Еще один документ, который во вторник вечером ФСТЭК выложила на свой сайт, - это рекомендации по обновлению сертифицированных средств защиты. Насущнейший документ, необходимость появления которого назрела давно. Именно ему и другим аспектам сертификации средств защиты информации был посвящен доклад Шевцова Дмитрия Николаевича и Кубарева Алексея Валентиновича из ФСТЭК.
Тезисно все выглядит следующим образом:
- Сейчас разрабатывает проект новых требований по сертификации средств защиты информации, не составляющей государственную тайну. Слухи про этот документ ходят давно и я даже про него уже писал 3 года назад, но с его принятием что-то затягивают. Оно и понятно - слишком много всего накручено в текущей системе сертификации и этот клубок расплести очень непросто - все равно кому-то на хвост да наступишь.
- Проект этих требований будет широко обсуждаться экспертами. Принять этот документ планируется в этом году.
- Планируется детализировать порядок сертификации с указанием сроков каждого этапа, а также исключить потребителя из процесса обновления сертификатов по истечении сроков их действия. Правда, пока это желание ФСТЭК и как его реализовать не до конца понятно. Видимо, при условии, что разработчик/производитель будет в состоянии взять весь процесс на себя. В целом тема непростая - ждем документа.
- Еще одной проблемой сертификации является нежелание испытательных лабораторий делится наработанными материалами, что приводит к удорожанию сертификации, т.к. каждая сертификация начинается по сути заново - с разработки комплекта документов. ФСТЭК решила эту проблему решить, выпустив набор типовых программ и методик сертификационных испытаний.
- Пока упомянутое выше новое положение о сертификации не принято, ФСТЭК решила разработать промежуточный методический документ (в статусе рекомендаций) по обновлению сертифицированных средств защиты информации. Тема наболевшая и часто звучащая на многих мероприятиях.
- Документ вводит классификацию типов обновлений - их 4. Обновление базы сигнатур атак/вирусов, обновление, устраняющее уязвимости в системе защиты, обновление, влияющее на функционал средства защиты, и обновление, не влияющее на функционал системы защиты. Для каждого из типов обновлений предусмотрена своя процедура их "накатки", проверки испытательной лабораторией, доведения информации об обновлении до потребителя и т.п.
- Хотя Женя Родыгин его и раскритиковал вдрызг (а вот его предложения по улучшению), я считаю этот документ очень важным и полезным. Особенно для нас, иностранных разработчиков, которые зачастую вообще не знают о сертификации своей продукции, которую наши партнеры или вовсе потребители на свой страх и риск подают на сертификацию.
- Предлагаемый документ должен наладить этот процесс, хотя всех проблем он, конечно, не решит. Например, проблему сертификации на отсутствие НДВ в продукции иностранного происхождения, разрабатываемой за пределами РФ. В остальном же документ объясняет, что установка патча, устраняющего уязвимость в системе защите, не делает сразу сертификат недействительным.
- Этот документ по обновлению не догма, а скорее рекомендации разработчикам средств защиты по включению процесса обновления в эксплуатационную и конструкторскую документацию. Возможно, в упомянутом выше новом положении о сертификации эта тема будет также расписана, но уже в виде обязательных требований.
- Как следует из 17-го приказа (п.17.4) обновление средства защиты информации не требует переаттестации ГИС.
- Упоминаемый в документе доверенный канал обновления еще будет обсуждаться. Как и тема гарантированного доведения информации до потребителей. Вообще это не финальный проект, а скорее демонстрация направления, в котором движется регулятор и приглашение к обсуждению этого документа. Предложения надо прислать до 20 февраля.
- ФСТЭК поставила перед собой непростую задачу по разработке требований (РД) к широкому спектру средств защиты, упомянутых в 17-м приказе. По мере выхода таких требований планируется постепенно отказываться от сертификации средств защиты по ТУ. Вопрос остается с встроенными в прикладные системы механизмы защиты, но не думаю, что запрет на сертификацию по ТУ будет абсолютным. Все-таки в прикладных системах сертификация может быть только на ТУ (отдельного готовящееся ЗБ).
- Планов по разработке новых РД у ФСТЭК много. В части "традиционных" средств защиты - это следующие:
- Надо отметить, что РД по СВТ в 2015-м году планируют отменить, а РД на МСЭ заменят новым, попутно предложив еще и РД по средствам управления информационными потоками (коммутаторы, маршрутизаторы и т.п.).
- Также ФСТЭК планирует разработку целого ряда новых документов по борьбе с утечками по техническим каналам.
- В докладе Димы Гусева из Инфотекс прозвучала информация о том, что Инфотекс обсуждает с 8-м Центром ФСБ проекты аналогичных документов по обновлению сертифицированных СКЗИ и способов доведения информации об этом до потребителя. Но деталей по данной инициативе, как и проектов данных документов, больше нет. Все-таки любые документы ФСБ - это тайна за семью печатями.
3-я часть подошла к концу и в 4-й, заключительной части рассказа о конференции ФСТЭК мы поговорим о защите виртуализации и безопасном программировании.
