Привет! Сегодня наш разговор пойдет про сертификацию ФСТЭК и про тонкости этого процесса. Этот пост — не про теорию, а про практику, которая позволила нам получить одобрение ФСТЭК на версию 2.32 (на тот момент являлась новейшей - сейчас есть еще 2.33). Мы расскажем о том, что все это значит для пользователей нашей BI-платформы (из первых уст), а также почему мы уверены, что сертификация — это правильная практика не только “для бумажки”, но и для реальной пользы дела. Надеюсь, многое из этого текста окажется полезно как разработчикам российского ПО, так и его пользователям. Все подробности процесса нашей сертификации, в том числе мучительные — под катом!

Я думаю, на Хабре все знают, что сертификация — очень важный процесс для российских программных продуктов, которые хотят попасть на рынок государственных и режимных структур. Чтобы использовать ПО в целом спектре сфер (не только на критических инфраструктур — хотя и их на сегодня немало). Не буду скрывать, что этот процесс связан с огромным количеством сложностей, в том числе бюрократических, которые необходимо преодолеть, чтобы сертификат можно было гордо вывесить на своем сайте и порадовать им тех заказчиков, которые без сертификата просто не имеют права пользоваться ПО.

А сертификат нужен как минимум в тех случаях, когда вы имеете дело с:

  • Информационными системами органов государственной власти, органов управления и правоохранительных структур;

  • Информационными системами, которые занимаются хранением персональных данных;

  • Информационными системами финансово-кредитной и банковской деятельности;

  • Информационно-телекоммуникационными системами специального назначения;

  • Автоматизированными системами управления энергоснабжением;

  • Автоматизированные системами управления наземным и воздушным транспортом;

  • Автоматизированные системами управления добычей и транспортировкой нефти и газа;

  • Автоматизированными системы предупреждения и ликвидации чрезвычайных ситуаций;

  • и так далее…

В каждой из этих сфер инструменты BI действительно востребованы: ими активно пользуются банковские структуры и телеком-операторы, а для автоматизированных систем из промышленной области потенциал аналитики вообще неисчерпаем. Что касается государственных структур, на продуктах Visiology уже традиционно работают центры принятия решений в Белгородской, Тульской и других областях. То есть BI во всех этих сферах реально нужен. 

Этап 1. Выбор стратегии

Итак, у нас есть клиенты, которым нужна BI платформа, но они не могут использовать какое угодно решение. Тут можно пойти  двумя путями: 

  1. Постараться обезличить всю информацию (если речь идет, например, о ПД), регулярно выгружать ее в том формате который не требует защиты, и использовать вообще любую BI-платформу.

  2. Все-таки сертифицировать BI-платформу для того, чтобы заказчики могли напрямую использовать те данные, которые требуется анализировать — без выгрузок и дополнительных костылей.

Очевидно, заказчикам второй вариант нравится больше. Но и нам нужно было решить, какой формат сертификации стоит выбрать. Мы остановились на 6 уровне доверия, потому что он позволяет охватить большую часть сценариев использования BI в государственных и других регулируемых структурах, но при этом не требует влезать в исходный код ПО, а значит можно решить вопрос относительно “малой кровью”.

Если говорить про “Приказ №17”, который регламентирует требования защиты в ГИС (Государственных Информационных Системах), то 6 уровень доверия позволяет работать с системами на региональном и объектовом уровне, обеспечивая соответствие защиты по К3.

В случае с системами, которые обрабатывают персональные данные, 6 уровень доверия также позволяет охватить достаточно широкий спектр возможных вариантов применения BI.

Этап 2. Сертификация

Итак, мы решили идти по 6 уровню доверия и начали готовиться к сертификации. Делали это вместе с партнерской компанией, которая проводила проверки. Коллеги попросили нас развернуть у себя стенд и предоставить доступ. А потом несколько месяцев проводили проверки, готовили документацию. В ходе этого процесса специалисты по сертификации несколько раз возвращались к нам с замечаниями, и мы их устраняли.

