Rambler's Top100
Статьи
06 октября 2016

В двух шагах от беззащитности

Осталось два месяца до того, как вступят в силу новые требования к межсетевым экранам, утвержденные постановлением ФСТЭК России еще в феврале текущего года.

С 1 декабря вводить в эксплуатацию сертифицированные по старым правилам межсетевые экраны будет запрещено, согласно требованиям ФСТЭК. Специалисты работающих в этой отрасли компаний считают, что большинство вендоров не успеет пройти сертификацию, а это может стать серьезной проблемой для целого ряда пользователей МЭ. Таким образом, инициатива, которая задумывалась для усиления защищенности организаций, может привести к тому, что они окажутся без защиты.

Напомним, что новые требования к межсетевым экранам были утверждены ФСТЭК России уже давно – 9 февраля 2016 года, а зарегистрированы в Минюсте – 25 марта текущего года. Т.е. до 1 декабря у производителей межсетевых экранов было 8 месяцев, что на первый взгляд выглядит весьма солидным сроком. Однако, по мнению многих разработчиков решений информационной безопасности, успеть пройти сертификацию на соответствие новым требованием либо очень сложно, либо даже невозможно.

Временные рамки

Прежде всего это объясняется весьма длительной процедурой получения сертификата. Так, после подачи производителем заявки на сертификацию ФСТЭК в течение месяца ее рассматривает и лишь затем выдает решение о том, в какой из аккредитованных лабораторий надо проводить испытания. Сами испытания длятся порядка 4-5 месяцев, а затем еще 1 месяц тратится на экспертизу. На выдачу сертификата после прохождения этих процедур ФСТЭК снова потратит месяц.

Простые арифметические расчеты показывают, что вся процедура займет не менее 7 месяцев. Т.е. чтобы успеть к 1 декабря, разработчики должны были подать свои заявки самое позднее до 1 мая текущего года – фактически у них был лишь месяц на подготовку.

С учетом того, что по новым требованиям вместо 6 необходимых ранее документов вендорам пришлось готовить 24 – срок, конечно, мал. Более того – ФСТЭК до 1 июля текущего года принимал к рассмотрению заявки на сертификацию межсетевых экранов на соответствие требованиям предыдущей версии.

Правда, Алексей Кубарев, советник ФСТЭК России, на выступлении в рамках InfoSecurity-2016, который проходил в Москве с 20 по 22 сентября, говорил о том, что сертификация межсетевых экранов, имеющих действующие сертификаты соответствия старым требованиям, будет проводиться в форме инспекционного контроля. Но насколько это может снизить время получения сертификата, не пояснил.

Между тем даже те компании, которые уже подали заявки во ФСТЭК, не уверены, что успеют получить сертификаты. «Конкуренция в сегменте межсетевых экранов достаточно сильна, а это значит, что решений на рынке представлено много и для каждого из них разработчики пытаются получить сертификат ФСТЭК. Эксперты уверены, что лаборатории смогут обеспечить такое количество тестирований, а справится ли сам ФСЭТ этой лавиной нагрузки – неизвестно, так что сроки процедуры могут быть увеличены – и тогда к 1 декабря сертификаты могут получить не все. Наша компания подала заявку на сертификацию комплексного решения для обеспечения информационной безопасности и другого решения, сертифицированного ранее по прежним правилам. Мы вовремя получили решение о начале тестировании, поэтому мы надеемся получить сертификат в необходимые сроки», - комментирует Андрей Давидович, генеральный директор компании «Смарт-Софт».

Справедливости ради заметим, что Алексей Кубарев (ФСТЭК) заверил, что компании, которые уже подали заявки, успеют получить сертификаты. Правда, он не уточнил, ни сколько компаний успели эти заявки подать, ни в какое время они это сделали – в мае или, к примеру, в августе.

Сила и мощь

Еще одним фактором, которые может привести к тому, что производители межсетевых экранов не успеют сертифицировать свои решения до 1 декабря, является заметное усиление требований к их продукции. Результатом такого усиления стало то, что некоторым пришлось не только готовить новую документацию, но и дорабатывать свои решения. Это, конечно, никак не влияет на срок самой процедуры, но, если производитель не хотел сертифицировать решение с понижением класса, необходимо было приводить его в соответствие с новыми требованиями. А на любые доработки, разумеется, уходит время. Еще раз подчеркнем: у вендоров на все был лишь месяц.

Усиление требований в МЭ вполне логично. Вся история с получением новых сертификатов задумывалась ФСТЭК именно в связи с тем, что предыдущие требования были приняты очень давно и не обеспечивали должной защиты. С учетом того, что количество и изощренность угроз, которым подвергаются сети, растет экспоненциально, это кажется достаточно оправданной мерой.

Однако изменения оказались весьма существенными. К примеру, если раньше функционал идентификации и аутентификации был обязательным требованием лишь с третьего класса МЭ, то теперь – с шестого. Напомним, что с первого по третий класс – это решения для организаций, работающих с государственной тайной, с четвертого по шестой – для обычных информационных систем.

Таким образом, фактически произошел перенос требований, которые раньше считались необходимыми только для тех организаций, которые работают с критической для государства информацией, на всех. Схожая ситуация и с функционалом, направленным на преобразование сетевых адресов: раньше он был необходим в МЭ, начиная со второго класса, а по новым правилам – с четвертого.

С учетом того, что необходимо было добавить ряд функций, требования по которым ранее вообще отсутствовали (например, оповещение о критических событиях, маскирование наличия МЭ или приоритезация информационных потоков, не удивительно, что эксперты говорят о доработках, которые некоторым игрокам пришлось сделать. 


               Функции безопасности, реализуемые межсетевыми экранами в соответствии с требованиями ФСТЭК

                                                                                                                                                                                         По данным ФСТЭК, 2016 г.


В ожидании первого снега

Вся новая процедура отнимает у разработчиков много сил, времени и денег: сертификация – еще и дорогое удовольствие. Но гораздо сложнее придется их клиентам – пользователям МЭ.

Конечно, тем, у кого межсетевой экран уже работает, пока волноваться совершенно не о чем: менять 1 декабря работающий сертифицированный МЭ не придется. Проходить повторную сертификацию и аттестацию не нужно.

Однако тем, кому покупка только предстоит, следует всерьез задуматься о том, чтобы сделать это до 1 декабря, и до этого срока ввести его в эксплуатацию. В теории все, кто подал заявления, учитывая сроки тестирования, должны успеть получить сертификаты, но как будет на практике – не известно. Если ФСТЭК не справится, то организации могут оказаться без защиты в принципе, и долго ли эта «беззащитность» продлится – тоже пока неизвестно.

К тому же инвестиции, которые потребуются на получение сертификата, вендорам придется так или иначе возвращать и, вполне возможно, расплачиваться придется покупателям. «Покупателям межсетевых экранов надо обратить внимание еще на один очень важный момент. Если раньше в некоторых случаях можно было обойтись установкой на границе сети программного решения, то теперь требуется сертифицированный программно-аппаратный комплекс. На практике стоимость программно-аппаратного комплекса всегда выше, чем ПО. Так что тем, кому необходимо уложиться в определенный бюджет, стоит приобрести решение до 1 декабря», - отмечает Андрей Давидович.

Некоторые производители, не особо доверяя обещаниям ФСТЭК, решили подстраховаться и воспользовались тем, что «окно дозаявок» было открыто до 1 июля, получив сертификаты на обновленные решения.

Алена Журавлева

Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!