Недавно Алексей Комаров в своем блогеподнимал тему о необходимости исключения из реестра ФСТЭК сертифицированных решений с уязвимостями.
И недавно ФСТЭК России начал принимать действия в этом направлении - Заявители отправляющие на сертификацию решения одного (а может и не одного) известного западного вендора получили письмо с предупреждением. Для западных производителей СЗИ в случае сертификации на экземпляр или партию, Заявитель – это как правило конечный пользователь или интегратор; при сертификации на серию – заявитель как правило партнер в России по сертифицированному производству.
В письме регулятор напоминает, что в сертифицированном СЗИ имеются уязвимости, опубликованные в БДУ высокого и критического уровней опасности. Так-же ФСТЭК России напоминает что Заявители на сертификацию должны обеспечивать соответствие средств защиты информации требованиям безопасности информации (пункт 7 Постановления Правительства РФ от 26 июня 1995 г. N 608 "О сертификации средств защиты информации"), а также принимать меры по обеспечению стабильности характеристик сертифицируемых СЗИ (пункт 2.6 Положения о сертификации средств защиты информации по требованиям безопасности информации Утверждено приказом председателя государственной технической комиссии при Президенте Российской Федерации от 27 октября 1995 г. № 199), в том числе должны принимать меры по выявлению и устранению уязвимостей в производимых или поставляемых СЗИ.
Далее идет просьба проинформировать ФСТЭК о принятых и планируемых мерах по устранению уязвимостей. Исходя из общения с регулятором у меня сложилось впечатление, что варианты по устранению могут быть следующие:
1. Следуя рекомендациям производителя подобрать версию ПО, в которой все опубликованные уязвимости будут устранены, которая будет работать на имеющейся аппаратной части; провести в системе сертификации ФСТЭК инспекционный контроль новой версии ПО; обновить или уведомить заказчиков о необходимости обновления ПО на всем оборудовании (усложняется в некоторых случаях отсутствием у Заказчика действующего сервиса технической поддержки и соответственно возможности обновить ПО)
2. Принять организационные меры. В случае если уязвимость связана с определенными сервисами (например, SSL, SIP, управление через web), можно выпустить требования, ограничивающие использование данных сервисов.
3. Исключить из эксплуатации СЗИ с уязвимостями или уведомить Заказчика о необходимости исключения из эксплуатации СЗИ с уязвимостями
Можно сделать вывод что регулятор пытается прийти к тому чтобы сертифицированные СЗИ были безопасными не только на бумаге, но и на деле. В последних профилях безопасности для сертифицированных СЗИ вопросы устранения уязвимостей закладываются заранее. Но пока ещё остается открытым вопрос – должны ли Заказчики платить за устранением производителем уязвимостей? По факту, для западных СЗИ без сервиса на ТП не обойтись.