В целом требования касались следующих вопросов:

  • Аутентификация субъектов доступа

  • Управление доступом субъектов доступа к объектам доступа

  • Целостность информационной системы и информации

  • Обнаружение (предотвращение) вторжений

  • Контроль защищенности информации

  • Требования к антивирусам

Чтобы обеспечить соответствие, нам нужно было доработать некоторые элементы ПО. В частности, ревизии были подвержены используемые библиотеки, подключаемые модули и целый ряд настроек самой платформы. Впрочем, от этого Visiology стала только защищеннее. Например, вот что потребовалось сделать с паролями:

  • Длина пароля не менее шести символов

  • Алфавит пароля не менее 60 символов

  • Максимальное количество неуспешных попыток аутентификации (ввода неправильного пароля) до блокировки от 3 до 10 попыток

  • Блокировка программно-технического средства или учетной записи пользователя в случае достижения установленного максимального количества неуспешных попыток аутентификации от 5 до 30 минут

  • Смена паролей не более чем через 120 дней;

Большая часть из этих требований абсолютно логична и это обеспечивает позитивное приятие их всеми без исключения пользователями. Но были также ситуации, когда приходилось делать две реализации Visiology — под соответствие ФСТЭК и для всех остальных.

Так, например, произошло с настройками автоматического выхода из системы в случае отсутствия активности пользователя. По требованиям ФСТЭК через 30 минут неактивности сеанс должен закрываться, чтобы никто не смог воспользоваться ПК сотрудника под его учетной записью. Но другим заказчикам такое решение было не нужно, и в итоге появились две версии платформы — сертифицированная 2.18.1 и не сертифицированная.

Процесс потребовал провести аудит реально ВСЕХ модулей системы, по общему счету мы коснулись 768 требований регулятора, на которые нам указали партнеры. И на первичную сертификацию было потрачено около 200 человеко-дней только со стороны нашей команды.

Этап 3. Досертификация

Специалисты, которые работают в организациях с требованиями по использованию сертифицированных решений, прекрасно знают, что им редко достаются самые новые версии ПО. Все дело в том, что сертификация требует времени, а значит она не может быть реализована для каждой версии ПО, даже если обновления выходят не каждый месяц, а раз в квартал. Поэтому многим долгое время приходится сидеть на устаревших версиях.

Но в этот раз мы постарались сделать так, чтобы сертификация произошла для одной из новейших версий. И секрет этой мистической процедуры — “досертификация”. Она опирается на следующие факты:

  • Сертификат уже есть

То есть мы получаем обновление сертификата для той платформы, которая уже работает и соответствует требованиям. В нашем случае это Visiology 2. В результате тестовая лаборатория проверяет лишь сохранение соответствия требований по уязвимостям и уровню защиты, а также тестирует обновлённые компоненты. С точки зрения длительности процесса и документальной волокиты это намного быстрее.

  • Сертифицируем версию, которой еще нет

Это еще одна хитрость, которая позволяет получить сертифицированную новую версию продукта. Мы начали процесс досертификации еще весной 2023 года, когда актуальной версией платформы была Visiology 2.31. Но у нас была цель сертифицировать именно 2.32, потому что эта версия платформы показывала расширенные возможности модуля ввода данных SmartForms (включая подгрузку Excel-файлов через ViLoader), а также более высокую производительность движка.

Чтобы сделать это мы договорились с лабораторией, что испытания коснутся сначала тех модулей и компонентов, которые никак не отличаются от версии 2.31 к версии 2.32. Потом мы передали в лабораторию дистрибутив заранее, еще до его официального релиза. В этом были определенные риски — раз релиз не был финализирован, значит не все тесты ещё проведены и возможно всплывание багов на финальной стадии.

Мы предупредили об этом лабораторию и, осознавая что нам может быть придется сделать двойную работу, отдали Visiology 2.32 как можно раньше и, как говорится “as is”. К счастью, нам повезло, и в этой версии не было никаких багов, всплывающих на последней стадии. Но, должен сказать, что не каждая версия проходит финальное тестирование так гладко, и проблемы могли возникнуть. Если вы пойдете тем же путем, эти риски обязательно нужно учитывать.

