Общее. Ещё одна проблема двух регуляторов ИБ

Общее. Ещё одна проблема двух регуляторов ИБ
На этой неделе коллеги говорили о проблемах, которые есть у нас из-за присутствия двух регуляторов (ФСБ и ФСТЭК) в области ИБ, интересы и требования которых пересеваются и местами противоречат для некоторых областей: например в защите ПДн, АСУТП.

Алексей Лукацкий привел аргументы к тому, что ФСБ Р не справляется с обязанностями регулятора, а там где регулирует – делает это неадекватно (не учитывая проблем пользователей и производителей)

Артем Агеев заметил что регулирование в области ИБ вообще досталось ФСБ Р случайно и необходимо передать эти полномочия ФСТЭКу. Пока же ФСБ Р скорее использует свои полномочия для давления на бизнес, чем повышает уровень ИБ.

Приведу ещё одну проблему двух регуляторов, которая постоянно всплывает у меня на практике реализации проектов по ИБ.
Очень часто в одном сетевом средстве защиты совмещаются функции МЭ и VPN. Наверное нет такого МЭ который не включал бы функций VPNи наоборот криптошлюза, который не считал бы себя МЭ. Причем это справедливо и для средств защиты узлов – персональный МЭ + клиент VPN.
Если следить за тенденциями, то можно сказать что современное сетевое СЗИ может включать в себя десятки функций (МЭ, СОВ, VPN, SSLVPN, DLP, URL-фильтрация, АВЗ на уровне сети, контроль приложений, antiDDoSи т.п.). Но мы будем говорить о двух: МЭ и VPN. Все решения с которыми я работаю могут совмещать эти функции.

Но по требованиям Регуляторов нужно сертифицировать СЗИ. Одно это решение приходится сертифицировать по требованиям разных Регуляторов, в разных испытательных лабораториях с разными органами сертификации, по разным процедурам, которые занимают разное количество времени. 
А ещё в рамках сертификации может понадобиться внести изменения в ПО. По линии ФСТЭК одни изменения, по линии ФСБ другие изменения. В результате имеем разные версии сертифицированных СЗИ.
В одном месте быстрое окончание сертификации, в другом задержка на бесконечное время. А там где задержка – потом оказывается нужны изменения.

В итоге на рынке почти отсутствуют СЗИ, конкретный экземпляр которого был бы сертифицирован одновременно в ФСБ и в ФСТЭК. Примеры из наиболее популярных:
·        Vipnet. Сертифицированы разные сборки. ФСБ - 3.2.9.13755. ФСТЭК - 3.2.10.15393
·        С-терра. Подали на сертификацию версию 3.11 примерно одновременно в одно время. ПО ФСБ сертификат получен год назад , и недавно  получен и на версию 4.1. А сертификата ФСТЭК на 3.11 всё нет.
·        Stonegate. Сертифицированы разные сборки. ФСБ – 5.3.11. ФСТЭК – 5.3.7. При этом продаются уже и версии 5.6

В проектах приходится ставить 2 комплекта одинаковых железок. Один чтобы выполнить требования ФСТЭК, другой для ФСБ.

А с персональными МЭ+VPNещё хуже. Нельзя поставить на одну систему 2 разные версии ПО. Приходится ставить персональный МЭ и клиент VPNот разных вендоров, котоыре ещё и конфликтовать начинают. Всё это печально.

Поэтому предлагаю поддержать инициативу РОИ и передать полномочия регулирования СКЗИ от ФСБ к ФСТЭК.

Alt text
В пятом выпуске мы расскажем о кибератаках на Pfizer, SolarWinds, а также о масштабных хищениях с помощью изощренных взломов. Новый обзор в нашем Youtube канале!