциональной точки зрения, но когда есть требования по сложности паролей, то штука удобная. И вот тут, ФСТЭК меня вообще удивила - мне было сказано, что данное средство не может быть сертифицировано в рамках их нормативной базы, поскольку существуют требования к генераторам случайных чисел в ФСБ и мне нужно обратиться туда. Я полез разбираться и выяснил, что данные требования устанавливаются только при формирования ключевой информации. Нас же продукт генерировал только пароли, которые никакого отношения к термину "ключевая информация" в рамках нормативной базы ФСБ не имеют. Но представители ФСТЭК были непреклонны, мне было отказано даже в попытке сертифицировать продукт на отсутствие НДВ, что вообще меня удивило. Единственное, что мне удалось - это получить от них письмо с официальным отказом в сертификации. Какой отсюда вывод? Общеизвестный - переубедить представителей регулятора как минимум крайне сложно (у меня не получилось).

История №3 - бонус затрат к сертификации

Ну этот момент пожалуй даже подводным камнем не назовешь, просто для тех, кто будет проходить эту процедуру впервые. Учтите, помимо сертификационных испытаний, которые вам проведет испытательная лаборатория, нужно будет пройти также через экспертное заключение корректности выводов испытательной лаборатории независимой организацией. Т.е. с вас после всего ещё сдерут порядка 80000-100000 руб за каждый продукт.

Вот такие вот истории пришли на память.