1.10.13

Надо ли покупать полупальто или парафраз о сертификации межсетевых экранов

Сошлись на небе звезды и совпало сразу несколько событий. Я выбирал себе полупальто, один вендор разослал несоответствующее действительности письмо относительно решений Cisco, и Женя Родыгин опубликовал материал про сертификацию средств защиты. Поэтому решил объединить эти три события вместе, что и привело к рождению этой заметки.

С полупальто ситуация забавная произошла. Пришел в магазин, нашел продавца и состоялся у нас с ним такой диалог:
- Полупальто есть?
- Есть! Но может быть вам пальто нужно?
- Нет, мне нужно полупальто. Пальто длинное и я буду его низ о машину постоянно пачкать.
- Вам какое полупальто?
- Под погоду! Теплое! Чтоб задницу прикрывал! И не промокал сразу! И не бабское. И чтобы выглядело солидным. И материал, чтобы качественный. И вообще...
- Хорошо, подождите.

Приносит. Смотрю я на ЭТО изделие из какой-то тонкой синтетики, которое и мой "комок нервов"-то врядли прикроет и спрашиваю: "Это что? Полупальто?" Продавец ничтоже сумняшеся - "Да!" (Почти как в старом фильме "Верные друзья" - "Износу нет" :-) Я ему: "Ну какое это полупальто? Это третьпальто!" Он говорит: "Вы не правы. Вот и на ценнике написано, что это полупальто"... В итоге непродолжительной дискуссии продавец был послан, полупальто так и не куплено, но зато теперь и заметку можно написать :-)

Перейдем к нашим баранам. Есть такое защитное средство, как межсетевой экран. В принципе многие даже понимают, что он делает. Вроде как он является преградой между защищенной и незащищенной сетями, и путем фильтрации трафика он пропускает то, что можно, и не пускает то, что нельзя. Это в теории. На практике все обстоит немного иначе. Межсетевым экраном себя назвать может кто угодно. Хоть полупальто назовите межсетевым экраном. Или на заборе напишите "межсетевой экран". И в принципе нет ничего плохого в том, что кто-то как-то назвал что-то. Ну назвал и назвал. Если потребителя устраивает функционал этого синтетического "полупальто", то почему бы и нет. Главное же, чтобы потребитель был доволен. Но это с полупальто так (на самом деле и там тоже не так, но это уже лирика). В информационной безопасности все немного иначе.

Есть требования нормативных актов, устанавливающих обязательные требования по используемым средствам защиты. Например, ПП-584 о защите информации в платежных системах. Или приказ №17/21 ФСТЭК. Или требования ПП-424 и разработанных во его исполнение приказов 104 Минкомсвязи и 416/489 ФСТЭК/ФСБ. Везде говорится о межсетевых экранах, как средствах защиты, необходимых для отражения тех или иных угроз. Но что такое межсетевой экран с точки зрения регулятора? Это не то, что я захотел назвать "межсетевым экраном", а то, что соответствует определениям, данным в РД ФСТЭК или РД ФСБ. Можно долго спорить, правильный это подход или нет, закрывают ли РД регуляторов современные возможности защитных продуктов или нет, но факт остается фактом. В текущей ситуации сертифицировать средство защиты будут по этим документам и если оно пройдет все испытания, то его смело можно называть межсетевым экраном и на него будет выдан соответствущий сертификат. Не соответствуешь требованиям, как не крутись, но с позиции регулятора ты не межсетевой экран (как бы ты себя не бил пяткой в грудь и не писал в своих рекламных материалах "межсетевой экран", добавляя к нему различные эпитеты - "прикладной", "следующего поколения" и и т.п.).

К чему это я? К тому, что если какой-либо нормативный акт говорит об обязанности иметь в наличии межсетевой экран, то он должен быть таким, как это понимали авторы нормативного акта, а не разработчик. И если в какой-либо отрасли установлены требования по сертификации средств защиты (а это госорганы, критически важные объекты и еще много кто), то межсетевой экран должен иметь сертификат соответствия РД ФСТЭК (или ФСБ) на МЕЖСЕТЕВЫЕ ЭКРАНЫ. Не на отсутствие НДВ, не на СВТ, не на возможность применения в АС/ИСПДн/ИС какого-либо класса. А именно на соответствие РД по межсетевым экранам.

