Пора уже завершать рассказ о конференции ФСТЭК, а то затянул я что-то. Правда, есть тому объяснение — я все ждал, что ФСТЭК выпустит обещанное информационное письмо по применению межсетевых экранов, о котором много говорилось на конференции, но, видимо, пошло что-то не так. Поэтому, не дожидаясь письма подведу краткое резюме по тому, что я услышал. Основная проблема с МСЭ возникла после публикации информационного письма ФСТЭК, в котором было написано, что с 1-го декабря разрабатываемые, производимые и поставляемые МСЭ должны соответствовать новым требованиям к МСЭ, разработанным ФСТЭК. Проблема возникла именно с поставкой после 1-го декабря МСЭ, сертифицированных еще по «старым» требованиям. И вот ФСТЭК дала разъяснения:
- Новый РД устанавливает новые требования к классу защитных средств, их функциональности и процессу разработки, а вот возможность применения этого класса защитных средств определяется иными документами, а точнее 17/21/31-м приказами, которые и говорят, какого класса МСЭ в какого класса ГИС/ИСПДн/АСУ ТП можно применять. Поэтому пока эти документы не изменены, можно спокойно использовать «старые» МСЭ с действующим сертификатом.
- Разработка МСЭ должна уже вестись по новому РД. Сертификация новых МСЭ также должна уже вестись по новому РД.
- Производство и поставка «старых» МСЭ возможна при наличии действующего сертификата. Сертификация их по «старым» требованиям также возможна. Например, в случае использования в аттестованной ГИС, в которой не меняются условия функционирования и для нее просто продлевается аттестат. Правда, с течением времени таких ситуаций должно становиться все меньше и меньше.
- Сертификация уже снятых с производства, но ранее сертифицированных МСЭ, тоже возможна. Но при условии отсутствия известных уязвимостей и после согласования с ФСТЭК. Правда, такая ситуация скоро будет маловероятна. Если вернуться к моей презентации, то если МСЭ снят с производства, то у некоторых производителей заверщается и его поддержка, а некоторые продлевают выпуск обновлений для него еще на некоторый период (у Cisco, например, 5 лет). Если в течение этого периода у снятого с производства МСЭ будут устраняться уязвимости, то почему бы его и не сертифицировать (хотя логика подсказывает, что смысла в этом не много). Но на НДВ уже врядли — производитель не сможет предоставить информации по снятому продукту. К слову, тем заказчикам, которые до сих умудряются использовать сертифицированные Cisco Pix, лучше задуматься о переходе на новые модели МСЭ — устранение уязвимостей в них уже невозможно — продукт перестал выпускаться 10 лет назад, а поддерживаться лет пять назад.
- Применение «старых» МСЭ возможно, если требования (из публичных — это 17/21/31-е приказы) это допускают. Выбрасывать «старые» МСЭ никто не заставляет — пока действует их сертификат они вполне легитимны к применению. Если бы это было не так, то проще было просто аннулировать все сертификаты на «старые» МСЭ и решить вопрос кардинально.
- Аналогичная ситуация и с аттестацией. Аттестат действует — продолжаете использовать «старые» МСЭ. Продлеваете аттестат — продолжаете использовать «старый» МСЭ (с устраненными уязвимостями).
- На момент конференции существовало уже 5 МСЭ, сертифицированных по новым версиям, но этот список постоянно пополняется. Единственное, на что стоит обратить внимание — не всегда выдаются новые сертификаты, иногда обновляются «старые». Например, такое вы увидите в таблице ниже по «Рубикону», «Континенту», Cisco…
C межсетевыми экранами, пожалуй, все. Пару слов надо сказать про Банк данных угроз и уязвимостей, который по заданию ФСТЭК создавал и ведет Воронежский ГНИИ ПТЗИ, и который все больше становится ключевым звеном в новых подходах ФСТЭК по моделированию угроз, по устранению уязвимостей, по выработке требований к средствам защиты и информационным системам.
Ключевые изменения в БДУ представлены на слайде, я только упомяну официальный Twitter БДУ, на который можно бесплатно подписаться и получать обновления информации об уязвимостях и угрозах.
Из планов на 2017-й год я жду следующего:
- новая классификация угроз (если ФСТЭК ее примет)
- переход на CVSS 3.0
- база шаблонов опасных конструкций для разных языков программирования (в контексте активизации темы по SDLC очень полезно)
- личный кабинет пользователя
- поддержка OVAL
- «зал славы» и ведение рейтинга исследователей, пожелавших сообщить об обнаруженных уязвимостях в ГНИИ ПТЗИ/ФСТЭК.
Ну и в заключение заметки хотелось бы обратить внимание на выписку из плана ФСТЭК по разработке нормативных актов. По нашей теме там всего два последних пункта — разработка обновленной версии 17-го приказа и выпуск нового приказа для ОПК — «Об утверждении требований к обеспечению безопасности информации, содержащейся в информационных системах управления производством, используемых организациями оборонно-промышленного комплекса, в том числе в системах автоматизированного проектирования, системах управления станками (оборудованием) с числовым программным управлением». С одной стороны документ по ЧПУ у ФСТЭК уже есть, а с другой, видимо, назрела необходимость его обновления и расширения именно для объектов ОПК (в условиях текущей геополитической ситуации).
Вот такой мне запомнилась конференция ФСТЭК 2017-го года.
Алексей, а вот или я не доглядел, или Вы не осветили информацию по разделению работ по аттестации и проектированию между физическими лицензиатами. Спасибо.
А про это на конференции почти не говорили. В проекте промежуточного 17-го приказа есть и все.
Странно, Прозоров акцентировал на этом, в последнем посте, очень интересный момент.
Я про это писал в обзоре проекта промежуточного 17-го приказа. Больше ничего нового не было
Интересно, а как 44-й ФЗ на это посмотрит, или ФСТЭК эту ситуацию как то думает обойти?
Алексей, в этом новом приказе для ОПК есть кардинальное отличие от старого — не ограничиваются собственно станками, а и собираются устанавливать требования к системам управления производством (предприятием???) и системам проектирования, а следовательно — SAP, Oracle, Creo (ProE), Catia и пр, и т.п.
Предположу, что речь идет о PLM/CAD/MES решениях. Не уверен насчет ERP.
Алексей, откуда информация про сертификат на ViPNet Coordinator HW 4. На официальном сайте указана другая информация: Ведутся работы по сертификации продукта на соответствие требованиям к МЭ А4 класса. А у Вас уже даже номер откуда то есть.
Из ФСТЭК