Прошел год, и что же? Сертификатом могут похвастать всего несколько компаний, среди них и «Смарт-Софт». Сейчас, когда мы прошли через все тернии сертификации, мы совсем не удивлены, почему так мало тех, кто дошел до конца. Мы расскажем, как мимикрировал наш продукт под новые условия, поделимся особенностями проверки со стороны государства и покажем, была ли от доработок польза для конечного пользователя. Впрочем, обо всём по порядку.
Для производителей МЭ заинтересованность в сертификации очевидна: это «пропуск» на рынок B2G (другими словами, в государственные организации — медучреждения, школы, ВУЗы и т.д.). Ряд специалистов, однако, уже высказывал сомнения по поводу реальной пользы сертификата для потребителя. В частности, было отмечено, что от производителя не требуется добавлять функцию обновления продукта. При этом вредоносное ПО развивается постоянно, и изначальная сертифицированная версия от актуальных вирусных угроз отстанет очень быстро.
Так в чем польза? Неясно было, станет ли администратору удобнее работать с МЭ после сертификации: никаких требований по централизованному управлению, режимам работы и т.д. не высказывалось. Были вопросы и менее критичные: зачем требовать отправку стольких оповещений? Очевидно было и то, что сертификацию пройти непросто: компаниям потребуются новые экспертизы (например, юридическая поддержка имеется не у всех поставщиков ИТ-услуг).
Особенности сертификации МЭ Traffic Inspector Next Generation
По классификации Gartner относится к UTM (unified threat management), инспекция и фильтрация пакетов позволяют отнести его к NGFW — фаерволлам следующего поколения. Основано решение на открытом коде проекта OPNsense.
Прохождение сценариев тестирования
В сентябре 2016 года мы начали взаимодействие с испытательной лабораторией ЗАО «Документальные системы» для прохождения сертификации, в декабре лаборатория приступила к анализу предоставленного дистрибутива. Сертификация ФСТЭК была довольно скрупулезной. Проверяли не только программный код продукта и его модулей, но и базовую операционную систему. Проверка на прохождение сценариев тестирования заняла несколько месяцев. Доработки были вначале небольшими: блокирование конкретного трафика, создание оповещений о различных событиях.
Пришлось реализовать оффлайновую установку обновлений, поскольку в некоторых инсталляциях Traffic Inspector Next Generation размещается внутри закрытого от интернета периметра.
Проверка на скрытый код
Пожалуй, самой сложной частью работы было доказать, что недекларированных возможностей нет ни в BIOS, ни на накопителях аппаратных платформ. И вот вам одна из причин, по которой сертификация – плюс для конечного пользователя.
Процедура доказательства заняла еще примерно четыре месяца: с мая по август. Эта длительность понятна. В 2012 году вредоносный код нашелся в партии микросхем, произведенных в Китае, что стоило менеджерам одного крупного бренда многих нервных клеток. Тогда о «закладках» и заговорили всерьёз. Решающее слово досталось Дж. Броссару, который представил доклад «Аппаратный бекдоринг – это удобно» (Johnatan Brossard, Hardware Backdooring is practical) на конференции Black Hat. Впрочем, в нашем случае всё прошло довольно скучно: недостатков и уязвимостей обнаружено не было.
Проверка целостности кода, аудит сборки
Чтобы у пользователя были гарантии, что и на будущее нежелательных изменений не будет – нам по требованию ФСТЭК предстояло добавить самоконтроль целостности. Имеется в виду проверка контрольных сумм всех неизменяемых файлов и файла конфигурации, а также автоматическое восстановление конфигурации, измененной неавторизованным способом.
По требованию контролирующего органа, все события, связанные с изменениями конфигурации, теперь детально протоколируются. Администратору направляется нотификация при критических событиях безопасности (например, разнице контрольных сумм). Таким образом, несанкционированная модификация системы исключается — еще один плюс.
С аудитом сборки было связано много задач. Для контрольной сборки пришлось даже настраивать сервер, чтобы специалисты контролирующего органа сами могли убедиться: конкретные объектные файлы собираются из конкретных исходников, а бинарные файлы, в свою очередь, — из конкретных объектников. Предоставлена была и возможность зафиксировать контрольные суммы исходных файлов.
