Switch language: EN|RU

Tuesday, October 16, 2018

Реестр сертифицированных средств защиты ФСТЭК за 2018 год. Интересные наблюдения.



Стартовая картинка выбрана не случайно, читайте короткую заметку и вскоре всё узнаете :). 

Совершенно случайно завис за процессом изучения «Государственного реестра сертифицированных средств защиты информации N РОСС RU.0001.01БИ00» на сайте ФСТЭК России. Обзоры текущего состояния процессов и перспектив сертификации СрЗИ в России как отечественного производства, так и зарубежных, не раз приводились уважаемыми коллегами. Например, в недавнем вебинаре Алексея Лукацкого. Опустим причины моего внезапного повышенного интереса к теме, хочу поделиться своими наблюдениями, которые, равно как и мне, могут показаться занятными тем, кто также, как и я, лишь периодически и точечно заходит в упомянутый реестр.

Никогда ранее не обращал внимание на то, что, видимо, важные для государства и критичные СрЗИ инспектируется непосредственно ФСТЭК России, как «Органом по сертификации» (ОС). Например, это справедливо для продукции, заявителем по которой выступают МВД, ФТС, Банк России, иные федеральные министерства и ведомства. Хотя «Испытательная лаборатория» (ИЛ) при этом может быть и вполне частной. (ВСЕ КАРТИНКИ КЛИКАБЕЛЬНЫ)

Чтобы хакеры иностранных государств не посмели вмешаться в наши выборные процессы, софт «Специальное программное обеспечение комплекса обработки избирательных бюллетеней» также проходит проверку на НДВ. Интересно, что заявителем (и разработчиком, как показал быстрый гуглопоиск) таких КОИБ является МГТУ им. Н.Э. Баумана. Их тоже инспектирует сам ФСТЭК.

Тенденции, описанные Алексеем Лукацким, в общем и целом действительно прослеживаются. Я сейчас о сокращении перечня сертифицированных импортных разработок, а также о понижении классов сертификации оставшихся. За 2018 год среди наиболее популярных в реестре иностранных вендоров ИБ (Cisco, Huawei, VMWare, McAfee) встречаются классы не выше 6 по МЭ и не выше 5 по СОВ. Более серьезные классы (в основном, еще во времена сертификации по РД МЭ и РД НДВ) присуще только заявкам прошлых лет (Fortinet, Checkpoint), и, судя по всему, этот тренд сохранится и в будущем. Это печально.

Всегда ранее сертификация продуктов Microsoft (Операционных систем и офисов, прежде всего) у меня стойко ассоциировалась с компанией-заявителем «Алтекс-Софт». Оказывается, теперь «преемником» этой темы являются 2 совершенно экзотические для данной ситуации структуры: ФГУП «Предприятие по поставкам продукции Управления делами Президента Российской Федерации» и ООО «Сертифицированные информационные системы груп». Между тем сертификация осуществляется партиями. Посмотрим, что будет с настольными ОС и другими продуктами Microsoft в будущем, но, мягко говоря, ситуация выглядит странно.

Напоминаю, что подробно я просматривал сертификаты, выданные в 2018 году. Оказывается, в этом самом 2018 бывает и «MS Windows NT 4.0 Workstation». Я не поленился найти дату выпуска этой ОС: 24 августа 1996 г. Видимо, такого зверя не смогла проверить ни одна испытательная лаборатория (в соответствующей графе пусто).

Весьма интересными являются факты сертификации обычного офисного ПО на довольно высокие уровни (НДВ2, подходит для гостайны), что позволяет сделать предположение о планомерно идущем процессе импортозамещения в специализированных учреждениях и ведомствах.


Как я и анонсировал в начале заметки, каких-то сверхреволюционных выводов я здесь не делаю, просто иногда полезно и занимательно оценить влияние госполитики и общегосударственных трендов на нашу непростую ИБ сферу.

Оставайтесь на светлой стороне.