Исключение из реестра ФСТЭК сертифицированных решений с уязвимостями

Исключение из реестра ФСТЭК сертифицированных решений с уязвимостями



В апреле этого года, выступая с докладом на Форуме АЗИ , Виталий СергеевичPЛютиков (начальник управления ФСТЭК России), говоряPпроP Базу уязвимостей ,Pрассказал, что из десятка отечественных сертифицированных разработок на базе ОС Linux уязвимость ShellshockP устранили только четверо , да и то не сразу. В июнеPон же привёл пример с Heartbleed :


Из 10 сертифицированных в ФСТЭК продуктов, использующих чужие библиотеки, в которых была найдена уязвимость Heartbleed, устранили ее только 5 компаний. Остальные отказались (!), сославшись на то, что у них нет денег и специалистов, которые могли бы разобраться в чужом коде.


Сильно подозреваю, что множества нерадивых разработчиков из апрельского и июньского примеров полностью совпадают.


Но бывают и иные парадоксальные ситуации. Вот, например, ФСТЭК 23 июня опубликовал уязвимостьP 2015-10509 P(Уязвимость операционной системы Cisco IOS, позволяющая нарушителю вызвать отказ в обслуживании).PУровень опасности у данной уязвимости средний, производителем она подтверждена и ещёP22 июня былаP устранена . Версии IOS, в которых присутствовала данная уязвимость —P12.2 12.2(33).


Навскидку в реестре ФСТЭК я насчитал пятьPдействующих сертификатов, в которых заявлена IOS именноP12.2(33):


Действующие сертификаты на IOS 12.2(33)

Действующие сертификаты на IOS 12.2(33)


Получается, что где-то в России есть аттестованные автоматизированные системы, в которых используются этиPсертифицированные экземпляры оборудования Cisco с уязвимой прошивкой?


Парадоксальность тут заключается в том, что перед владельцем стоит выбор: установить обновление, нарушив тем самым контрольную сумму и, фактически, самому лишить себя сертификата ФСТЭК и аттестата на автоматизированную систему (за которые, между прочим, он заплатил)Pили продолжать использовать уязвимый продукт.


Налицо классический конфликт бумажной и реальной безопасности. Кстати, заявителем по двум из приведённых сертификатов выступает Банк России и лично мне, как гражданину РФ, больше хотелось бы, чтобы сотрудник Банка России, ответственный за эксплуатацию (теперь) уязвимого оборудования выбрал бы всё-таки безопасность реальную.


В общем, конечно, каждый владелец делает свой выбор самостоятельно, оценивая риски обоих вариантов, но вот со стороны ФСТЭК России было бы логично не просто вести отдельно Базу уязвимостей и отдельноPРеестр сертифицированных средств защиты информации, а объединить эти два процесса в одно целое.


Например, при публикации уязвимости можно было бы сразу указывать конкретные номера сертификатов на изделия, к которым эта уязвимостьPотносится. Особенно это актуально, если схема сертификации — серия, что предполагает широкий круг пользователей.


В случае с сертификатами на отдельные экземпляры логично было бы уведомлять заявителей и давать им какие-то рекомендации о том, что можно предпринять — не всегда ведь установка патча является единственным вариантом, часто бывают доступныPварианты обхода уязвимости (Workarounds) путём правильной конфигурации или отключения каких-либо функций.


Наконец, в случае отсутствия реакции со стороны производителя как в примерах с Shellshock и Heartbleed или со стороны заявителя вполне разумно вообще приостанавливать действие сертификата, особенно если речь идёт о критических уязвимостях. По сути своей уязвимый продукт ведь действительно не выполняет защитных функций в полном объёме и сертификат на него, строго говоря, бессмысленен.


Самым же правильным вариантом, конечно, является организацияPдоверенной системы обновленийPдля средств защиты таким образом, чтобы установка патча не нарушала условия эксплуатации изделия и сертификат на него оставался действующим. Ждём нужных и давно назревших документов от ФСТЭК России по этому вопросу. Активность и здравомыслие в действиях её сотрудников в последнее время позволяет надеятся на благополучное разрешение данного вопроса.


Кстати, пример с Cisco приведён не из злого умысла — проблема общая и никак с конкретной компанией не связана. К Cisco тут вопросов нет, не то что к той ватаге смельчаков, незакрывающихPуязвимость ShellshockPс сентября прошлогоPгода, а Heartbleed и вовсе с апреля 2014 года. Быть может, пора уже ФСТЭК их публично назвать?


Ещё материалыPпо теме сертификации и ФСТЭК:





Если понравился пост, подпишитесь на мою RSS-ленту и Twitter . Пост Исключение из реестра ФСТЭК сертифицированных решений с уязвимостями впервые был опубликован на ZLONOV.ru


информационная безопасность Cisco shellshock сертификация уязвимость фстэк
Alt text
Комментарии для сайта Cackle

Алексей Комаров

Всё, что я пишу в этом блоге, отражает только мою личную точку зрения и не имеет никакого отношения к точке зрения организации, в которой я работаю (работал) или с которой у меня существуют (существовали) официальные или неофициальные отношения.