За последние полтора года нам уже, казалось бы, не привыкать к отзываемым и/или приостанавливаемым сертификатам ФСТЭК России.

Но каждое неожиданное “открытие” очередного изменения в соответствующем реестре неизбежно порождает обсуждения и вопросы.

Формальным поводом для написания данного поста стало приостановление действия сертификата №3509 на средство защиты информации (СрЗИ) Dr.Web Enterprise Security Suite с 8 сентября 2023 года.

Приостановление действия сертификата №3509 на Dr.Web Enterprise Security Suite с 8 сентября 2023 года

Вопросы понятны: Как быть с уже работающими системами? Как подводить итоги госзакупок? Кто виноват? Что делать?

Давайте есть слона по частям и начнём с хобота основы основ - Приказа ФСТЭК России №55 от 03.04.2018 «Об утверждении Положения о системе сертификации СрЗИ».

Заметка на полях: Когда читаешь российское законодательство, недостаточно прочесть только пункт нормативно-правового акта, явно относящийся к интересующему вопросу. Нужно прочитать документ целиком с самого начала и вдумчиво. Как пример - привычные широко применяющиеся в нём слова легко могут быть переопределены в предыдущих пунктах.

Пункт 12 Приказа говорит о том, что для серийного производства не только испытывается выборка образцов, но и проверяется само производство. Другими словами, сертификат выдаётся (а также - приостанавливается/отзывается), по сути, на производство, а не просто на конечное число изделий.

12) Сертификация средств защиты информации осуществляется по следующим схемам:

  • для единичного образца средства защиты информации - проведение испытаний образца средства защиты информации и проверки организации его технической поддержки;
  • для партии средства защиты информации - проведение испытаний выборки образцов средства защиты информации и проверки организации его технической поддержки;
  • для серийного производства средства защиты информации - проведение испытаний выборки образцов средства защиты информации и проверки организации его производства и технической поддержки.

    Сертификация единичного образца или партии средства защиты информации организуется заявителем, планирующим применять средство защиты информации, в случае, если отсутствуют идентичные серийно производимые сертифицированные средства защиты информации.

    Сертификация серийного производства средства защиты информации организуется заявителем, осуществляющим разработку и (или) производство средства защиты информации.

Пункт 14 в свою очередь определяет срок действия сертификата и условия, при которых средство защиты информации является сертифицированным:

14) Срок действия сертификата соответствия не может превышать 5 лет.

Сертификат соответствия выдается на срок, указанный в заявке на сертификацию.

Серийно производимое средство защиты информации считается сертифицированным, если оно произведено в период срока действия сертификата соответствия на его серийное производство, соответствует требованиям по безопасности информации и изготовитель и (или) заявитель осуществляют его техническую поддержку.

Для единичного образца или партии средства защиты информации срок действия сертификата соответствия не устанавливается.

Таким образом, не важно, какой статус у сертификата сейчас, важно - действовал ли сертификат в момент производства конкретного экземпляра средства защиты информации, продолжает ли это СрЗИ соответствовать требованиям и осуществляется ли сейчас его техподдержка.

Самое “трудное” из условий - это, конечно, про соответствие требованиям. Как “в полевых” условиях доказать, что ваше средство защиты информации продолжает эти требования выполнять - не совсем очевидно, но, с другой стороны, выполнение этих требований было проверено первоначально при сертификации и скорее правильно ставить вопрос наоборот - докажите мне, что вдруг сейчас данные требования перестали выполняться.

И вот тут мы вплотную подходим, наконец, к пункту 83, перечисляющему основания для приостановления действия сертификата соответствия:

83) Действие сертификата соответствия приостанавливается в случаях:

  • изменения требований по безопасности информации;
  • установления факта несоответствия сертифицированного средства защиты информации требованиям по безопасности информации на основании поступившей в ФСТЭК России информации, в том числе о наличии в сертифицированном средстве защиты информации уязвимостей или недекларированных возможностей;
  • прекращения технической поддержки сертифицированного средства защиты информации, отсутствие которой может привести к несоответствию средства защиты информации требованиям по безопасности информации, а также к невыполнению требований о защите информации при применении средства защиты информации;
  • обращения заявителя о приостановлении действия сертификата соответствия.

