Продолжаем тему подсистем по версии ФСТЭК.
Одна из самых богатых на сертификаты от ФСТЭК подсистем – это подсистема защиты от НСД. Условно сертифицированные средства можно разделить на «Встроенные» и «Наложенные».
Встроенные системы защиты от НСД присутствуют в:
- Windows XP
- Windows Vista
- MS Office 2007
- Oracle 9i
- Red Hat
Продукты сертифицированы на применение в ИСПДн до 2 класса включительно. Обращу ваше внимание, что если у вас стоит, например, Windows Vista лицензионный, то это вовсе не означает, наличие у него сертификата. Будьте внимательны.
Что касается наложенных средств, то тут все интереснее. Так как бОльшая часть операторов персональных данных уже имеют свои ИСПДн, которые в 99,9% не сертифицированы. Поэтому им необходимо «обвешивать» свои дорогостоящие системы дополнительными сертифицированными средствами, чтобы удовлетворить требованиям регуляторов.
Из наложенных выделим:
- Панцирь-С
- Dallas Lock 7.5
- Аккорд
- SecretNet
- Zlock 1.3
- eSafe 6
Панцирь-С и Dallas Lock 7.5 сертифицированы на использования в ИСПДн до 1 класса включительно , Аккорд и SecretNet вообще до гостайны, а Zlock и eSafe сертифицированы на применение в ИСПДн до 2 класса включительно.
Подробный реестр сертифицированных средств защиты информации находится на сайте ФСТЭК.
Конечно, в таком деле как подбор сертифицированных средств, есть масса тонкостей. Например, необходимо смотреть, на что именно сертифицировано средство; выдавался сертификат на партию или серию и т.д. Одним словом подбор средств остается нетривиальной задачей. Более того конфликты технических средств также не исключены, поэтому если ваша компания решила подбирать средства самостоятельно, то рекомендую действовать по принципу: Look before you leap/Семь раз отмерь один раз отрежь.
Как «старый» сертификатор не могу не прокомментировать :)
В вопросах сертификации нужно быть очень осторожным…
Можно потерять много времени, нервов и денег…
Евгений слегка прошелся по теме и, на мой взгляд, не совсем корректно…
Но немного информации и искреннее предупреждение/совет это уже неплохо…
Действительно, Евгений прав, возможно выбранное сертифицированное средство вообще Вам не подойдет.
Лучше обратитесь к специалистам — уж очень много подводных камней…
P.S. Хочу, чтобы при выборе СрЗИ пользователи не забывали что кроме сертификата соответствия у СрЗИ есть ФУНКЦИОНАЛЬНЫЕ ВОЗМОЖНОСТИ, ФУНКЦИОНАЛЬНЫЕ ОСОБЕННОСТИ и ОГРАНИЧЕНИЯ по использованию. При выборе СрЗИ ТРЕБУЙТЕ у поставщика ТУ, ТЗ, Формуляр, Руководства администратора, пользователя, Системного программиста. Прочтение этих документов откроет глаза на многие вещи.
Оффтоп..
Коллег с наступающим праздником, и всего-всего…
Евгений, интересная заметка!
После прочтения возник вопрос как к специалисту, явно неплохо разбирающемуся в предмете вопроса. Даже не один вопрос. Если можно, задам — было интересно выслушать ответ, ибо тема злободневная и посему актуальная как никогда.
1. Как быть со специальными ИСПДн? Фстэковская классификация типовых — это, конечно, замечательно, но 99,9% из несертифицированных 99,9% ИСПДн относятся к классу специальных. На основании чего и по каким параметрам выбирать к ним СрЗИ от НСД? Ну, так, чтобы лишнего не отрезать… ;)
2. Возник вопрос с логикой фразы:
«Условно сертифицированные средства можно разделить на «Встроенные» и «Наложенные».
