Зачем нужны сертифицированные средства защиты информации?

Сертификат – справка очень важная, но слегка бумажная.Что она даёт, кому и зачем она нужна пытаемся разобраться под катом.

Для начала давайте определимся о какой именно сертификации далее пойдет речь. Физический смысл сертификации чего бы то ни было – это процесс проверки/подтверждения/оценки соответствия зафиксированным где-либо требованиям. В зависимости от сферы применения, сертификация бывает обязательной или добровольной. Соответственно, за нее отвечают различные государственные и негосударственные структуры. Например, регистрационное удостоверение (клон сертификата) после прохождения экспертизы, на столь близкие нам маски выдаёт Роспотребнадзор.

В области сертификации средств защиты информации в России два основных регулятора – ФСТЭК и ФСБ. ФСБ занимается, в основном, сертификацией криптографических средств, а остальные средства защиты информации (не)нужно (обсудим дальше) сертифицировать во ФСТЭК.

Для сертификации типовых средств защиты, таких как межсетевые экраны или антивирусы, ФСТЭКом разработаны наборы специализированных требований. Остальные средства проходят сертификацию на соответствие техническим условиям или заданиям по безопасности, а набор функций безопасности определяется разработчиком продукта. Это чем-то напоминает советскую тушёнку по ГОСТ и по ТУ, но в ряде случаев ГОСТов попросту нет.

Путь к сертификату тернистый и длительный. Идти/ползти по нему или «лечь в правильном направлении» каждый решает сам. Не всем удаётся добраться до финиша, но счастливчикам заветный сертификат даёт «пропуск» на не самый большой, но конкурентный рынок сертифицированных средств защиты информации.

Итак, сертификация - процесс суровый. Испытательные лаборатории вынимают душу разработчиков не хуже Шан Цунга.

Придётся не только найти у себя функции безопасности, но и показать, как именно они работают и какие исходные тексты соответствуют этим функциям. Тем, кто хочет приблизить себя к защите государевой тайны ещё придётся пройти занимательные квесты с фаззингом и другими весёлыми инструментами от инженера Джона Крамера. Холодный пот и бессонные ночи вам обеспечены, но зато свой код будете помнить от «main ()» до «..лЯ!».

Кроме анализа кода вам предстоит сдать анализы от процесса разработки, описать свой gitflow, процесс CI, исправление багов, доставку исправлений клиентам и т.д.

Разработка средств безопасности должна быть безопасной и не должна быть опасной. О как!

У этих чуднЫх забав польза все-же есть. Продукты, слепленные из gовнокода, скорее всего не получат сертификат. Agile в худшем его понимании, типа «фигачим прямо на продакшене» не подходит для сертификации, как и продукты, которые были собраны очумелыми ручками с горящим взором из «кучи пластиковых бутылок».

Эти милые создания неустанно пожирают время и пространство. После принятия решения о начале сертификации считайте, что вы и члены вашей команды уже стали на год старше, потому что редко, кому удаётся пройти сертификацию быстрее.

Обычно это происходит так. Сначала вы обучаете своему продукту тружеников из испытательной лаборатории, которая будет доказывать регулятору, что вы не верблюд. В том смысле, что ваш продукт не верблюд и в нём есть необходимые для получения сертификата функции безопасности, которые вы безопасно разрабатываете.

Далее вы вместе с испытательной лабораторией пишете заявку на сертификацию и технические условия (задание по безопасности), где определяете какие именно функции безопасности должны искать и находить в вашем продукте. Как только заявка акцептована, начинается самое утомительное.

Сначала вам надо доказать и детально описать соответствие заявленных функций испытательной лаборатории, а потом вместе с испытательной лабораторией предстоит выдержать сто тысяч «ПОЧЕМУ» от ОРГАНА … по сертификации. На каждом шагу может быть N или даже K итераций. Короче, будет Nепросто, а иногда Капец, как долго.

