9 декабря 2016 года вступили в силу Требования к межсетевым экранам, утвержденные в Информационном сообщении ФСТЭК от 28 апреля 2016 года. Все МЭ – производимые, поставляемые и разрабатываемые – к моменту вступления Требований в силу должны быть сертифицированы.

Прошел год, и что же? Сертификатом могут похвастать всего несколько компаний, среди них и «Смарт-Софт». Сейчас, когда мы прошли через все тернии сертификации, мы совсем не удивлены, почему так мало тех, кто дошел до конца. Мы расскажем, как мимикрировал наш продукт под новые условия, поделимся особенностями проверки со стороны государства и покажем, была ли от доработок польза для конечного пользователя. Впрочем, обо всём по порядку.

surprise attack

Для производителей МЭ заинтересованность в сертификации очевидна: это «пропуск» на рынок B2G (другими словами, в государственные организации — медучреждения, школы, ВУЗы и т.д.). Ряд специалистов, однако, уже высказывал сомнения по поводу реальной пользы сертификата для потребителя. В частности, было отмечено, что от производителя не требуется добавлять функцию обновления продукта. При этом вредоносное ПО развивается постоянно, и изначальная сертифицированная версия от актуальных вирусных угроз отстанет очень быстро.

Так в чем польза? Неясно было, станет ли администратору удобнее работать с МЭ после сертификации: никаких требований по централизованному управлению, режимам работы и т.д. не высказывалось. Были вопросы и менее критичные: зачем требовать отправку стольких оповещений? Очевидно было и то, что сертификацию пройти непросто: компаниям потребуются новые экспертизы (например, юридическая поддержка имеется не у всех поставщиков ИТ-услуг).

Особенности сертификации МЭ Traffic Inspector Next Generation


Немного об объекте проверки.
Traffic Inspector Next Generation — программно-аппаратное решение по сетевой безопасности. Разворачивается в качестве шлюза на границе сети и служит входной точкой в сеть. Администрируется через веб-интерфейс по защищенному HTTPS-подключению и по протоколу SSH с использованием терминальной программы. В качестве среды выполнения использует ОС FreeBSD 10.

По классификации Gartner относится к UTM (unified threat management), инспекция и фильтрация пакетов позволяют отнести его к NGFW — фаерволлам следующего поколения. Основано решение на открытом коде проекта OPNsense.


Прохождение сценариев тестирования


В сентябре 2016 года мы начали взаимодействие с испытательной лабораторией ЗАО «Документальные системы» для прохождения сертификации, в декабре лаборатория приступила к анализу предоставленного дистрибутива. Сертификация ФСТЭК была довольно скрупулезной. Проверяли не только программный код продукта и его модулей, но и базовую операционную систему. Проверка на прохождение сценариев тестирования заняла несколько месяцев. Доработки были вначале небольшими: блокирование конкретного трафика, создание оповещений о различных событиях.

Пришлось реализовать оффлайновую установку обновлений, поскольку в некоторых инсталляциях Traffic Inspector Next Generation размещается внутри закрытого от интернета периметра.

Проверка на скрытый код


Пожалуй, самой сложной частью работы было доказать, что недекларированных возможностей нет ни в BIOS, ни на накопителях аппаратных платформ. И вот вам одна из причин, по которой сертификация – плюс для конечного пользователя.

Процедура доказательства заняла еще примерно четыре месяца: с мая по август. Эта длительность понятна. В 2012 году вредоносный код нашелся в партии микросхем, произведенных в Китае, что стоило менеджерам одного крупного бренда многих нервных клеток. Тогда о «закладках» и заговорили всерьёз. Решающее слово досталось Дж. Броссару, который представил доклад «Аппаратный бекдоринг – это удобно» (Johnatan Brossard, Hardware Backdooring is practical) на конференции Black Hat. Впрочем, в нашем случае всё прошло довольно скучно: недостатков и уязвимостей обнаружено не было.

Проверка целостности кода, аудит сборки


Чтобы у пользователя были гарантии, что и на будущее нежелательных изменений не будет – нам по требованию ФСТЭК предстояло добавить самоконтроль целостности. Имеется в виду проверка контрольных сумм всех неизменяемых файлов и файла конфигурации, а также автоматическое восстановление конфигурации, измененной неавторизованным способом.

По требованию контролирующего органа, все события, связанные с изменениями конфигурации, теперь детально протоколируются. Администратору направляется нотификация при критических событиях безопасности (например, разнице контрольных сумм). Таким образом, несанкционированная модификация системы исключается — еще один плюс.