Результаты сертификации
Доработки по требованию комиссии ФСТЭК коснулись системы оповещения о событиях, протоколирования, обновления, аудита целостности.
К ноябрю 2017 года у нас была возможность опробовать решение на реальном кейсе: мы обеспечили локальную сеть ТюмГМУ единой точкой выхода в Интернет. Специалисты ИБ оценили систему оповещений и возможность через браузер управлять блокировками, получать доступ к статистике, простой интерфейс.
На сертификацию у нас ушел год. Это была большая, сложная работа, о которой мы не пожалели. Продукт полностью проверен, приведен в соответствие с требованиями. Значит ли это, что с нашим межсетевым экраном не страшны сетевые угрозы? Да, если соблюдать очевидные меры безопасности, а лучше — еще и обучать сотрудников основным принципам сетевой безопасности. На сегодня никаких «закладок», «бекдоров» и других уязвимостей в нашем продукте не обнаружено. Мы продолжаем следить за его качеством, чтобы и в дальнейшем все было в порядке.
Можно много спорить о том, полезна ли сертификация конечному пользователю. Но главным нам кажется, вот что: готов ли производитель дорабатывать свой продукт? Имеет ли он ресурсы вовремя исправлять найденные недостатки? Открыт ли он для критики?
Сертификация ФСТЭК в этом контексте – тест, показывающий уровень компетенций разработчика. Мы его прошли, отчего испытываем нескрываемое удовлетворение. Мы уважаем наших конкурентов, которые также прошли это испытание — значит, у нас достойные соперники (впрочем, их единицы). Ну а заказчикам это лишний повод задуматься — если у поставщика нет сертификата ФСТЭК, так ли он хорош, как рассказывает о себе? Впрочем, мы не настаиваем на своём мнении и готовы подискутировать в комментариях к статье :)
Команда «Смарт-Софт»
Комментарии (54)
Dmitry88
31.01.2018 15:26+2проверка базовой системы — это вообще как? Там 10050 строк кода, ну не реально же перелопатить, понять и оценить.
heleo
31.01.2018 17:00Сертифицируют. Причём не только ФСТЭК но ещё отдельные сертификаты МО и ФСБ есть со своими требованиями и различиями.
Другой вопрос как это всё лопатят и проверяют )
Zverienish
31.01.2018 20:23Скорее всего не лопатят и не проверяют. Возможно просто проверяют внешнюю активность. А так это 10 тясяч программистов системных садить надо, чтобы во вменяемый срок проверить.
Smart_Soft Автор
01.02.2018 13:48Это нужно спросить у ФСТЭК, как они проверяли. Мы получили ответ, что система соответствует требованиям, выдвинутым сертифицирующим органом.
vilgeforce
31.01.2018 15:41Методики, исходные данные и результаты исследований публике не доступны? Тогда сертификат — филькина грамота. Ему можно верить, а можно и нет…
noxway
01.02.2018 13:49Методики ФСТЭК распространяет по запросу. Сомневаться в подходе ФСТЭК, по мне, сомневаться в отечественной системе защите информации целиком.
Есть ли конкретные примеры выявленных несоответствий ПО либо железа сертифицированных ФСТЭК?vilgeforce
01.02.2018 13:52А кто-то НЕ сомневается в отечественной системе защиты информации? Я точно знаю, что существуют уязвимости на отказ в обслуживании (вероятно и на RCE) в сертифицированном ФСТЭК софте. Без конкретики, ессно.
noxway
01.02.2018 14:33В вашем понимании читается, что сертификация ФСТЭК проходит на все уязвимости и атаки, с чем не могу согласиться.
Уверены, что профиль защиты для «сертифицированного софта» включал в себя требования противостоять атакам типа отказ в обслуживании, а сертифицирован на НДВ?