Но, зато, в результате мы добились того, чтоб при выпуске официального релиза Visiology 2.32 до появления сертифицированной версии оставалось совсем немного.

Результаты

На сегодняшний день многие наши пользователи из государственных организаций, а также операторы персональных данных, которые используют аналитику в своей работе, активно переходят на Visiology 2.32. А мы планируем продолжить практику оперативной досертификации, прицельно работая на те версии, которые будут обладать наиболее важными эволюционными изменениями.

Что касается Visiology 3 — это будет сертификация совершенно новой платформы, и поэтому мы начнем ее с нуля как только уровень функционала платформы будет сравним с Visiology 2 в ключевых моментах. 

При этом практика досертификации при тесном сотрудничестве с лабораторией, которая проводит испытания и тесты, полностью оправдала себя, и мы планируем применять ее в дальнейшем и для Visiology 3. Надеюсь, этот опыт также окажется полезен и тем, кто ищет способ быстрее сертифицировать свои программные продукты, ведь спрос на одобренное ФСТЭКом ПО продолжает расти практически во всех сегментах.

Комментарии (10)


  1. mimicria
    18.09.2023 10:46
    +2

    6УД - это как режим "Хочу насладиться историей" в играх, normal начинается с 4 УД, дальше ещё хардкорней


  1. navion
    18.09.2023 10:46

    Но другим заказчикам такое решение было не нужно, и в итоге появились две версии платформы

    Что мешает сделать отдельный профиль настроек вроде FIPS mode?

    И как работает emergency patching для сертифицированного ПО? Выпускаете 2.32.1 в день обнаружения уязвимости или клиенты полгода ждут сертификации 2.33 с исправлением?


    1. Zvava Автор
      18.09.2023 10:46
      +2

      Тогда нас поджимали сроки по сдаче некоторых проектов и в тот момент было проще и быстрее выпустить 2 версии. В одном из следующих релизов мы сделали это опцией настройки.

      Процесс emergency patching начинаем, как только узнаём об уязвимости, требующей исправления. А после исправления сроки уже зависят от проверяющей лаборатории.


  1. dimaaannn
    18.09.2023 10:46

    Со вводом этого сертификата нить вашей судьбы обрывается. Загрузите сохранённую игру дабы восстановить течение судьбы, или живите дальше в проклятом мире, который сами и создали


  1. caduser
    18.09.2023 10:46

    А как же внедрение методик Разработки Безопасного Програмного Обеспечения (РБПО)? Говорят, что внедрение РБПО, сильно упрощает процедуру сертификации.


    1. Zvava Автор
      18.09.2023 10:46
      +2

      Мы как раз сейчас движемся в этом направлении. Версии 3.х будем так сертифицировать.


      1. caduser
        18.09.2023 10:46
        -1

        Как вам удалось сертифицировать ПО без внедрения БРПО?

        Выдержка из Положения по сертификации ФСТЭК России № 55.
        п. 47. Сертификационные испытания включают: "...проверку организации производства средства защиты информации, предусматривающую оценку соответствия работ по изготовлению средства защиты информации.."

        "При проверке организации производства программных и программно-технических средств защиты информации проверяется внедрение заявителем процедур безопасной разработки программного обеспечения в соответствии с требованиями по безопасности информации, на соответствие которым проводятся сертификационные испытания."


        1. PetrUm
          18.09.2023 10:46

          А вы зря удивляетесь. Требования по сертификации все время дорабатывают. Так что помимо всего прочего готовьтесь к каждому новому релизу что-то еще дополнительное проверять. про РБПО - как раз именно такая история.


          1. caduser
            18.09.2023 10:46

            Так я привёл цитату в ред. Приказа ФСТЭК России N121 от 05.08.2021, а сегодня 2023 год.


  1. Mudrist
    18.09.2023 10:46
    +1

    Роберт Дениро прекрасен в этой роли! Вот честное слово! Круче он только в фильме "Звездная пыль"