Сертифицированные межсетевые экраны (часть 2)

Сертифицированные межсетевые экраны (часть 2)


В прошлом обзоре сертифицированных межсетевых экранов (напомню, что отбираем только присутствующие в реестре ФСТЭК изделия, сертифицированные серией или крупной партией по требованиям соответствующего руководящего документа ФСТЭК ) мы остановились на продукте «ИВК Кольчуга».
name='more'>
Итак, судя по описанию на сайте, ИВК Кольчугапредставляет собой «программный комплекс, управляемый специально разработанной операционной системой на базе дистрибутива Linux». На практике в моём понимании это обозначает примерно следующее: взяли дистрибутив Linux, накатили нужные пакеты и сертифицировали. Что-то подобное сделал и АльтЭль , только там сразу ещё и аппаратная платформа поставляется.

Согласно записям в реестре, ИВК Кольчуга была сертифицирована в 2005 году в двух вариантах: обычном и «ИВК Кольчуга-К». Не знаю как тогда, а сегодня эти варианты предназначены для работы с гостайной и для обработки конфиденциальной информации соответственно. Каждого варианта было сертифицировано по 500 экземпляров (читай – дисков), но уже в 2006 то ли закончились сертифицированные диски, то ли потребовалась сертификация по НДВ (т.е. на отсутствие недекларированных возможностей), но для ИВК Кольчуга был получен очередной сертификат ещё на 500 экземпляров и уже с НДВ. Следующая сертификация была завершена только в августе 2011 года, но теперь уже сертифицирована была серия.

В целом, если посчитать число месяцев (с ноября 2005 по август 2011) и число сертифицированных экземпляров (500+500+500), то самый оптимистичный уровень продаж получается около 20 штук в месяц, что, конечно, совсем мало. Не удивительно, что до написания этого обзора про ИВК Кольчуга я вообще не припомню, чтобы слышал.
Далее в реестре следует великое множество просроченных уже сертификатов на 1-2 (реже - больше) устройств Cisco PIXна МЭ3/МЭ4 но, естественно, без НДВ. Видимо, на этот период (2005-2006 гг) как раз приходится начало экспансии компании Cisco в госучреждения.

Почему «естественно» без НДВ? Дело вот в чём. Сертификация по НДВ означает выполнение требований другого руководящего документа ФСТЭК: Руководящий документ. Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей . Четыре уровня контроля (от низшего четвёртого до высшего первого), придуманные ещё в 1999 году, призваны с разной степенью уверенности давать гарантию отсутствия в программном обеспечении (в том числе в прошивках аппаратных устройств) всяческих закладок, чёрных ходов и пр. Такие проверки подразумевают открытие исходных кодов в том или ином объёме. Вот здесь-то и кроется важное конкурентное преимущество российских разработок: крупные мировые компании с большой неохотой идут на предоставление своего исходного кода нашим с вами коллегам из испытательных лабораторий, опасаясь за свою коммерческую тайну и ноу-хау. Отечественным же вендорам, часто вчистую сдувающимразрабатывающим свои продукты на основе открытых (open-source) операционных систем и прикладных пакетов, скрывать особо нечего. Их «ноу-хау» часто заключается в лоббистских возможностях и коррупционных схемах, а вовсе не в уникальных технологиях.

Ну, да мы немного отвлеклись. Следующий сертифицированный межсетевой экран, подпадающий под заданные критерии – Cisco PIX 501. Сертификат №1247/1, выданный на их серию заявителю ЗАО "АМТ-Груп", будет действовать ещё до июля 2013 года, да вот только все PIX’ы давно уже сняты с продаж и поддержки , так что введём ещё один критерий – «немёртвость» сертифицированного межсетевого экрана. Хотя, к сожалению, не всегда сразу можно понять реальную судьбу продукта, особенного отечественного. Некоторые вендоры до последнего не убирают описание с сайта в надежде, видимо, кому-нибудь да продать залежалый товар. Но в случае с Cisco всё проще: снят с продаж обычный PIX, так что и сертифицированного уже не купить, поэтому пропускаем Cisco PIX 506, 515, 525, 535и добираемся до Cisco ASA.

Ещё в далёком 2007 году всё та же компания АМТ-Груп сертифицировала как серии три межсетевых экрана Cisco: ASA-5510, 5520и 5540по классу МЭ4 и на соответствие ТУ. Строго говоря, МЭ4 – это потолок, если не раскрывать исходные коды, но, судя по реестру, иногда поставщикам Cisco удавалось находить какие-то компромиссы и получать сертификаты без НДВ, но «по 3 классу для МЭ при ограничениях» или «по 3 классу в соответствии с РД МЭ при ограничениях в ТУ». Вообще, Cisco ASA, похоже, рекордсмен по числу сертификатов. Многие сертифицировали «под проект» собственные «АСЫ» либо не желая платить «монополисту» АМТ, либо в случае потребности в других, менее ходовых, версиях, например, 5505или 5580. Чуть позже (в 2009-2010) АМТ сертифицировала и другие ASA, став, похоже, окончательным монополистом. Только у Kraftway есть ещё серийный сертификат на 5510, а всего по состоянию на сегодня действуют 7 сертификатов на серии Cisco ASA. Все они представлены в таблице .

Продолжение следует…

Изображения: http://pixs.ru/showimage/x21549c31j_9498348_3653128.jpg
Alt text

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и TwitterTwitter, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

Алексей Комаров

Всё, что я пишу в этом блоге, отражает только мою личную точку зрения и не имеет никакого отношения к точке зрения организации, в которой я работаю (работал) или с которой у меня существуют (существовали) официальные или неофициальные отношения.