Давайте перейдем к парадоксу бумажной и реальной безопасности. Порой для бизнеса необходима только сама бумажка (сертификат соответствия). Винить ФСТЭК в том, что производитель (разработчик) не желает развивать свой продукт, не стоит.vilgeforce
01.02.2018 14:36Винить ФСТЭК и Ко стоит в том, что имеется эта самая бумажная безопасность. Которая отнимает силы и средства от безопасности реальной. Когда важнее «у нас все соответствует требованиям», а не реальное отсутствие SQLi, RCE и иже с ним.
noxway
01.02.2018 15:16Вас никто не заставляет покупать нечто, что имеет уязвимости. Чем вызвано негодование, если никто не запрещает использовать СОА/СОВ или WAF?
Любой вопрос решается комплексно, исходя из моделирования конкретной ситуации и расчета риска, и без бумаг никуда.
Сертификация ФСТЭК никаким образом не говорит о качестве продукта, а только про соответствие конкретным требованиям.
SchmeL
01.02.2018 18:06+1Методики ФСТЭК распространяет по запросу. Сомневаться в подходе ФСТЭК, по мне, сомневаться в отечественной системе защите информации целиком.
Есть ли конкретные примеры выявленных несоответствий ПО либо железа сертифицированных ФСТЭК?
Да пожалуйста:
В конце 2013 была опубликована очередная порция разоблачений Сноудена — каталог различных программных и аппаратных закладок, разработанных подразделением АНБ — ANT. Вся информация о закладках носит гриф «Секретно» (Secret, S) либо «Совершенно секретно» (Top Secret, TS) и должна оставаться секретной до 2032 года.
Продукты: NetScreen 5XT, NetScreen 25, NetScreen 50, ISG 1000, SSG-5, SSG-20, SSG-140
Отдельные экземпляры этих продуктов (или их близкие аналоги) были неоднократно сертифицированы во ФСТЭК по 3 классу защищенности межсетевых экранов, что позволяет их использовать в том числе для защиты гостайны.
noxway
02.02.2018 10:22Сложно прокомментировать, т.к. в реестре средств защиты информации не нашел информации о сертификации указанных продуктов.
Еще раз повторюсь, сертификация — это не подтверждение исключительных свойств защиты информации в целом, а только декларирование соответствия конкретным требованиям. 3 класс РД МЭ, не говорит о том что он сертифицирован еще и на НДВ, и, в частном случае, необходимо использовать дополнительные средства (сертифицированные на НДВ и т.д).
vilgeforce
31.01.2018 15:48+3Очень рекомендую, кстати, посмотреть на сайте ФСТЭК на перечень уязвимостей в CMS, которую вы на своем сайте используете. Как минимум одна там не перечислена. Что наводит на странные мысли о «полезности» как списка уязвимостей, так и самого ФСТЭК
Spewow
31.01.2018 17:20Ок. Теперь вопрос на злобу дня. (Характерный впрочем для всех серт. Сзи).
Как будете на продукт обновы накатывать закрывающие критические дыры? От spetre и meltdown запатчились? Или теперь ещё год ждать пока лаборатория не проверит, а есть ли там НДВ в заплатках?
nightvich
31.01.2018 17:45Лаборатория принимает патчи. Да не быстро, да стоит денег.
vilgeforce
31.01.2018 17:49Очень интересно что они будут делать с микрокодом для процессоров?
nightvich
31.01.2018 17:51+2Получат денежку, поставят печать. На этом в 90% случаев все и закончится.
Error1024
31.01.2018 19:19+1Ааа, ну все ясно теперь, очередной сравнительно законный способ отъема денег.
VolCh
01.02.2018 12:53Сколько по факту времени займёт сертифицировать новый небольшой патч к ядру в лучшем случае?
Smart_Soft Автор
01.02.2018 14:24Нет отдельно выделенных патчей для ядра или базовой системы — сертифицируется весь комплекс в целом. Когда пройдем первую ресертификацию, сможем более детально об этом написать.
Xitsa
01.02.2018 15:32Если я правильно помню, то по регламенту предусматривается сокращённый путь исследования.
