Аккурат сегодня закончил я прохождение обучения на тему оценки соответствия средств защиты по различным международным системам сертификации. Как это ни странно, но лидером по числу систем сертификации являются США — у них существует 4 системы сертификации:
- FIPS 140 — проверка корректности реализации криптонрафических характеристик. Признается она, помимо США, еще в Великобритании и Канаде. По своей сути схожа с тем, что организует у нас ФСБ, но система более прозначная и открытая. Секретных требований нет. Уровни сертификации дифференцированы — может проверяться только ПО или с погружением в «железо». Текущая версия FIPS 140-2, но в начале 2013-го (а может и до конца этого успеют) грядет новая версия — FIPS 140-3. Т.е. в США на месте требования не стоят и постоянно дорабатываются с учетом новых реалий в области криптографии и криптоанализа. Причем речь именно о требованиях по сертификации, а не о новых криптоалгоритмах. Время сертификации — от 9 до 13 месяцев; примерно как и в России.
- DoD UC APL — это проверка для МинОбороны США того, как продукт (сетевое оборудование, средство защиты, сервера и т.п.) обрабатывают унифицированные коммуникации. Т.к. в условиях военных действий очень важным является именно взаимодействие между войсками, а современные вооруженные силы давно перешли на различные IP-коммуникации (ВКС, IP-телефония, Telepresence, чаты и т.п.), то при данной сертификации смотрится даже не функциональность с точки зрения защиты, сколько качество реализации поддержки унифицированных коммуникаций и взаимодействие между различными компонентами.
- Army I3MP RPL — сертификация по сути аналогичная предыдущей. В ее рамках проверяется не защитная функциональность, а производительность сетевых решений в различных условиях применения сетевого оборудования армией США.
- IPv6 — это сертификация соответствия требованиям по переходу на протокол IPv6, курс на который принят в госорганах США. Проводится сертификация только для госорганов (исключая военные ведомства).
- NATO IAPC — это оценка соответствия продуктов защиты требованиям Североатлантического альянса (НАТО). Проверяются средства защиты и продукты с соответствующей функциониональностью (тоже сетевое оборудование и т.п.).
В чем особенность американских систем сертификации от российских? Если вкратце, то при общей идеологии оценки функциональности и качества реализации защитных функций, мы различаемся в подходах:
- В США все требования (исключая некоторые требования МинОбороны) являются публичными и любой желающий может с ними ознакомиться на сайтах в Интернет. У нас же публичны только требования ФСТЭК (хотя сама процедура сертификации не очень прозрачна). Требования ФСБ секретные. Требования МинОбороны тоже мало кому известны. Исключая вероятного противника — уж он-то с этими требованиями наверняка знаком 😉
- Обязательность сертификации только для госорганов и военных ведомств. Никакой обязательной оценки соответствия для операторов персданных и в помине нет. Каждый предприниматель действует на свой страх и риск (в этом Россия и США схожи), но вот в Америке эта самостоятельность проявляется и в выборе средств защиты. У нас же никакой самостоятельности нет ;-(
- Схемы сертификации тоже различаются. Да, и там и тут сертифицируется конкретная версия ПО/железа и при ее смене происходит процесс пересертификации. И там и тут срок сертификации эталонного образца составляет несколько месяцев. Но… там нет такой идиотской схемы, когда сертифицируется конкретный экземпляр. Там именно на производителя возлагается ответственность за контроль качества выпускаемой продукции и ее соответствие эталонному образцу. И в случае несоответствия производитель ответит перед регулятором. А т.к. в США доля рынка средств защиты для госорганов очень весома и терять ее никто не хочет (у нас, кстати, тоже), то вендоры не будут невыгодно заниматься махинациями с ПО и внесением каких-то там непрошедших проверку изменений. Тем более, что пересертификация обновлений — не такая уж и сложная задача. У нас же все сделано через одно место — через гостайну — требования растут оттуда. Никакого доверия производителю — все проверяется и перепроверяется. Для гостайны это понятно, но для коммерческого потребителя-то зачем? Не говоря уже о том, что ему все равно не нужны сертифицированные СЗИ. Особенно в условиях, когда ни производитель, ни испытательная лаборатория, ни орган по сертификации не несут никакой ответственности за плоды своего труда.
Вкратце, наверное все. Обучение было интересным и познавательным. Это самое главное.