Руководящие документы (РД) это вам не гайдлайны и обучающие видео от Google. Читать РД могут «не только лишь все», а только лишь те, кто умеет переводить с казенного на русский без словаря. Большинство испытательных лабораторий успешно справляются с этой задачей. Но, увы, остаются и те, кто цитирует РД как ПисАние. Поэтому при выборе лаборатории ищите ту, у представителей которой при слове «руководящий документ» глаза не загораются в религиозном экстазе. Иначе есть шанс попасть в филиал Святой Инквизиции, целью которой является ярко и с огоньком обращать неверных в верных.

«Причём тут сова и глобус?» - спросите вы. А при том, что с учётом даты выпуска части действующих РД (начало конца XX века), в которых определены основные термины и определения, успех сертификации иногда зависит от правильной трактовки требований и умения обосновать свою позицию.

Испытательная лаборатория должна быть вашим партнёром, а не истязателем. В общем, тщательно выбирайте партнёров. Иначе на глобус натянут вас.

Итак, заветная индульгенция получена. Мы можем предлагать свой продукт жаждущим госорганам и бизнесу с государственным участием. Зачем им сертифицированные продукты?

Всё просто. Несертифицированные средства использовать или запрещено, или не рекомендуется. Государственные информационные системы (ГИС) нельзя ввести в действие без аттестации на соответствие требованиям безопасности. А аттестацию в свою очередь можно провести, только если требования безопасности реализуются за счет сертифицированных средств защиты.

Чем не игла в яйце?

Похожая ситуация наблюдается на объектах критической информационной инфраструктуры (КИИ), где должны использоваться только отечественные продукты и сертифицированные средства защиты информации. В общем, рынок есть. Небольшой. Конкурентный. Неповоротливый…

Короче, не ходите сюда, самим мало ☺

Стоит ещё упомянуть защиту персональных данных. Требования к ней практически точь-в-точь совпадают с защитой ГИС, но ИСПДн (информационные системы персональных данных), в отличие от ГИС, не нужно аттестовывать, а загодя покупать сертифицированные продукты никто не спешит. Ведь они даже теоретически должны стоить дороже на год, который вы пожертвовали сертификации.

Теперь немного о личном. На просторах нашей необъятной, где так вольно дышит человек, практически закончилась электрификация и мы семимильными шагами движемся в сторону цифровизации, о которой не слышал только Word. Чтобы «перестигнуть» (ещё одно неизвестное для Word слово) результаты всех, кто «нас не любят, но очень хотят», во всех министерствах и ведомствах оцифровываются практически все области экономики.

Возьмите название любой рабочей профессии, приставьте к нему слово «цифровой» и можно оформлять заявку на конкурс инновационных проектов!

Рассмотрим, например, гипотетический проект «Цифровой фрезеровщик».

Наш прожект будет состоять в том, чтобы снабдить цифрового бедолагу смартфоном, который будет собирать информацию со всего носимого им smart-барахла и передавать её на сервер ГИС.

А сервер ГИС за это будет возвращать на смартфон рекомендации о том, как заточить фрезу, когда можно сходить по нужде и др., чтобы получить 13-ю зарплату.

Итак, нам нужно сдать цифровой прожект. Для этого его нужно аттестовать. И тут у нас есть только два пути:

Для успешной аттестации ГИС на практике хватает следующего комплекта сертифицированных средств защиты для мобильных устройств:

Единственным сертифицированным MDM / EMM / UEM решением для Android и iOS является наша платформа SafePhone. Конечно, цифровому фрезировщику iPad не светит. Но если начальник из профильного ведомства, угодивший на принудительную удалёнку, захочет получить доступ с iPad к рабочим файлам без их пересылки на личный почтовый ящик Google, ему придётся аттестовать ГИС удалённого доступа и тут мы ему поможем.

И ещё одно. Чтобы оптимизировать затраты своих заказчиков, мы недавно встроили в свою платформу антивирусные библиотеки Лаборатории Касперского. Теперь, чтобы удовлетворить регулятора, нужно покупать на одно решение меньше. Встречайте SafePhone MTD Edition.