С аудитом сборки было связано много задач. Для контрольной сборки пришлось даже настраивать сервер, чтобы специалисты контролирующего органа сами могли убедиться: конкретные объектные файлы собираются из конкретных исходников, а бинарные файлы, в свою очередь, — из конкретных объектников. Предоставлена была и возможность зафиксировать контрольные суммы исходных файлов.

Результаты сертификации


Доработки по требованию комиссии ФСТЭК коснулись системы оповещения о событиях, протоколирования, обновления, аудита целостности.

К ноябрю 2017 года у нас была возможность опробовать решение на реальном кейсе: мы обеспечили локальную сеть ТюмГМУ единой точкой выхода в Интернет. Специалисты ИБ оценили систему оповещений и возможность через браузер управлять блокировками, получать доступ к статистике, простой интерфейс.

На сертификацию у нас ушел год. Это была большая, сложная работа, о которой мы не пожалели. Продукт полностью проверен, приведен в соответствие с требованиями. Значит ли это, что с нашим межсетевым экраном не страшны сетевые угрозы? Да, если соблюдать очевидные меры безопасности, а лучше — еще и обучать сотрудников основным принципам сетевой безопасности. На сегодня никаких «закладок», «бекдоров» и других уязвимостей в нашем продукте не обнаружено. Мы продолжаем следить за его качеством, чтобы и в дальнейшем все было в порядке.

Можно много спорить о том, полезна ли сертификация конечному пользователю. Но главным нам кажется, вот что: готов ли производитель дорабатывать свой продукт? Имеет ли он ресурсы вовремя исправлять найденные недостатки? Открыт ли он для критики?

Сертификация ФСТЭК в этом контексте – тест, показывающий уровень компетенций разработчика. Мы его прошли, отчего испытываем нескрываемое удовлетворение. Мы уважаем наших конкурентов, которые также прошли это испытание — значит, у нас достойные соперники (впрочем, их единицы). Ну а заказчикам это лишний повод задуматься — если у поставщика нет сертификата ФСТЭК, так ли он хорош, как рассказывает о себе? Впрочем, мы не настаиваем на своём мнении и готовы подискутировать в комментариях к статье :)

Команда «Смарт-Софт»

Комментарии (54)


  1. ChePeter
    31.01.2018 15:25
    +1

    Т.е. FreeBSD 10 проверку ФСТЭК тоже прошла?


    1. Smart_Soft Автор
      01.02.2018 13:45

      Так как это составной компонент Traffic Inspector Next Generation, а сертифицировался весь комплекс безопасности – выходит что да :)


  1. Dmitry88
    31.01.2018 15:26
    +2

    проверка базовой системы — это вообще как? Там 10050 строк кода, ну не реально же перелопатить, понять и оценить.


    1. heleo
      31.01.2018 17:00

      Сертифицируют. Причём не только ФСТЭК но ещё отдельные сертификаты МО и ФСБ есть со своими требованиями и различиями.
      Другой вопрос как это всё лопатят и проверяют )


      1. Zverienish
        31.01.2018 20:23

        Скорее всего не лопатят и не проверяют. Возможно просто проверяют внешнюю активность. А так это 10 тясяч программистов системных садить надо, чтобы во вменяемый срок проверить.


    1. Smart_Soft Автор
      01.02.2018 13:48

      Это нужно спросить у ФСТЭК, как они проверяли. Мы получили ответ, что система соответствует требованиям, выдвинутым сертифицирующим органом.


  1. vilgeforce
    31.01.2018 15:41

    Методики, исходные данные и результаты исследований публике не доступны? Тогда сертификат — филькина грамота. Ему можно верить, а можно и нет…


    1. noxway
      01.02.2018 13:49

      Методики ФСТЭК распространяет по запросу. Сомневаться в подходе ФСТЭК, по мне, сомневаться в отечественной системе защите информации целиком.
      Есть ли конкретные примеры выявленных несоответствий ПО либо железа сертифицированных ФСТЭК?


      1. vilgeforce
        01.02.2018 13:52

        А кто-то НЕ сомневается в отечественной системе защиты информации? Я точно знаю, что существуют уязвимости на отказ в обслуживании (вероятно и на RCE) в сертифицированном ФСТЭК софте. Без конкретики, ессно.


