В декабре 2017 года Traffic Inspector Next Generation получил сертификат ФСТЭК России по новым требованиям. Сертификация заняла больше года и оказалась очень сложным процессом. В этой статье мы расскажем о том, почему решили сертифицировать наше решение, как проходила сертификация, какие изменения пришлось внести в Traffic Inspector Next Generation и как это на него повлияло.
О Traffic Inspector Next Generation
Traffic Inspector Next Generation — это российское решение класса UTM, относящееся к межсетевым экранам следующего поколения. Он проверяет трафик на всех уровнях, позволяя не только закрыть порты или отфильтровать пакеты, а, например, запретить VoIP трафик или заблокировать вредоносные сайты. Как и другие UTM-решения, Traffic Inspector Next Generation имеет модуль защиты от вторжений (IPS/IDS), позволяет проводить глубокий анализ пакетов (DPI) и многое другое.
В процессе разработки мы детально тестировали решение в разных режимах, но сочли, что этого недостаточно. Чтобы иметь полную уверенность в том, что Traffic Inspector Next Generation действительно обеспечивает заявленный уровень безопасности, мы решили получить подтверждение от сторонних специалистов.
Большая часть наших клиентов работает в России, поэтому кроме подтверждения безопасности было важно получить документ, который обеспечит включение в реестр отечественного ПО Минкомсвязи. Это позволило бы внедрять наше решение в государственных и муниципальных организациях, работающих с конфиденциальной информацией.
Сертификацией защитных решений в РФ занимается ФСТЭК, поэтому мы обратились к ним.
О сертификации ФСТЭК
С 1 декабря 2016 года вступили в действие новые требования ФСТЭК к межсетевым экранам. Они заменили предыдущий вариант, действовавший с 1997 года. Новые требования стали значительно более жёсткими. Некоторые функции безопасности, которых не было в предыдущем варианте документа, стали обязательными. Например, новая редакция требовала обязательного присутствия функций:
- оповещения о критичных видах событий безопасности,
- маскирования наличия файрволла,
- управления приоритетами трафика,
- взаимодействия с другими защитными решениями.
Мы готовились к принятию новых требований и доработали Traffic Inspector Next Generation, чтобы соответствовать им. По сути, сертификация ФСТЭК стала вызовом, который мы бросили сами себе. Это было рискованное решение. Если бы продукт не прошёл сертификацию, мы бы просто вылетели с рынка.
Наш путь к сертификации
В сентябре 2016 года мы подали заявку в лабораторию «Документальные системы». Рассчитывали, что управимся за два-три месяца, а процедура будет чистой формальностью, но всё оказалось совсем иначе.
Сертификация удивила своей скрупулёзностью и глубиной погружения в продукт. Проверяли не только программный код файрволла и его модулей, но и базовую операционную систему. Дело дошло до проверки прошивки BIOS и системных накопителей на предмет закладок и недокументированных возможностей.
Вот как выглядит хронология сертификации Traffic Inspector Next Generation версии 1.0.2:
12.2016 | Начало работы с дистрибутивами, требования на доработки для прохождения различных сценариев тестирования |
02-03.2017 | Утверждение списка аппаратных платформ |
03-04.2017 | Документирование функций безопасности |
04-05.2017 | Подготовка блок-схем и документации по аппаратным платформам |
05-08.2017 | Разработка процедур доказательства отсутствия недекларированных возможностей в BIOS и на накопителях аппаратных платформ |
09.2017 | Передача пакета документов на экспертизу в орган сертификации |
10.2017 | Отправка документов во ФСТЭК |
12.2017 | Получен сертификат ФСТЭК |
Инспекцию программного кода проводили наши разработчики совместно со специалистами ФСТЭК, буквально, строчка за строчкой. Для реализации требований ФСТЭК в Traffic Inspector Next Generation добавили контроль целостности всех неизменяемых файлов системы. При их изменении система оповещает администратора.
Было много задач, связанных с аудитом сборки исполняемых файлов и пакетов. От нас требовалось подтвердить, что конкретный бинарник собран из конкретных объектных модулей, а те, в свою очередь, собраны из проверяемых исходных кодов. Пришлось готовить сервер для контрольной сборки продукта, на котором специалисты тестовой лаборатории могли убедиться, что система собрана из предоставленного им на проверку программного кода.
Для организаций, использующих Traffic Inspector Next Generation внутри закрытого от интернета периметра, была реализована офлайновая установка обновлений. Tar-архив, являющийся полным локальным зеркалом репозитария, доступен для скачивания с закрытой части веб-сайта «Смарт-Софт». После импорта архива на устройство Traffic Inspector Next Generation запускается стандартная процедура обновления.
Результат сертификации
В процессе проверки мы существенно повысили качество кода, добавили новые функции, повышающие безопасность и защищённость решения. У ФСТЭК имеется полная уверенность в отсутствии закладок в программной и аппаратной части Traffic Inspector Next Generation FSTEC, подтверждённая документами испытательной лаборатории. Мы знаем, что в случае нарушения целостности программных модулей администраторы немедленно получат оповещения.
На время сертификации весь проверяемый код «замораживается» от внесения изменений. В результате сертифицированная версия Traffic Inspector Next Generation FSTEC «отстаёт» от актуальной версии продукта, поскольку каждое изменение кода требует повторной проверки ФСТЭК.
Польза сертифицированного решения
Traffic Inspector Next Generation получил сертификат соответствия требованиям ФСТЭК «Профиль защиты межсетевых экранов типа А и Б четвертого класса защиты» ИТ.МЭ.А4.ПЗ и ИТ.МЭ.Б4.ПЗ. В соответствии с информационным сообщением ФСТЭК «Об утверждении Требований к межсетевым экранам» от 28 апреля 2016 г. No 240/24/1986 это обеспечивает возможность его использования:
- в государственных информационных системах 1 класса защищенности,
- в автоматизированных системах управления производственными и технологическими процессами 1 класса защищенности,
- в информационных системах персональных данных при необходимости обеспечения 1 уровня защищенности персональных данных,
- в информационных системах общего пользования II класса.
Сертификат ФСТЭК гарантирует, что каждый модуль защитного решения выполняет заявленные функции, а устройство в целом обеспечивает должный уровень безопасности.
На сегодняшний день Traffic Inspector Next Generation FSTEC успешно внедряется и работает:
- в государственных учреждениях и предприятиях сфер образования, здравоохранения и культуры,
- в органах власти РФ федерального, регионального и муниципального уровня,
- в коммерческих организациях.
На сайте «Смарт-Софт» есть возможность оформить заявку на тестирование решения.
Планы на будущее
Сертификация защитных решений — важная и нужная процедура. Благодаря ей производители решений получают подтверждение эффективности реализованной защиты, а покупатели — гарантию того, что получат заявленную функциональность.
Но безопасность не ограничивается бэкдорами и ошибками в коде. Каждый день появляются новые угрозы, и требуется оперативная доработка систем защиты для реакции на них. Промедление в таких ситуациях может обойтись очень дорого.
К сожалению, действующая процедура сертификации не предусматривает быстрой проверки обновлений уже сертифицированной версии защитного решения, предполагая, что каждое обновление потребует полного цикла тестовых процедур.
Мы не согласны с таким положением вещей и поэтому обращаемся к лаборатории с предложением разработать методику ускоренной ресертификации обновлений и доработок, которая позволила бы оперативно обновлять защитные решения, сохраняя полученный сертификат. Рассчитываем, что наши предложения будут приняты, и все разработчики сертифицированных решений получат возможность быстро реагировать на новые опасности.
Источник: www.anti-malware.ru
Ваш комментарий станет первым!