Встроенные системы защиты от НСД присутствуют в:
1. Windows XP
2. Windows Vista
3. MS Office 2007
4. Oracle 9i
5. Red Hat
Продукты сертифицированы на применение в ИСПДн до 2 класса включительно. Обращу ваше внимание, что если у вас стоит, например, Windows Vista лицензионный, то это вовсе не означает, наличие у него сертификата.»
Правильно ли я понял, что перечисленные продукты обладают СЕРТИФИЦИРОВАННЫМИ встроенными СрЗИ от НСД? Тогда почему Вы утверждаете, что «если у вас стоит, например, Windows Vista лицензионный, то это вовсе не означает, наличие у него сертификата»? Вы же вроде как отнесли его двумя строками выше к сертифицированным? Задаю этот вопрос не из вредности, а исключительно потому, что это очень существенный момент, на мой взгляд — снимается тонна проблем для разработчиков СЗИ ИСПДн. Однако приведенный список из 5 сертифицированных продуктов (Windows etc) мне почему-то не удалось нигде обнаружить. В том числе в приведенном перечне на сайте ФСТЭК. Откуда такая информация? Особенно интересует пункт с Red Hat и Oracle (Windows с Office 2007 тоже не нашел, но это неактуально). И в свете первого вопроса, насколько можно обойтись только ими, если уж «Продукты сертифицированы на применение в ИСПДн до 2 класса включительно»? При аттестации ИСПДн во ФСТЭК это, по идее, должно снять кучу вопросов и значительно упростить проектирование ИСПДн, поскольку в редкой ИСПДн обрабатывается информация выше второй категории, да и количество субъектов не очень часто превышает 100000 человек. А так — поставил Red Hat или Windows и вроде как снял кусок требований…
3. Как быть с требованиями СТР-К и РД Гостехкомиссии касательно требований к классам защищенности информационных систем? Там тоже есть требования к СрЗИ от НСД. Насколько они коррелируют с требованиями по защите ПДн?
4. Ну и последний вопрос — раз уж говорим про НСД, интересно было бы узнать, от НСД по каким каналам защищают перечисленные средства. Вы справедливо заметили, что это самая богатая на сертификаты категория, однако мне, к сожалению, не удалось найти среди перечисленного средства, предотвращающие, например, такую угрозу, как внедрение вредоносных программ по сети или угрозы удаленного запуска приложений.
Заранее благодарю за ответы, очень интересно узнать Ваше мнение, Евгений!
Владу:
1) Тут не очень понимаю вопрос. В сертифицированных средствах ФСТЭК нет пометки, что «использовать только для типовых систем»…
2) Сертифицированный Windows, например, нужно покупать у конкретного поставщика, за цену выше чем цена “обычного” несертифицированного Windows. Погуглите «сертифицированный Windows» и все поймете ;-) . Что касается “Продукты сертифицированы на применение в ИСПДн до 2 класса включительно”, то обойтись этим удастся, если знаете что именно было написано в том самом ТУ, и сверить это с требованиями ФСТЭК. Если коррелирует, то супер, если нет…
Что касается Red Hat и Oracle, посмотри внимательнее, они есть.
3) Есть такая проблема, к сожалению, новые документы не отменяют старых, поэтому необходимо соответствовать и тем и другим. Тут каждый случай уникален.
4) «внедрение вредоносных программ по сети или угрозы удаленного запуска приложений» таких средств я не знаю, полагаю что даже несертифицированных не найдете. А вообще такие вещи решаются внедрением совокупности средств: Антивируса, Межсетевого экрана и созданием замкнутой среды.(спасибо коллегам за подсказку)
Евгений, спасибо за оперативный ответ! ;)
Отвечу тоже по пунктам:
1. Аналогом такой пометки является соотнесение СрЗИ с классом ИСПДн. К сожалению, по документам ФСТЭК на данный момент классификации поддаются только типовые ИСПДн, что несколько не соответствует задаче защиты специальной ИСПДн. В этом, собственно, и проблема, что с ней делать — не очень понятно.
