Регулярно слежу за новостями, анонсами, вебинарами по новым продуктам ИБ от CiscoSystems, а вот новость про окончание продаж одного из решений CiscoNME-RVPNкак-то пропустил и столкнулся с этим очень неожиданно.
Компания CiscoSystemsвсегда заявляли что в российской ИБ они в серьез и надолго. В подтверждение этому приводится наличие в решениях Ciscoкриптографии, сертифицированной не кем-нибудь, а ФСБ России.
Эти самые решения с крипографией, по заявлению Cisco , являются совместной разработкой Ciscoи С-терра и включают: модуль NME-RVPN (MCM) для маршрутизаторов Ciscoи С-терра CSPVPNGateна платформе CiscoUCSC-200.
В различных презентациях, вебинарах, семинарах эти решения позиционировались так: VPNна базе CiscoUCSC-200 для центральных объектов, NME-RVPN (MCM) для удаленных офисов. Для меня модули NME-RPNвсегда были на отдельном счету, потому что единственные в линейке С-терра закупались не через Cisco, также и с регистрацией проектов и получением скидок заказчику.
И вот мы неожиданно потеряли защиту для удаленных офисов:
Новость довольно неожиданная, учитывая то, что в свежих сертификатах на С-терра VPNверсии 4.1 включена и платформа МСМ.
Пока рекомендовали подождать до сентября и морально подготовится к новой платформе МСМ950: производительность увеличится в разы, появятся опции с массивом жестких дисков и интерфейсами SFP, потеряет совместимость с маршрутизаторами Cisco ISR первого поколения и приобретет совместимость с новым маршрутизатором Cisco ISR 4451-X, сохранение примерно того же порядка цены.
Новая платформа – это интересно, но все-таки не понятно, почему нельзя было подождать с окончанием продаж до начала продаж новой платформы?
Не представляю, какой была бы ИБ, если бы все производители решений сначала заканчивали продажи предыдущей линейки, а через несколько месяцев начинали продажу новой.
PS: Во второй части статьи хочу коснуться некоторых моментов сертифицированного в ФСТЭК России производства решений Cisco.
Не смотря на регулярные разъяснения Cisco , опыт общения с пользователями продуктов Ciscoпоказывает что они не до конца понимают, что такое сертифицированное производство и какие есть варианты по получению сертифицированных решений Cisco.
Позволю себе прокомментировать некоторые моменты с позиции интегратора:
· В моем понимании сертифицированное производство решений Ciscoв России существует (по крайне мерее – не вижу существенной разницы с вариантами сертифицированного производства продуктов ИБ других производителей)
· После сравнения всех факторов, для заказчика приоритетнее приобретение решений, уже сертифицированных серийно (сертифицированное производство)
· По непонятным мне причинам сертифицированное производство решений Ciscoносит децентрализованный характер. В связи с отсутствием инициативы сверху (самой компании CiscoSystems) в плане постоянной серийной сертификации всех решений по ИБ в системе ФСТЭК России, сработала инициатива снизу – несколько компаний сертифицировали “производство” решений Ciscoи предоставляют эту услугу для всех желающих. Ещё недавно таких компаний было 3: Kraftway, АМТ-Груп, Верком. На данный момент остались: АМТ-Груп , Верком .
· С точки зрения пользователя все выглядит достаточно просто: отдаешь несертифицированный продукт Cisco, в течении 2-10 дней проводятся его испытания (условно назовем так комплекс работ), получаешь сертифицированный в системе ФСТЭК Р продукт Ciscoс комплектом документов
· Сертификация по варианту производства как правило недорогая (10-20% от стоимости базового продукта – типовые стоимости можно посмотреть тут )
· Из моей практики пользователям Cisco можно рассматривать следующие варианты сертификации продуктов по ИБ Cisco:
o Закупка продуктов Ciscoсразу в сертифицированном варианте в АМТ или Верком (для Заказчика самый простой вариант, задержка в 2 дня незаметна на фоне общих 10 недель поставки)
o Закупка продуктов Ciscoу одних продавцов и отдельно сертификация в АМТ или Верком (почти как первый вариант, только больше договоров, больше логистики и дополнительные несколько дней на передачу оборудования между компаниями)
o Сертификация уже имеющихся у Заказчика продуктов Ciscoс отправкой оборудования на сертификацию в АМТ или Верком (необходима возможность вывести из эксплуатации оборудование на несколько дней и отправить их для испытаний)
o Сертификация уже имеющихся у Заказчика продуктов Ciscoна месте заказчика (самый сложный вариант , но он возможен; включающий выезд мобильной лаборатории на объект Заказчика, тогда вывод из эксплуатации оборудование – на минимальный срок)
· При сертификации надо обращать внимание на конкретные версии сертифицированного ПО в продуктах Cisco– какая версия указана в сертификате, с такой вам и придется жить до новой сертификации. Иногда это важно, так как в разных версиях ПО могут существенно различаться возможности.
· Некоторые эксперты (как недавно Алексей Комаров) интересуются, почему Ciscoне публикует сертификаты и другие документы из комплекта сертифицированного производства (формуляры, ТУ, руководства и т.п.) предполагая какую-то хитрость, уловку или заговор. Ничего подобного. Дело в том что компания Ciscoне обладает правами на эту интеллектуальную собственность. А компании – производители сертифицированных решений не публикуют из-за коммерческих требований. Они инвестировали в разработку этих документов и в проведение сертификации серий и соответственно ожидают окупить свои затраты.
· Некоторые эксперты (как недавно Алексей Комаров) предполагают что в этих непубличных ТУ скрываются какие-то ограничения, не позволяющие использовать сертифицированные решения Ciscoв реальных проектах. Это не так. В своей практике каких-либо невыполнимых ограничений в ТУ серий Ciscoне встречал (в отличие от формуляров некоторых сертифицированных в ФСБ решений). Вот пример из одного ТУ:
При эксплуатации МЭ необходимо обеспечить выполнение следующих условий:
- исключение возможности использования для обработки информации, содержащей сведения, составляющие государственную тайну
- наличие администратора МЭ, отвечающего за правильные настройки правил фильтрации МЭ;
- сохранение в секрете идентификаторов и паролей администратора МЭ;
- обеспечение физической сохранности МЭ и управляющей ПЭВМ и исключение возможности доступа к нему посторонних лиц;
- ведение на резервных носителях двух копий конфигурации МЭ, их периодическое обновление и проверка целостности;
- периодическое тестирование функций защиты МЭ, администратором информационной безопасности (контроль правильности настроек безопасности МЭ, проверка целостности текущей конфигурации МЭ).
