Верхнее

Сертификация или профанация?

В свете повальной необходимости в использовании сертифицированных решений для защиты информации в нашей стране вендоры теми или иными способами пытаются эти самые заветные сертификаты получить.

Самые востребованные сертификаты, пожалуй, от ФСТЭК. При этом процесс их получения более-менее отлажен, испытательных лабораторий хватает, да и самих сертификатов получено уже под 3500 штук (см. Список сертифицированных ФСТЭК средств защиты информации).

Правда, не всё так хорошо с этой сертификацией: зафиксированные контрольные суммы программного обеспечения не позволяют, например, проводить обновления прошивок устройств, а скачивание обновлений сигнатур частенько осуществляется по недоверенным каналам, что, вообще-то, не очень хорошо. Но, ёмкость рынка сертификации и получаемый из воздуха доход с лёгкостью позволяют закрывать глаза на такие мелкие нестыковочки.

Другое дело — сертификация ФСБ. Даже сам Перечень средств защиты информации, сертифицированных ФСБ России значительно короче (менее 300 сертификатов), что косвенно подтверждает известный факт о сложности и длительности процессов получения этих сертификатов. Таким образом, наличие документа от ФСБ является важным конкурентным преимуществом. Ведь заказчик порой просто вынужден выбирать решение, которое его, быть может, и не очень устраивает, но зато обладает нужной «бумажкой». Понимая это, кто-то из разработчиков сертификаты получает, а кто-то использует несколько иные методы…

На прошлой неделе в ходе анализа продуктового портфеля один из наших инженеров высказал уверенность, что продукты Check Point сертифицированы в ФСБ (в части использования VPN).

Как оказалось, мнение такое действительно на рынке существует:

Если же производитель соглашается использовать российское шифрование, то и такая сертификация вполне может быть получена. Примером этому является сертификация по требованиям ФСБ нескольких продуктов Check Point и модулей для маршрутизаторов Cisco. 

Информация на сайте вендора о сертификации и поддержке ГОСТ оказалась крайне скудна:

Теперь это решение предлагается с поддержкой шифрования по российскому алгоритму ГОСТ в дополнение к стандартным алгоритмам шифрования SSL. Российские компании получили возможность использовать лидирующее решение для организации защищенного доступа по SSL VPN, интегрируемого в инфраструктуру централизованного управления Check Point в комбинации с шифрованием трафика, использующим российские алгоритмы шифрования.

Пришлось искать альтернативные источники информации. Максимум полезного по указанной теме обнаружилось в презентации Антона Разумова, выложенной им в свободный доступ. Она, правда, датируется мартом 2010 года, но иллюстрирует общий подход вендора к вопросу сертификации в ФСБ:

Собственно, из этих нескольких слайдов следует вот что:

  • сертификата ФСБ у Check Point нет
  • поддержка ГОСТ реализована встроенным КриптоПро
  • заключения о корректности встраивания на КриптоПро нет

Таким образом, сфера применения ГОСТового решения от Check Point весьма и весьма узка.

Использованное изображение: http://www.anti-malware.ru/images/approved_by_anti-malware_b.gif

, , , ,