        1. noxway
          01.02.2018 14:33

          В вашем понимании читается, что сертификация ФСТЭК проходит на все уязвимости и атаки, с чем не могу согласиться.
          Уверены, что профиль защиты для «сертифицированного софта» включал в себя требования противостоять атакам типа отказ в обслуживании, а сертифицирован на НДВ?
          Давайте перейдем к парадоксу бумажной и реальной безопасности. Порой для бизнеса необходима только сама бумажка (сертификат соответствия). Винить ФСТЭК в том, что производитель (разработчик) не желает развивать свой продукт, не стоит.


          1. vilgeforce
            01.02.2018 14:36

            Винить ФСТЭК и Ко стоит в том, что имеется эта самая бумажная безопасность. Которая отнимает силы и средства от безопасности реальной. Когда важнее «у нас все соответствует требованиям», а не реальное отсутствие SQLi, RCE и иже с ним.


            1. noxway
              01.02.2018 15:16

              Вас никто не заставляет покупать нечто, что имеет уязвимости. Чем вызвано негодование, если никто не запрещает использовать СОА/СОВ или WAF?
              Любой вопрос решается комплексно, исходя из моделирования конкретной ситуации и расчета риска, и без бумаг никуда.
              Сертификация ФСТЭК никаким образом не говорит о качестве продукта, а только про соответствие конкретным требованиям.


      1. SchmeL
        01.02.2018 18:06
        +1

        Методики ФСТЭК распространяет по запросу. Сомневаться в подходе ФСТЭК, по мне, сомневаться в отечественной системе защите информации целиком.
        Есть ли конкретные примеры выявленных несоответствий ПО либо железа сертифицированных ФСТЭК?

        Да пожалуйста:

        В конце 2013 была опубликована очередная порция разоблачений Сноудена — каталог различных программных и аппаратных закладок, разработанных подразделением АНБ — ANT. Вся информация о закладках носит гриф «Секретно» (Secret, S) либо «Совершенно секретно» (Top Secret, TS) и должна оставаться секретной до 2032 года.

        Продукты: NetScreen 5XT, NetScreen 25, NetScreen 50, ISG 1000, SSG-5, SSG-20, SSG-140
        Отдельные экземпляры этих продуктов (или их близкие аналоги) были неоднократно сертифицированы во ФСТЭК по 3 классу защищенности межсетевых экранов, что позволяет их использовать в том числе для защиты гостайны.


        1. noxway
          02.02.2018 10:22

          Сложно прокомментировать, т.к. в реестре средств защиты информации не нашел информации о сертификации указанных продуктов.
          Еще раз повторюсь, сертификация — это не подтверждение исключительных свойств защиты информации в целом, а только декларирование соответствия конкретным требованиям. 3 класс РД МЭ, не говорит о том что он сертифицирован еще и на НДВ, и, в частном случае, необходимо использовать дополнительные средства (сертифицированные на НДВ и т.д).


  1. vilgeforce
    31.01.2018 15:48
    +3

    Очень рекомендую, кстати, посмотреть на сайте ФСТЭК на перечень уязвимостей в CMS, которую вы на своем сайте используете. Как минимум одна там не перечислена. Что наводит на странные мысли о «полезности» как списка уязвимостей, так и самого ФСТЭК


  1. Spewow
    31.01.2018 17:20

    Ок. Теперь вопрос на злобу дня. (Характерный впрочем для всех серт. Сзи).
    Как будете на продукт обновы накатывать закрывающие критические дыры? От spetre и meltdown запатчились? Или теперь ещё год ждать пока лаборатория не проверит, а есть ли там НДВ в заплатках?


    1. nightvich
      31.01.2018 17:45

      Лаборатория принимает патчи. Да не быстро, да стоит денег.


      1. vilgeforce
        31.01.2018 17:49

        Очень интересно что они будут делать с микрокодом для процессоров?


        1. nightvich
          31.01.2018 17:51
          +2

          Получат денежку, поставят печать. На этом в 90% случаев все и закончится.


          1. vilgeforce
            31.01.2018 17:52

            Х. Качество!


      1. Error1024
        31.01.2018 19:19
        +1

        Ааа, ну все ясно теперь, очередной сравнительно законный способ отъема денег.


      1. VolCh
        01.02.2018 12:53

        Сколько по факту времени займёт сертифицировать новый небольшой патч к ядру в лучшем случае?


        1. Smart_Soft Автор
          01.02.2018 14:24

          Нет отдельно выделенных патчей для ядра или базовой системы — сертифицируется весь комплекс в целом. Когда пройдем первую ресертификацию, сможем более детально об этом написать.


        1. Xitsa
          01.02.2018 15:32

          Если я правильно помню, то по регламенту предусматривается сокращённый путь исследования.


