СОИБ. Проектирование. Сертифицированное производство решений Cisco живо?!

СОИБ. Проектирование. Сертифицированное производство решений Cisco живо?!

Регулярно слежу за новостями, анонсами, вебинарами по новым продуктам ИБ от CiscoSystems, а вот новость про окончание продаж одного из решений CiscoNME-RVPNкак-то пропустил и столкнулся с этим очень неожиданно.

Компания CiscoSystemsвсегда заявляли что в российской ИБ они в серьез и надолго. В подтверждение этому приводится наличие в решениях Ciscoкриптографии, сертифицированной не кем-нибудь, а ФСБ России.

Эти самые решения с крипографией, по заявлению Cisco , являются совместной разработкой Ciscoи С-терра и включают: модуль NME-RVPN (MCM) для маршрутизаторов Ciscoи С-терра CSPVPNGateна платформе CiscoUCSC-200.

В различных презентациях, вебинарах, семинарах   эти решения позиционировались так: VPNна базе CiscoUCSC-200 для центральных объектов, NME-RVPN (MCM) для удаленных офисов. Для меня модули NME-RPNвсегда были на отдельном счету, потому что единственные в линейке С-терра закупались не через Cisco, также и с регистрацией проектов и получением скидок заказчику.

И вот мы неожиданно потеряли защиту для удаленных офисов:

Новость довольно неожиданная, учитывая то, что в свежих сертификатах на С-терра VPNверсии 4.1 включена и платформа МСМ.

 Пока рекомендовали подождать до сентября и морально подготовится к новой платформе МСМ950: производительность увеличится в разы, появятся опции с массивом жестких дисков и  интерфейсами SFP, потеряет совместимость с маршрутизаторами Cisco ISR первого поколения и приобретет совместимость с новым маршрутизатором Cisco ISR 4451-X, сохранение примерно того же порядка цены.

Новая платформа – это интересно, но все-таки не понятно, почему нельзя было подождать с окончанием продаж до начала продаж новой платформы?

Не представляю, какой была бы ИБ, если бы все производители решений сначала заканчивали продажи предыдущей линейки, а через несколько месяцев начинали продажу новой.


PS:  Во второй части статьи хочу коснуться некоторых моментов сертифицированного в ФСТЭК России производства решений Cisco.

Не смотря на регулярные разъяснения Cisco , опыт общения с пользователями продуктов Ciscoпоказывает что они не до конца понимают, что такое сертифицированное производство и какие есть варианты по получению сертифицированных решений Cisco.

Позволю себе прокомментировать некоторые моменты с позиции интегратора:
·        В моем понимании сертифицированное производство решений Ciscoв России существует (по крайне мерее – не вижу существенной разницы с вариантами сертифицированного производства продуктов ИБ других производителей)
·        После сравнения всех факторов, для заказчика приоритетнее приобретение решений, уже сертифицированных серийно (сертифицированное производство)
·        По непонятным мне причинам сертифицированное производство решений Ciscoносит децентрализованный характер. В связи с отсутствием инициативы сверху (самой компании CiscoSystems) в плане постоянной серийной сертификации всех решений по ИБ в системе ФСТЭК России, сработала инициатива снизу – несколько компаний сертифицировали “производство” решений Ciscoи предоставляют эту услугу для всех желающих. Ещё недавно таких компаний было 3: Kraftway, АМТ-Груп, Верком. На данный момент остались: АМТ-Груп , Верком .
·        С точки зрения пользователя все выглядит достаточно просто: отдаешь несертифицированный продукт Cisco, в течении 2-10 дней проводятся его испытания (условно назовем так комплекс работ), получаешь сертифицированный в системе ФСТЭК Р продукт Ciscoс комплектом документов
·        Сертификация по варианту производства как правило недорогая (10-20% от стоимости базового продукта – типовые стоимости можно посмотреть тут )
·        Из моей практики пользователям Cisco можно рассматривать следующие варианты сертификации продуктов по ИБ Cisco:
o   Закупка продуктов Ciscoсразу в сертифицированном варианте в АМТ или Верком (для Заказчика самый простой вариант,  задержка в 2 дня незаметна на фоне общих 10 недель поставки)
o   Закупка продуктов Ciscoу одних продавцов и отдельно сертификация в АМТ или Верком (почти как первый вариант, только больше договоров, больше логистики и дополнительные несколько дней на передачу оборудования между компаниями)
o   Сертификация уже имеющихся у Заказчика продуктов Ciscoс отправкой оборудования на сертификацию в АМТ или Верком (необходима возможность вывести из эксплуатации оборудование на несколько дней и отправить их для испытаний)
o   Сертификация уже имеющихся у Заказчика продуктов Ciscoна месте заказчика (самый сложный вариант , но он возможен; включающий выезд мобильной лаборатории на объект Заказчика, тогда вывод из эксплуатации оборудование – на минимальный срок)
·        При сертификации надо обращать внимание на конкретные версии сертифицированного ПО в продуктах Cisco– какая версия указана в сертификате, с такой вам и придется жить до новой сертификации. Иногда это важно, так как в разных версиях ПО могут существенно различаться возможности.
·        Некоторые эксперты (как недавно Алексей Комаров) интересуются, почему Ciscoне публикует сертификаты и другие документы из комплекта сертифицированного производства (формуляры, ТУ, руководства и т.п.) предполагая какую-то хитрость, уловку или заговор. Ничего подобного. Дело в том что компания Ciscoне обладает правами на эту интеллектуальную собственность.  А компании – производители сертифицированных решений не публикуют из-за коммерческих требований. Они инвестировали в разработку этих документов и в проведение сертификации серий и соответственно ожидают окупить свои затраты.  
·        Некоторые эксперты (как недавно Алексей Комаров) предполагают что в этих непубличных ТУ скрываются какие-то ограничения, не позволяющие использовать сертифицированные решения Ciscoв реальных проектах. Это не так. В своей практике каких-либо невыполнимых ограничений в ТУ серий Ciscoне встречал (в отличие от формуляров некоторых сертифицированных в ФСБ решений). Вот пример из одного ТУ:

При эксплуатации МЭ необходимо обеспечить выполнение следующих условий:
-        исключение возможности использования для обработки информации, содержащей сведения, составляющие государственную тайну
-        наличие администратора МЭ, отвечающего за правильные настройки правил фильтрации МЭ;
-        сохранение в секрете идентификаторов и паролей администратора МЭ;
-        обеспечение физической сохранности МЭ и управляющей ПЭВМ и исключение возможности доступа к нему посторонних лиц;
-        ведение на резервных носителях двух копий конфигурации МЭ, их периодическое обновление и проверка целостности;
-        периодическое тестирование функций защиты МЭ, администратором информационной безопасности (контроль правильности настроек безопасности МЭ, проверка целостности текущей конфигурации МЭ).



Alt text
В пятом выпуске мы расскажем о кибератаках на Pfizer, SolarWinds, а также о масштабных хищениях с помощью изощренных взломов. Новый обзор в нашем Youtube канале!