Чуть позже, ФСТЭК выпустила ДСПшную методику выявления уязвимостей и недекларированных возможностей в программном обеспечении. Интересно то, что в этом документе ФСТЭК декларировала появление методики выявления уязвимостей и НДВ в аппаратном обеспечении. А вчера стало известно об обнаружении уязвимости в процессорах Intel, названной Zombieload. Это продолжении серии уязвимостей Spectre, Meltdown и Foreshadow, найденных в продукции главного производителя процессов за последнее время. Интересно, что исследования, позволившие найти данную уязвимость, длились больше года.
И вот тут у меня появилось ряд вопросов, которые я позволю себе просто озвучить в рамках данной заметки:
- Планирует ли регулятор разрабатывать свою методику с нуля или будет ориентироваться на уже существующие стандарты (AS6081, AS5553, AS6171 и ARP6178 от SAE G-19A, CTI CCAP-101, IDEA-STD-1010 и др.) в этой и смежных областях, например, в аэрокосмической? Они хоть и не посвящены целиком безопасности, но очень недурно описывают таксономию методов поиска.
- Будут ли методы поиска уязвимостей и НДВ в новом документе привязаны к уровням/классам защищаемой информации/систем? Допускаю, что да, но тут важно не требовать очень уж серьезных проверок на низких уровнях доверия (например, на 6-м). Учитывая, что таких методов существует немало, то это будет непростая задача.
- Будет ли методика учитывать различные типы аппаратных компонентов — цифровые (например, ASIC или FPGA, как это сделано в ряде иностранных средств защиты уже сейчас), аналоговые (например, АЦП и ЦАП или DAC и ACD в англоязычной литературе), дискретные (например, резисторы, диоды, транзисторы и т.п.)?
- Какие требования будут предъявляться к разработчикам средств защиты в части аппаратных компонентов? Особенно учитывая, что сегодня нет российских ИБ-производителей, которые бы изготавливали железо целиком сами. А уж использование чужих компонентов, часто из Китая или Тайваня, происходит сплошь и рядом.
- Как будет учитываться тот факт, что сегодня НДВ может быть внесена в процессе транспортировки готового изделия от производителя к потребителю? Или вообще быть внесена уже в процессе эксплуатации (если используется перепрограммируемые микросхемы). В этом случае процедура выявления на стороне производителя ничего не даст.
- Насколько увеличится цена работ по сертификации?
- Насколько увеличится длительность работ по сертификации? Она и сейчас не очень маленькая и часто срок сертификации превышает срок жизни конкретной версии оцениваемого ПО. А уж при наличии нового документа ситуации и вовсе станет аховой.
- Наличие оборудования для проведения соответствующих работ; особенно сертифицированного по требованиям регулятора. Во-первых, оно очень дорогое для определенного типа проверок. А, во-вторых, оно не выпускается в России.
- Будут ли выставлены требования по компетенциям сотрудникам испытательных лабораторий? Если да, то где им проходить обучение? А если нет, то не превратится ли процесс оценки в профанацию?
- Как ФСТЭК будет проверять качество проводимых работ и есть ли у самого регулятора соответствующие специалисты?
- Что делать, если у ИЛ или регулятора появятся вопросы к используемым аппаратным компонентам? Недавно один из российских производителей МСЭ поделился своей болью. Для выполнения одного из пунктов методики проверки МСЭ по новым требованиям ФСТЭК, им потребовалось поменять ряд ранее используемых аппаратных модулей, из-за чего стоимость возросла в разы. И, конечно же, эти затраты будут возложены на плечи заказчиков, большая часть из которых относится к государственных органам, которые обязаны будут применять только сертифицированные средства защиты.
- Будут ли признаваться результаты СИ/СП, проводимых по линии ФСБ, для тех решений, которые подаются на сертификацию еще и в ФСТЭК?
- Готова ли ФСТЭК к существенному изменению правил игры, которые даже многие отечественные вендоры не смогут соблюдать?
2й слева ?
Не только 🙂
Первые четыре с большей вероятностью чем крайняя справа
Все, кроме правого )
2 и 3
Алексей, можете пояснить? Почему 2 и 3?
Ну там надо при увеличении смотреть на маркировку. И становится понятно, что это ненастоящие чипы. Самый простой, но часто эффективный способ обнаружения