    1. Smart_Soft Автор
      01.02.2018 13:50

      Сейчас процедура сертификации не предполагает быстрой проверки обновлений для сертифицированной версии. Каждое обновление необходимо «прогонять» по полному циклу тестирования. Надеемся, что в будущем это изменится и появится методика ускоренной ресертификации обновлений и доработок.


  1. nightvich
    31.01.2018 17:49

    Сертификация — очень муторное занятие, но местами увлекательное. Такие штуки, как подсчет строк кода в мультиязычном проекте — повод померяться)))
    Сопоставление исходных и объектных файлов, описание сертифицируемого функционала отнимает массу времени. В конечном счете, сертификат все равно не является чем-либо большим, чем бумажка. Однако при работе с ГОСами без нее не обойтись.


  1. nightvich
    31.01.2018 18:01
    +1

    По поводу межсетевых экранов — это отдельная тема.
    Посмотрев на реализацию некоторых хочется плакать. Говорю про СТРОМ. Который представляет по сути ретранслятор оптики в медь, в котором используется только одна оптическая жила в определенном направлении с кривым софтом и ужасной документацией, однако обладающим нужными сертификатами для того, чтобы заломить ценник.
    P.S. U_bobra_estb_usiki


    1. Spewow
      31.01.2018 18:06

      Это не МЭ в традиционном понимании, а диод данных — однонаправленный шлюз..На самом деле неплохая вещь. Непробиваемость на эксфильтрацию данных на уровне физики.


  1. Error1024
    31.01.2018 19:21

    Ну а заказчикам это лишний повод задуматься — если у поставщика нет сертификата ФСТЭК, так ли он хорош, как рассказывает о себе?

    Ме..., ну такое себе.


  1. Zverienish
    31.01.2018 20:36
    +2

    Все это филькина грамота, сертификация ФСТЭК. Обновлять продукты нельзя не ресертифицируя, если с персданными работаешь. И стоят эти продукты с дырами годами. Так что получается все наоборот, не защита данных, а разведение дыр. И даже банальные косяки нельзя исправить в программе.


    1. nvv
      01.02.2018 08:09

      Предложите как лучше.


      1. VolCh
        01.02.2018 12:51

        В случае с ПДн — усилить ответственность, но убрать сертификационные требования.


        1. nvv
          01.02.2018 17:30

          Ответственность за что? За утечку, за создание условий когда утечка возможна или др.?
          Сертификационные требования исполнитель может использовать чтобы выбить средства на мероприятия хоть какие-то из руководства /вышестоящей организации.


          1. VolCh
            01.02.2018 20:34

            За нарушение закона о ПДн, прежде всего за нецелевое использование ПДн, в том числе утечки. Экспертиза, анализ на сооотвествие, по желанию или в рамках судебных дел.


  1. nvv
    01.02.2018 08:03

    Обновленные версии выпускаются, с новыми котролями, суммами, формулярами и т.д.
    У многих производителей СЗИ соответствующие разделы или объявления на сайтах. Часто обновление и доставка (это носитель и бумаги) за счет производителя.


  1. mihmig
    01.02.2018 11:26

    Много лет назад на форуме этой компании спрашивал насчёт лицензионной частоты:
    Данное ПО работает на платформе Windows. По лицензионнной политике Microsoft каждому клиенту сервера требуется клиентская лицензия (за исключением FTP и WEB служб). Т.е. недостаточно купить лицензию на 50 пользователей вашего экрана — нужно купить ещё 50 лицензий на Windows(!)
    Компания Smartsoft скромно умалчивает этот факт.


    1. Spewow
      01.02.2018 12:23

      Они с винды на никс уже соскочили в ng версии.


  1. mihmig
    01.02.2018 11:38

    Простите, но — не верю.
    Для меня слово сертификация означает лишь то что «уплочена денежка» и ящик коньяка занесён «куда надо». И нужна эта бумажка лишь для прикрытия, мол если что — у нас продукт сертифицированный, пишите в спортлото.

    Вот если бы ваши исходные тексты показали компании-разработчику статического анализатора кода, паре-тройке антивирусных компаний, пригласили бы ознакомиться нескольких признанных специалистов в данной отрасли (выложив в публичный доступ сканы заключений)…


    1. VolCh
      01.02.2018 12:49

      Государственная сертификация — это проверка софта на требования государства. Государство само решает, что ему нужно, ящик коньяка или анализ исходников. Для простых пользователей она мало что даёт, даже если доверие к государству откуда-то есть. Проблема только в том, что государство влезает в дела простых пользователей, обязуя их ставить сертифицированный софт.