2. Давно уже гуглил. ;) ТУ явно коррелируются, иначе бы сертификат не дали. ;) Но ТУ (технические условия) — это не ТЗ и даже не положительное заключение о соответствии требованиям. В них может быть написано все, что угодно заказчику. Проблема еще и в том, что сертификацию Винда проходила исключительно по «Общим критериям» на соответствие уровню доверия, заметно ниже требуемого для ПДн (ОУД1+ против ОУД4, если мне память не изменяет). К сертификации в части подсистемы защиты от НСД данный факт, мягко говоря, не очень подходит, если верить тому же ФСТЭКу. Да и поставщики тут ничем не помогут — ибо в чистом виде Винда даже требованиям по НДВ не очень-то соответствует… Про Офис я вообще молчу. А вот Оракл просмотрел, виноват.
В общем, не шибко понятно, что тут делать ;)
3. :) Собственно, вопрос и заключался, чем нужно руководствоваться в этом случае.
4. Немного не понял — так не найду или все-таки это решается?… И на каких требованиях желательно основываться при построении замкнутой среды?
Вообще ситуация начала немного проясняться ;)
Разрешите поучаствовать…
1. Как быть со специальными ИСПДн?
— ФСТЭК неоднократно намекал что для устранения неточностей в классификации и требованиях лучше «классифицировать» а точнее заявлять ИСПДн как специализированные. В таком случае Вы не привязаны к классификации К1-К4 а самостоятельно строите модель угроз, сами решаете какие средства используете для перекрытия угроз и представляете все это в ФСТЭК на экспертизу. По сути большая гибкость…
2. Возник вопрос с логикой фразы:…
— тут все просто сертификация в ФСТЭК проходит по 3-м основным схемам
— единичный образец (грубо пылесос с его персональным заводским номером/серийным номером и т.п. При этом Сертификат распространяется только на этот конкретный пылесос и только даже если вы докажете что другой пылесос ему идентичен полностью…)
— партия (партия например из 100 пылесосов ! При этом сертификат распространяется только на эти 100 пылесосов и точка… с конкретными номерами)
— серия (при этом отбираются некие образцы — например ОДИН пылесос и полностью проверяется + проводится предварительная проверка/аттестация производства) тоесть необходимо доказать что все пылесосы производимые вами будут идентичны первому проверенному это включает входной выходной контроль и т.п.
Поэтому если сертифицирован Пылесос красненький (извините предпраздничное настроение) по схеме партии из 100 штук — это еще не означает что ваш к ним относится…
(Напомню что у всех пылесосов есть свои ограничения и сроки действия сертификатов)
3.. Насколько они коррелируют с требованиями по защите ПДн?
— коррелируют очень близко… мы специально очень внимательно сравнивали и сопоставляли классы, но есть всякие НО связанные с доп. требованиями и с некоторой нелогичностью требований к ПДн (по сути не строится «дерево» вложенности по одному моменту… но это уже глубоко…)
4. …такую угрозу, как внедрение вредоносных программ по сети или угрозы удаленного запуска приложений…
— Как уже сказал Евгений… нужно искать и разбираться… обращая внимание на детали…
Владу:
1) Теперь я понял ;-) . Это уже много раз обсуждалось, классифицируйте как типовую (скорее всего будет К1). Просто ФСТЭК вопросом специальных систем (почему-то) не задается, а Роскомнадзор просит классификацию как у типовых систем. Ну это, грубо говоря, практика. А формально вы правы, есть недоработка.
2) По ТУ заявитель может указать что угодно и не факт, что это покрывает требования для подсистемы по версии ФСТЭК.
3) ;-) Руководствоваться всем! Очень большая аналитическая работа.
4) Может быть и найдете)). По секрету, не усложняйте себе жизнь, требований на ближайшие несколько лет хватит))).