Алексей, чем каждый раз многозначительно подчеркивать необязательность сертификации "у них", по сравнению как это сделано "у нас", лучше было бы обсудить причину этого и эффективность данного решения в стратегической перспективе для страны. Америке то нет необходимости поддерживать своих производителей СЗИ… Понятно, что не хочется оплачивать эту поддержку из своего кармана, но как иначе?
Алексей, на счет схем сертификации.
У нас тоже могут сертифицироваться крупные партии и вся серия. И ответственность за это лежит на производителе.
Но так как производители забивают (ждут повышение спроса) то и сертифицировать приходится заказчику конкретные экземпляры.
Если бы крупные западное производители сертифицировали все свои серии — жить заказчикам было бы гораздо лечге.
А причина давно известна и не раз в блоге озвучивалась. Как и эффективность такого подхода для страны.
Сергей, я открою тебе тайну 😉 Западный производитель юридически не может в России сертифицировать продукцию так, как это делается на Западе. Там очень много нюансов и особенностей — российская система сертификация разрабатывалась в те времена и для таких задач, в которых иностранный вендор вообще не принимался в расчет. Сейчас ситуация поменялась, а система сертификации нет
Что нибудь типа — западный производитель, проводящий сертификацию, приравнивается к шпиону получившему доступ к гос.тайне?
Алексей, а нет ли у Вас информации о ценах на сертификацию аналогичных продуктов здесь и там? Интересно было бы сравнить.
Если брать цену сертификации образца, то сопоставимо; там даже чуть выше. Но там сертификации партии и единичного экземпляра в принципе нет. Поэтому получается дешевле
Сергей, нет. Просто западные компании не ведут в России коммерческой деятельности и не могут быть заявителями, тк потом некуда девать сертифицированные изделия. Вендор же в цепочке поставки отсутствует
А что у нас с IPv6?
Неужто будут сидеть до упора в vpn L3 Ростелекома в приватных IPv4 с древними PC-based шлюзами, обеспечивающими гостовское шифрование? В этом решении гибкости столько же, сколько в змее, проглотившей палку.
У меня следующие предложения:
1. С 2013 года все госзаказы на новое программное и аппаратное обеспечение должны в себя включать пункт поддержки IPv6, за исключением IP-телефонов, так как в этой области все печально. С 2014 года все межведомственные каналы связи, организованные через публичные сети, должны быть переведены на IPv6 и новые подключения осуществлять только по IPv6. Это решит вопрос с ежегодными тендерами на vpn L3. Пусть через публичные IPv6 и любых доступных операторов делают туннели, если надо. С видеоконференцсвязью тоже пусть думают что делать.
2. Обязательным условием сертификации ФСТЭК, ФСБ межсетевых экранов, предназначенных для защиты персональных данных, должна быть поддержка IPv6.
3. Сайты госуслуг, а так же все публичные ресурсы различных ведомств, предназначенные для обработки запросов физических и юридических лиц, должны поддерживать IPv6. Проверил госуслуги (http://ipv6-test.com/validate.php) — банан.
4. Операторам предписать модернизировать биллинговые системы, СОРМ, обеспечить фильтрацию контента по IPv6.
Круто! Надо Никифорову написать. Пусть в свою стратегию 2018 вставит
Писал 3-го числа
Правда мотив был другой. В местном РТ жмутся выдавать блоки IPv4 адресов для ВКС в ЛПУ. Ну а под проекты модернизации ЛПУ этих кодеков понабрали горы и каждому по ТУ подрядчика подавай публичный адрес. В общем, все инновационные порывы правительства спотыкаются и падают в пике вместе с IPv4.
1.FIPS в обязательном порядке распространяется на всех кто взаимодейсnвует с федералами.
2.Требования к ЭП и УЦ открытые. У требований к СКЗИ есть полноценные выписки с грифом дсп и без грифа вообще.
По запросу разработчикам и заказчикам высылаются любые виды выписок. Поэтому секретность требований — не проблема.
3.По требованиям к СКЗИ и ЭП сертифицируется образец или выборка из партии (по определенным классам).
Интереснее сравнить сутевую часть FIPS и наших требований к ЭП.
Ага, это наша придумка, делать выписки или выписки из выписок 😉
Требования для разработки СКЗИ низшего класса и для коммерческого рынка имеют гриф "секретно" и приравнены к гостайне. В этом что-то есть, что-то параноидальное…