На этой неделе коллеги говорили о проблемах, которые есть у нас из-за присутствия двух регуляторов (ФСБ и ФСТЭК) в области ИБ, интересы и требования которых пересеваются и местами противоречат для некоторых областей: например в защите ПДн, АСУТП.
Алексей Лукацкий привел аргументы к тому, что ФСБ Р не справляется с обязанностями регулятора, а там где регулирует – делает это неадекватно (не учитывая проблем пользователей и производителей)
Артем Агеев заметил что регулирование в области ИБ вообще досталось ФСБ Р случайно и необходимо передать эти полномочия ФСТЭКу. Пока же ФСБ Р скорее использует свои полномочия для давления на бизнес, чем повышает уровень ИБ.
Приведу ещё одну проблему двух регуляторов, которая постоянно всплывает у меня на практике реализации проектов по ИБ.
Очень часто в одном сетевом средстве защиты совмещаются функции МЭ и VPN. Наверное нет такого МЭ который не включал бы функций VPNи наоборот криптошлюза, который не считал бы себя МЭ. Причем это справедливо и для средств защиты узлов – персональный МЭ + клиент VPN.
Если следить за тенденциями, то можно сказать что современное сетевое СЗИ может включать в себя десятки функций (МЭ, СОВ, VPN, SSLVPN, DLP, URL-фильтрация, АВЗ на уровне сети, контроль приложений, antiDDoSи т.п.). Но мы будем говорить о двух: МЭ и VPN. Все решения с которыми я работаю могут совмещать эти функции.
Но по требованиям Регуляторов нужно сертифицировать СЗИ. Одно это решение приходится сертифицировать по требованиям разных Регуляторов, в разных испытательных лабораториях с разными органами сертификации, по разным процедурам, которые занимают разное количество времени.
А ещё в рамках сертификации может понадобиться внести изменения в ПО. По линии ФСТЭК одни изменения, по линии ФСБ другие изменения. В результате имеем разные версии сертифицированных СЗИ.
В одном месте быстрое окончание сертификации, в другом задержка на бесконечное время. А там где задержка – потом оказывается нужны изменения.
В итоге на рынке почти отсутствуют СЗИ, конкретный экземпляр которого был бы сертифицирован одновременно в ФСБ и в ФСТЭК. Примеры из наиболее популярных:
· С-терра. Подали на сертификацию версию 3.11 примерно одновременно в одно время. ПО ФСБ сертификат получен год назад , и недавно получен и на версию 4.1. А сертификата ФСТЭК на 3.11 всё нет.
· Stonegate. Сертифицированы разные сборки. ФСБ – 5.3.11. ФСТЭК – 5.3.7. При этом продаются уже и версии 5.6
В проектах приходится ставить 2 комплекта одинаковых железок. Один чтобы выполнить требования ФСТЭК, другой для ФСБ.
А с персональными МЭ+VPNещё хуже. Нельзя поставить на одну систему 2 разные версии ПО. Приходится ставить персональный МЭ и клиент VPNот разных вендоров, котоыре ещё и конфликтовать начинают. Всё это печально.
Поэтому предлагаю поддержать инициативу РОИ и передать полномочия регулирования СКЗИ от ФСБ к ФСТЭК.