7 Февраля, 2019

Реестр сертифицированных средств защиты ФСТЭК 2.0

Алексей Лукацкий
Близится конференция ФСТЭК , на которой помимо вопросов КИИ будут рассказывать о новой методике обеспечения доверия (взамен НДВ), практике оценке соответствия в соответствии с новым приказом ФСТЭК №55 по сертификации и т.п. И приснилось мне тут во сне, что один из докладов мог бы быть посвящен абсолютно новой версии реестра сертифицированных средств защиты ФСТЭК, который, как мне кажется, является самой популярной и самой востребованной страницей сайта регулятора. И вот выходит представитель воронежского ГНИИ ПТЗИ и начинает свой доклад (не по бумажке и с отличными слайдами).

Уважаемые коллеги! Все вы знаете, что одной из задач ФСТЭК является ведение реестра сертифицированных средств защиты информации, который является подспорьем для всех заказчиков, которые ищут для своей безопасности средства защиты информации, прошедшие оценку соответствия в форме обязательной сертификации. Мы давно и планомерно улучшаем реестр, расширяя его функциональность и повышая оперативность размещения в нем сведений о новых сертификатах. Если раньше данный реестр приходилось скачивать на комьпютер для полноценного поиска в нем, то сегодня это можно сделать сразу на сайте с помощью соответствующей строки поиска/фильтрации. Также, начиная с 2019-го года мы стали обновлять реестр не раз в квартал, как было раньше, а в течение суток после появления нового сертификата.


Однако мы не стоим на месте и хотим вам представить новую версию реестра, работа над которой сейчас завершается и в самое ближайшее время она будет представлена общественности. Сегодня же мне бы хотелось кратко рассказать о тех нововведениях, которые вас ждут и которые были реализованы опираясь на опыт работы с банком данных угроз и уязвимостей ФСТЭК. Те, кто активно пользуется БДУ знают, что в нем реализована эффективная система фильтрации, позволяющая быстро находить среди двух десятков тысяч уязвимостей те, которые вас интересуют. Мы решили перенять этот опыт и реализовали в новой версии реестра фильтрацию по всем полям реестра. Если раньше, например, можно было искать теперь можно легко найти все сертификаты, в которых упоминалось конкретное решение (например, Cisco ASA) наряду с его заявителем и испытательной лабораторией (надо было только в строке поиска указать через пробел три слова), то в новой версии мы сделали возможность более сложных множественных фильтров, учитывающих также диапазон дат действия сертификата и схему сертификации. Кроме того, у нас появилась возможность поиска всех сертификатов, которые начали свое действия позже указанной даты, а также сертификатов, которые завершают свое действие до указанной даты. Это позволит быстрее искать сертификаты, которые, например, скоро прекратят свое действие.

Для стимуляции заявителей более оперативно устранять выявленные в их продуктах уязвимости, мы решили добавить информацию об отозванных сертификатах и причинах этого. Кроме того, теперь доступа возможность поиска в уже недействующих сертификатах, для того, чтобы своевременно выявлять неточности в маркетинговых материалах отдельных компаний, использующих недобросовестную конкуренцию и рекламу.

Помимо расширения функции поиска и фильтрации, мы решили вставлять ссылки на требования, по которым сертифицировался тот или иной продукт. Это позволит сразу увидеть, какие требования проверялись в процессе оценке соответствия. При этом ссылка дается не на весь руководящий документ, а на конкретную таблицу с проверяемыми требованиями. Кроме того, мы добавили ссылки на сайт заявителей, на которых можно получить более подробную информацию о возможности приобретения сертифицированных средств защиты (это позволит поддержать наших разработчиков и стимулирует их развитие), а также о возможностях обновления сертифицированных решений.

Несмотря на то, что ФСТЭК исключила практику указания в сертификатах ссылок на классы защищенности информационных систем, в которых возможно применять сертифицированное средство защиты, в новой версии реестра появилась возможность такой подсказки. Наведя курсором на соответствующее упоминание класса защиты будет появляться подсказка, в каких классах защищенности ГИС, ИСПДн, АСУ ТП или КИИ могут применяться указанные решения. Разумеется, речь идет только о подсказке, которая, однако, очень востребована заказчиками, которые не всегда хорошо разбираются в мерах защиты, разработанных регулятором.

Наконец, мы решили сделать еще один большой шаг вперед и будем выкладывать теперь копии всех сертификатов, чтобы потребителям не пришлось искать их в Интернет или клянчить у заявителей, которые не всегда готовы делиться этими документами. Это вызывает раздражение у потребителя и поэтому мы решили помимо выходных данных сертификатов, в реестре также давать возможность скачивания и скан-копии самого сертификата. Для защиты от подделки таких сертификатов мы планируем ввести соответствующие цифровые "водяные" знаки. Кроме того, учитывая, что основными потребителями, использующими сертифицированные средства защиты, являются госорганы, мы думаем о том, чтобы снабжать копию каждого сертификата электронной подписью, что будет гарантировать ее подлинность. Пока вопрос еще не решен, но возможно, мы также будем выкладывать на сайт еще и ТУ (или выписки из них).

В заключение мне хотелось бы объявить о еще двух новшествах, связанных с реестром. Во-первых, мы добавим по аналогии с БДУ раздел инфографики, где можно будет увидеть статистику по сертификации различных типов средств защиты, наиболее активных заявителях и испытательных лабораториях, а также ряд других интересных графиков и диаграмм, отражающих процесс сертификации средств защиты информации. А во-вторых, мы запустим официальный Твиттер-канал для реестра сертифицированных средств защиты, в котором будут размещаться новости о новых, завершающих свое действие, продленных или отозванных сертификатов. Аналогичный Твиттер-канал действует для банка данных угроз и уязвимостей и он показал свою эффективность. За два года с момента его запуска мы опубликовали 170 обновлений, что говорит о том, что частота публикации в нем составляет около одного твита в четыре дня.

Уважаемые коллеги! На этом позвольте мне завершить свое краткое выступление про новую версию реестра сертифицированных средств защиты информации, которая в ближайшее время будет запущена и доступна для всех потребителей сертифицированной ФСТЭК продукции. Большое спасибо за внимание!

ЗЫ. Дабы у читателей не возникло мысли, что это все взаправду, я еще раз хочу отметить, что это моя фантазия, сон. Хотя такие мечты есть у многих коллег по цеху, судя по результатам опроса, который я проводил неделю назад в своем Твиттере и в Телеграме .