Smart_Soft Автор
01.02.2018 13:50Сейчас процедура сертификации не предполагает быстрой проверки обновлений для сертифицированной версии. Каждое обновление необходимо «прогонять» по полному циклу тестирования. Надеемся, что в будущем это изменится и появится методика ускоренной ресертификации обновлений и доработок.
nightvich
31.01.2018 17:49Сертификация — очень муторное занятие, но местами увлекательное. Такие штуки, как подсчет строк кода в мультиязычном проекте — повод померяться)))
Сопоставление исходных и объектных файлов, описание сертифицируемого функционала отнимает массу времени. В конечном счете, сертификат все равно не является чем-либо большим, чем бумажка. Однако при работе с ГОСами без нее не обойтись.
nightvich
31.01.2018 18:01+1По поводу межсетевых экранов — это отдельная тема.
Посмотрев на реализацию некоторых хочется плакать. Говорю про СТРОМ. Который представляет по сути ретранслятор оптики в медь, в котором используется только одна оптическая жила в определенном направлении с кривым софтом и ужасной документацией, однако обладающим нужными сертификатами для того, чтобы заломить ценник.
P.S. U_bobra_estb_usikiSpewow
31.01.2018 18:06Это не МЭ в традиционном понимании, а диод данных — однонаправленный шлюз..На самом деле неплохая вещь. Непробиваемость на эксфильтрацию данных на уровне физики.
Error1024
31.01.2018 19:21Ну а заказчикам это лишний повод задуматься — если у поставщика нет сертификата ФСТЭК, так ли он хорош, как рассказывает о себе?
Ме..., ну такое себе.
Zverienish
31.01.2018 20:36+2Все это филькина грамота, сертификация ФСТЭК. Обновлять продукты нельзя не ресертифицируя, если с персданными работаешь. И стоят эти продукты с дырами годами. Так что получается все наоборот, не защита данных, а разведение дыр. И даже банальные косяки нельзя исправить в программе.
nvv
01.02.2018 08:09Предложите как лучше.
VolCh
01.02.2018 12:51В случае с ПДн — усилить ответственность, но убрать сертификационные требования.
nvv
01.02.2018 17:30Ответственность за что? За утечку, за создание условий когда утечка возможна или др.?
Сертификационные требования исполнитель может использовать чтобы выбить средства на мероприятия хоть какие-то из руководства /вышестоящей организации.VolCh
01.02.2018 20:34За нарушение закона о ПДн, прежде всего за нецелевое использование ПДн, в том числе утечки. Экспертиза, анализ на сооотвествие, по желанию или в рамках судебных дел.
nvv
01.02.2018 08:03Обновленные версии выпускаются, с новыми котролями, суммами, формулярами и т.д.
У многих производителей СЗИ соответствующие разделы или объявления на сайтах. Часто обновление и доставка (это носитель и бумаги) за счет производителя.
mihmig
01.02.2018 11:26Много лет назад на форуме этой компании спрашивал насчёт лицензионной частоты:
Данное ПО работает на платформе Windows. По лицензионнной политике Microsoft каждому клиенту сервера требуется клиентская лицензия (за исключением FTP и WEB служб). Т.е. недостаточно купить лицензию на 50 пользователей вашего экрана — нужно купить ещё 50 лицензий на Windows(!)
Компания Smartsoft скромно умалчивает этот факт.
mihmig
01.02.2018 11:38Простите, но — не верю.
Для меня слово сертификация означает лишь то что «уплочена денежка» и ящик коньяка занесён «куда надо». И нужна эта бумажка лишь для прикрытия, мол если что — у нас продукт сертифицированный, пишите в спортлото.
Вот если бы ваши исходные тексты показали компании-разработчику статического анализатора кода, паре-тройке антивирусных компаний, пригласили бы ознакомиться нескольких признанных специалистов в данной отрасли (выложив в публичный доступ сканы заключений)…
VolCh
01.02.2018 12:49Государственная сертификация — это проверка софта на требования государства. Государство само решает, что ему нужно, ящик коньяка или анализ исходников. Для простых пользователей она мало что даёт, даже если доверие к государству откуда-то есть. Проблема только в том, что государство влезает в дела простых пользователей, обязуя их ставить сертифицированный софт.
Xitsa
01.02.2018 13:10mihmig: Мне кажется, что вы недопонимаете что такое сертификация и зачем она нужна.