Но что делать производителю, который продает свой продукт как межсетевой экран, но не может сертифицировать его по требованиям российских РД. Например, по причине отсутствия функции фильтрации на сетевом и транспортном уровне. Да-да, бывают и такие "межсетевые экраны", концентрирующиеся только на прикладном уровне. Это безусловно важно, но явно недостаточно для построения комплексной периметровой защиты. Такой производитель пытается сертифицировать свою поделку хоть как-то, например, на отсутствие НДВ. Это неплохо. Только вот межсетевым экраном в терминах регуляторов это продукт не делает. И при инспекционной проверке (или аттестации) этот вопрос обязательно всплывет. Производитель-то уже давно умыл руки - он свой продукт продал. Партнер тоже деньги получил. А заказчик, поверив рекламе "межсетевого экрана" и сертификату на НДВ, сталкивается с суровой правдой жизни. Используемый им продукт может и неплох, но не соответствует тому, что ему надо было изначально.

У данного правила есть два исключения. Первое. В той или иной отрасли не требуется обязательная сертификация средств защиты или заказчик сознательно идет на принятие риска несоответствия. Нет вопросов. Нет так нет. Второе. Продукт сертифицировался по ТУ, в которых перечислены требования из руководящих документов, которые должны быть реализованы в контексте управления информационными потоками или разграничения/сегментации сетей. В этом случае тоже возможно, что сам продукт не имеет сертификата как межсетевой экран, но в процессе его проверки необходимый функционал проверялся. Правда, ФСТЭК не очень любит в последнее время такую сертификацию. В остальных случаях, сертификат соответствия РД на МСЭ вынь да положь.

Какое резюме из всего этого длинного поста про ненастоящее полупальто? Во-первых, не доверяйте слепо производителям средств защиты. Их цели не всегда совпадают с вашими. Во-вторых, западные вендоры, даже и лидеры каких-то магических квадратов, не всегда понимают специфики российского рынка и пытаются идти сюда со своим, как правило, американским опытом. А он тут не применим. Лидер там и лидер тут - это две большие разницы. В-третьих, РД ФСТЭК на МСЭ давно устарел и его пора менять. Могу сказать, что ФСТЭК планирует это делать в 2014-м году. Но сейчас он есть и уйти от него нельзя - надо выполнять. В-четвертых, авторам нормативных актов лучше избегать использования терминов, содержание которых или очень быстро устаревает, или очень быстро меняется. Лучше уж заменить термин "межсетевой экран" на "управление информационными потоками" (ФСТЭК так и планирует делать). В-пятых, если уж вам не повезло и от вас требуется именно межсетевой экран, то смотрите на то, на что выдан сертификат. Отвечать-то вам, а не производителю или поставщику. И, наконец, разберитесь, хотя бы немного, в особенностях отечественной системы сертификации (если уж ФСТЭК не проводит таких обучающих семинаров, то хотя бы самостоятельно сделайте это).

ЗЫ. Аналогичные рассуждения применимы и к другим типам средств защиты.

5 коммент.:

Tomas комментирует...

"полупальто" звучит почти как центр силиконовой долины или название конкурента Cisco как раз таки в МЭ :)

Про ФСТЭК - Алексей, не подскажите, а когда появится тот самый разъяснительный документ на подобие 27002?

Unknown комментирует...

Алексей, как вовремя это статья! Этот вендор со своим полупальто смущает неокрепшие умы в ИБ.

Алексей Лукацкий комментирует...

Tomas, у ФСТЭК есть желание до конца года его опубликовать

Ronin комментирует...

Вот все так, но, Алексей, а как же быть с предыдущими рассуждениями и многочисленными презентациями на тему того, что у нас чаще требуется "оценка соответствия", а это не исключительно сертификация по РД?

Алексей Лукацкий комментирует...

Я же написал в посте, что рассуждения применимы в тех случаях, когда есть обязательная сертификация. Именно сертификация. В остальных случаях потребитель сам выбирает для себе решение