  1. Xitsa
    01.02.2018 13:10

    mihmig: Мне кажется, что вы недопонимаете что такое сертификация и зачем она нужна.
    Сертификация проводится на соответствие каким-либо требованиям, и, соответственно, сертификат — это документальное подтверждение того, что по результатам анализа ПО соответствует требованиям.
    Наличие сертификата не гарантирует отсутствия проблем у ПО, это лишь подтверждение того, что ПО как минимум обладает нужными свойствами.
    По уму, требования на МЭ от ФСТЭК'а это всего лишь часть ТЗ на продукт. И требования на мой взгляд довольно разумные.
    Текущая система сейчас неповоротлива, и не всегда поспевает за изменениями, но довольно последовательна. Я не знаю другого способа, как обеспечить необходимый уровень качества ПО, которое поставляется в госорганизации.


    1. mihmig
      01.02.2018 14:20

      Спасибо за разъяснения.
      Просто у меня сложилось впечатление что сертифицированный продукт (не только ПО) — это продукт проверенный на качество. А оно вон как выходит.
      Жаль только что производители «сертифицироанного ПО» выдают одно за другое (а пользователи принимают это).


      1. Xitsa
        01.02.2018 15:36

        Я в своё время идею текущих требований понял так:
        сертификация гарантирует минимальное качество/соответствие необходимым (но не достаточным) требованиям, а дальше в игру вступает в рынок и производители, конкурируя между собой, обеспечивают качество.


  1. ajratr
    01.02.2018 14:26

    А как быть если обнаружилась ошибка и без изменений в код не обойтись? По новой сертификацию проходить?


    1. Smart_Soft Автор
      01.02.2018 14:27

      Ресертификация. Такой стандарт.


      1. DuH_Khv
        01.02.2018 14:55
        +1

        Господа. Убедительная просьба.
        Если мы говорим об обновлении ПО, то не «ресертификация», а «процедура прохождения инспекционного контроля».
        Прошу меня извинить, но глаз режет это слово — «ресертификация» )


        1. Xitsa
          01.02.2018 15:37

          И она как раз, в теории, должна занимать меньше времени/затрат.


          1. DuH_Khv
            01.02.2018 15:46

            Именно так.
            Однако если это аппаратно-программная платформа, то получится ли так с ней?
            Ибо сертифицируется платформа в целом, именно, в таком случае.
            По крайней мере насколько мне известно.


          1. Smart_Soft Автор
            01.02.2018 16:14

            Есть регламент закрытия уязвимостей, прописанный в приложении к Формуляру, который предполагает:
            1. Информирование всех клиентов об обнаруженной уязвимости, с инструкцией, как избежать эксплуатации уязвимости, описанием организационно-технических мероприятий по устранению возможности эксплуатации уязвимости;
            2. Выпуск патча или обновления и донесения его до клиента с занесением записи в Формуляр;
            3. Затем патч передается в Испытательную Лабораторию и ФСТЭК, проводится инспекционный контроль;
            4. После проведения контроля изменения вносятся в сертификат, эксплуатационную документацию и производитель обновляет сертификаты и документацию у своих клиентов.
            Это в теории и это разумно. Осталось, чтобы и на практике было также.


  1. taliano
    01.02.2018 14:27

    А какие закладки были добавлены по требованиям ФСТЭК?


    1. Smart_Soft Автор
      01.02.2018 14:31

      В каждый сотый комплект поставки мы обязаны добавить к формуляру самодельную закладку в стиле оригами из бумаги непременно синего цвета.


    1. Xitsa
      01.02.2018 15:40

      Все закладки должны быть отражены в документации.
      Поэтому можно посмотреть именно там.


  1. DuH_Khv
    01.02.2018 15:49

    Господа.
    А почему отказались от идеи реализации МЭ+СОВ сразу?
    Если МЭ позиционируется для типов «А» и «Б», то для ГИС в которых они могут использоваться СОВ тоже нужно. Ставить ещё одну железку отдельно — крайне затратно. Однако без закрытия требований по СОВ тоже не обойтись.


    1. nvv
      01.02.2018 17:36

      Продукт может иметь несколько сертификатов сразу: и МЭ, и СОВ, и антивирус, и СЗИ.


    1. Smart_Soft Автор
      01.02.2018 17:48

      В сертифицированной версии решения системы обнаружения и предотвращения вторжений действительно нет. Сертификация функционала запланирована.