Сертификация проводится на соответствие каким-либо требованиям, и, соответственно, сертификат — это документальное подтверждение того, что по результатам анализа ПО соответствует требованиям.
Наличие сертификата не гарантирует отсутствия проблем у ПО, это лишь подтверждение того, что ПО как минимум обладает нужными свойствами.
По уму, требования на МЭ от ФСТЭК'а это всего лишь часть ТЗ на продукт. И требования на мой взгляд довольно разумные.
Текущая система сейчас неповоротлива, и не всегда поспевает за изменениями, но довольно последовательна. Я не знаю другого способа, как обеспечить необходимый уровень качества ПО, которое поставляется в госорганизации.mihmig
01.02.2018 14:20Спасибо за разъяснения.
Просто у меня сложилось впечатление что сертифицированный продукт (не только ПО) — это продукт проверенный на качество. А оно вон как выходит.
Жаль только что производители «сертифицироанного ПО» выдают одно за другое (а пользователи принимают это).Xitsa
01.02.2018 15:36Я в своё время идею текущих требований понял так:
сертификация гарантирует минимальное качество/соответствие необходимым (но не достаточным) требованиям, а дальше в игру вступает в рынок и производители, конкурируя между собой, обеспечивают качество.
ajratr
01.02.2018 14:26А как быть если обнаружилась ошибка и без изменений в код не обойтись? По новой сертификацию проходить?
Smart_Soft Автор
01.02.2018 14:27Ресертификация. Такой стандарт.
DuH_Khv
01.02.2018 14:55+1Господа. Убедительная просьба.
Если мы говорим об обновлении ПО, то не «ресертификация», а «процедура прохождения инспекционного контроля».
Прошу меня извинить, но глаз режет это слово — «ресертификация» )Xitsa
01.02.2018 15:37И она как раз, в теории, должна занимать меньше времени/затрат.
DuH_Khv
01.02.2018 15:46Именно так.
Однако если это аппаратно-программная платформа, то получится ли так с ней?
Ибо сертифицируется платформа в целом, именно, в таком случае.
По крайней мере насколько мне известно.
Smart_Soft Автор
01.02.2018 16:14Есть регламент закрытия уязвимостей, прописанный в приложении к Формуляру, который предполагает:
1. Информирование всех клиентов об обнаруженной уязвимости, с инструкцией, как избежать эксплуатации уязвимости, описанием организационно-технических мероприятий по устранению возможности эксплуатации уязвимости;
2. Выпуск патча или обновления и донесения его до клиента с занесением записи в Формуляр;
3. Затем патч передается в Испытательную Лабораторию и ФСТЭК, проводится инспекционный контроль;
4. После проведения контроля изменения вносятся в сертификат, эксплуатационную документацию и производитель обновляет сертификаты и документацию у своих клиентов.
Это в теории и это разумно. Осталось, чтобы и на практике было также.
taliano
01.02.2018 14:27А какие закладки были добавлены по требованиям ФСТЭК?
Smart_Soft Автор
01.02.2018 14:31В каждый сотый комплект поставки мы обязаны добавить к формуляру самодельную закладку в стиле оригами из бумаги непременно синего цвета.
Xitsa
01.02.2018 15:40Все закладки должны быть отражены в документации.
Поэтому можно посмотреть именно там.
DuH_Khv
01.02.2018 15:49Господа.
А почему отказались от идеи реализации МЭ+СОВ сразу?
Если МЭ позиционируется для типов «А» и «Б», то для ГИС в которых они могут использоваться СОВ тоже нужно. Ставить ещё одну железку отдельно — крайне затратно. Однако без закрытия требований по СОВ тоже не обойтись.nvv
01.02.2018 17:36Продукт может иметь несколько сертификатов сразу: и МЭ, и СОВ, и антивирус, и СЗИ.
Smart_Soft Автор
01.02.2018 17:48В сертифицированной версии решения системы обнаружения и предотвращения вторжений действительно нет. Сертификация функционала запланирована.
ChePeter
Т.е. FreeBSD 10 проверку ФСТЭК тоже прошла?
Smart_Soft Автор
Так как это составной компонент Traffic Inspector Next Generation, а сертифицировался весь комплекс безопасности – выходит что да :)