Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

Минюст обязал банки проводить пентесты и аудит кибербезопасности

13/08/2018

Банки обяжут соблюдать новые меры кибербезопасности, среди которых обязательными являются аудит информационной безопасности, различные тестирования на проникновение (пентесты), обязательная сертификация использованного программного обеспечения.

Реклама





Партнеры

Лаборатория кибербезопасности





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: 1
Ответить
RSS
Веселые краснодарские ребята
Посмотрел я сейчас на волну тендеров централизованных бухгалтерий Краснодарского края...Технические задания меня слегка удивили. Какой-то шустрый товарищ сделал предварительный анализ нужных средств защиты и выдал очень интересную спецификацию. Не долго думая, заложил механизмы обнаружения атак ПО ViPNet Client в состав системы обнаружения атак на ИСПДн. Ну правильно ViPNet Client же сертифицирован, зачем себя ещё какими0то рассуждениями озадачивать? А то, что он сертифицирован как МЭ, как СКЗИ, на отсутствие НДВ, но никакого сертификата как система обнаружения атак не имеет, это конечно ерунда. И все бы ничего, но заложена в работу аттестация системы. Вот я думаю - исполнителей туда уже несколько штук набралось, а как они собираются аттестовать ИСПДн без сертифицированной IDS?
Вобщем написал я Заказчику запрос на разъяснение...В понедельник обещали выложить, мне очень интересно, что же там напишут.
Но эпопея на этом не заканчивается. Стоит в ТЗ у них требование для подсистемы межсетевого экранирования и защиты каналов связи. Всё бы ничего, но указали они там класс КС2. Если кто-то внимательно читал формуляр на СКЗИ ViPNet Client КС2, то там указано, что исполнений этого ПО два, и уровень КС2 выполняется только совместно с электронным замком Соболь или Аккорд. Цена этого ПО порядка 6-6,5 тыс. рублей. А вот замочек стоит где-то 10 тыс. Теперь вопрос, как вы думаете, при формировании первичного предложения кто-то этот вопрос отслеживал? Правильно!!! Нет, запросили ориентировочные спеки без всяких замков, и в ТЗ, не долго думая, вкатили КС2. Я не поленился посчитать насколько вырастет бюджет, если закупить замки для выполнения требования по КС2. Цена сразу выросла под первичную цену тендера. А ведь нужно ещё делать работы, аттестацию проводить. А теперь самый интересный вопрос, как вы думаете, хоть кто-нибудь из потенциальных Исполнителей озаботился этим? Ой сомневаюсь. Вот я и посмотрю как будет выкручиваться победитель. Запрос Заказчику для разъяснений по этому поводу я тоже послал. Пора приводить культуру в массы :)
Изменено: Михаил - 06.07.2012 15:23:47
Цитата
Михаил пишет:
Вот я думаю - исполнителей туда уже несколько штук набралось, а как они собираются аттестовать ИСПДн без сертифицированной IDS?
Формально, СЗИ должны быть сертифицированы, требование выполняется. IDS имеется? Имеется, значит и с практической точки зрения, всё в порядке.
Цитата
Михаил пишет:
Но эпопея на этом не заканчивается. Стоит в ТЗ у них требование для подсистемы межсетевого экранирования и защиты каналов связи. Всё бы ничего, но указали они там класс КС2.
Там должно быть написано "или эквивалент", если я всё правильно понял, так что теоретически можно найти какую нибудь замену, не раздувая бюджет.
А так то - любой каприз за Ваши деньги, раз Вы представитель интегратора, то должны знать специфику регулирования нашей деятельности и всё понимать :)
Цитата
Trotsky пишет:
Формально, СЗИ должны быть сертифицированы, требование выполняется. IDS имеется? Имеется, значит и с практической точки зрения, всё в порядке.

В РД ФСТЭК на ИСПДн есть требования по применяемым типам средств защиты, обеспечивающим определенный функционал. Все они д.б. сертифицированы. При этом сертифицируется функционал СЗИ на соответствие требованиям, которые этот функционал выполняет. Подробно все эти требования и функции прописываются в Технических условиях или Задании безопасности (для ФСТЭК) и в формуляре (для ФСБ), которые являются обязательным приложением к сертификату (вот только читают их немногие). Поэтому сертификат подтверждает корректное выполнение только заявленных в этих документах функций. Сейчас к примеру в каждом западном МЭ есть встроенный VPN IPSEC, но никому и в голову не придет его использовать в СЗИ, даже если используется сертифицированная версия этого западного МЭ. Вот и выходит, что ни с практической, ни с формальной точки зрения ничего не в порядке. Аттестовать такую систему защиты нельзя. Это как к проктологу ходить зубы лечить, он ведь тоже имеет диплом врача, какая же разница что там написано :)

Цитата
Trotsky пишет:
Там должно быть написано "или эквивалент", если я всё правильно понял, так что теоретически можно найти какую нибудь замену, не раздувая бюджет.
А так то - любой каприз за Ваши деньги, раз Вы представитель интегратора, то должны знать специфику регулирования нашей деятельности и всё понимать

Есть АМДЗ Эшелон, он дешевле, в районе 4000 руб, но это программное решение, и у него нет аппаратного датчика случайных чисел, он кажется тоже нужен для КС2, точно не помню. Но сдается мне никто и эквиваленты не закладывал, поскольку в спеке закупаемомго ПО такой позиции просто нет.
Вот я как представитель Интегратора и озаботился, у меня возникли сомнения о возможности реализовать проекты с такими формулировками в ТЗ, я написал запросы. Но мне сообщили, что ни у кого кроме меня вопросов не было, что меня и пугает :)
Изменено: Михаил - 09.07.2012 00:43:11
Михаил, а много ли у нас IDS сертифицированных по новым требованиям? Вы серьёзно считаете, что сертификация, в контексте ПДн - скорее +, чем - для безопасности? :)
Новые требования для IDS распространяются только для вновь разработанных IDS, это значит, что действие сертификатов IDS на ТУ, которые раньше были получены некоторыми продуктами IDS продолжают действовать.
Насчет + или - сертификации, вы путаете одну вещь, я не сравниваю, что лучше - сертифицированные или несертифицированные СЗИ. Речь идет совсем о другом - есть нормативные требования и соблюдать их обязательно. А если этого не делать, то под удар в первую очередь попадает Заказчик системы, и это уже называется некачественное предоставление услуг.
Не скажу конкретно за ViPNet Client, но, как правило, замок для СКЗИ по КС2 нужен исключительно как аппаратный ДСЧ для генерации закрытого ключа пользователя. Возможен, например, вариант, когда есть один АРМ с замком на котором происходит генерация закрытых ключей. Или использовать УЦ.

На практике, это далеко не всегда удобно.
А производители, которые не продлевают сертификаты на СЗИ подвергают риску конечного пользователя? Без сертификата СЗИ то уже не СЗИ же становится. Да и обязательное требование - пристегивать ремни безопасности в машине, и сотни подобных очень важных обязательных и безусловно исполняемых требований очень облегчают нашу с Вами жизнь. Я понимаю Ваши претензии к Заказчику, но в жизни то всё, не так как на бумаге написано.
Изменено: Trotsky - 09.07.2012 14:32:25
Вопрос с обновлением сертификатов остается актуальным. Код безопасности например гарантирует покупателям хотя бы однократное продление сертификата. В идеале это положение надо закладывать отдельным пунктом в договоре купли.

Насчет обязательного пристегивания...У Вас неверная аналогия. Есть требование по обязательному пристегиванию, так все производители автомобилей выпускают машины с ремнями безопасности, где вы видели машину без них? А тут как раз получается что Интегратор с самого начала продает Заказчику машину без ремня и просто не оставляет ему другого выбора как нести наказание при первой же проверке...это Вам как? Да и вопросы к Интегратору после этого могут возникнуть.

Мои претензии к Заказчику это пол беды, там люди неквалифицированные, но с них спрос небольшой, я просто написал и позвонил, чтобы объяснить суть дела, главные вопросы у меня будут к победителю этого конкурса...Как он все это делать будет, не обманув Заказчика или не минус самому себе?

Кстати щас пошёл ещё один аналогичный конкурс - требование по аттестации в ТЗ уже сняли, прогресс есть.
По поводу проблемы с КС2 выслал запрос на разъяснение, жду ответа.
Михаил, ну а что бы Вы предложили Заказчику например? Стоунгейт? Сколько бы тогда +ом легло на бюджет?
Нет не стоунгейт, здесь как альтернатива SSEP Кода безопасности, а вместо ViPNet Client насколько я помню можно юзать VipNet CryptoService, ПО с функцией туннелирования, но без персонального фаервола, чтобы в функционал персонального МЭ не дублировался в SSEP и в ViPNet Client. Если такого ПО нет, то придется закладывать ViPNet Client или же изначально просмотреть возможность установить вместо 16-17 клиентов 1 криптошлюз, это реально нисколько не дороже, а использовать удобнее.
Страницы: 1
Ответить
Читают тему (гостей: 1, пользователей: 0, из них скрытых: 0)
Форма ответов
 
Текст сообщения*
Защита от автоматических сообщений. Введите символы, изображенные на этой картинке в поле ввода &quote;Код подтверждения&quote;.
Прикрепить картинку