Думаю, не ошибусь, если скажу, что и в рассматриваемом случае и в целом для отечественных разработчиков с существенно меньшей долей вероятностью причина приостановления сертификата кроется в добровольном заявлении или в прекращении техподдержки. Требования же по безопасности, когда меняются, затрагивают, как правило, сразу массу ранее выданных сертификатов, а не точечно только одно средство, да и не было за последнее время принято новых требований. Что ж, тогда остаётся только вариант “установления факта несоответствия сертифицированного средства защиты информации требованиям по безопасности информации”.

В перечне уязвимостей БДУ ФСТЭК России сведений о каких-либо свежих уязвимостях нет:

Уязвимости в продуктах Dr.Web

Нет их и в других открытых источниках.

“Что ж, возможно, уязвимость пока публично не раскрывается, а возможно - нарушение не связано с уязвимостью. Требования по безопасности информации обширные, нарушить можно много чего,” - подумал было я, но ради интереса перешёл из карточки самой свежей уязвимости 2020 года на запись в едином реестре российских программ №48 и увидел в самом конце прелюбопытнейшую информацию:

Неустранённая уязвимость Dr.Web Enterprise Security Suite

Возвращаемся обратно в БДУ ФСТЭК России (в которой почему-то нельзя отфильтровать уязвимости по признаку их устранённости/неустранённости - хотя эта информация есть в скачиваемом файле с полным перечнем) и видим весьма неприятную историю:

Описание уязвимости: Уязвимость в механизме обновления средства антивирусной защиты Dr.Web Enterprise Security Suite, заключающаяся в отсутствии шифрования сетевого трафика между сервером обновлений и обновляемым программным обеспечением (сетевое соединение по протоколу HTTP осуществляется без использования TSL или SSH), позволяющая злоумышленнику провести атаку типа «человек посередине» и подменить библиотеку drweb32.dll. В результате подмены данной библиотеки может быть выполнен вредоносный код.

Дата выявления: 13.04.2014

Статус уязвимости: Подтверждена в ходе исследований

Информация об устранении: Информация об устранении отсутствует

Уровень опасности уязвимости: Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,6)

9 лет неустранявшаяся уязвимость - пожалуй, весьма веская причина приостановки действия сертификата, но точно ли дело в этом - мы с вами не знаем.

В любом случае сертификат может быть приостановлен не более, чем на 90 дней, после чего его действие прекращается (выдержки соответствующих пунктов Приказа ниже), так что не позднее примерно 7 декабря должна наступить ясность: либо уязвимость будет устранена, либо действие сертификата будет прекращено, либо причина не в этой уязвимости.

В конце концов на форуме Dr.Web пишут, что: “Дыру пофиксили. Усё…”, а в БДУ ФСТЭК России может оказаться и неактуальная информация о том, что способ устранения только один: “Возможные меры по устранению уязвимости: Шифрование при помощи сторонних средств”.

Пункты про приостановку, возобновление и прекращение действия сертификатов:

84) Решение о приостановлении действия сертификата соответствия оформляется приказом ФСТЭК России.

Действие сертификата соответствия может быть приостановлено на срок не более 90 календарных дней.

ФСТЭК России в течение 5 рабочих дней со дня принятия решения направляет заказным почтовым отправлением с уведомлением о вручении или вручает заявителю уведомление о приостановлении действия сертификата соответствия. В уведомлении указывается срок устранения несоответствия средства защиты информации требованиям по безопасности информации, который не должен превышать 90 календарных дней.

86) Действие сертификата соответствия возобновляется в случае:

  • устранения несоответствия средства защиты информации требованиям по безопасности информации и представления в ФСТЭК России материалов, подтверждающих устранение несоответствия;
  • возобновления технической поддержки средства защиты информации;
  • обращения заявителя о возобновлении действия сертификата соответствия в случае, если решение о приостановлении действия сертификата соответствия было принято по обращению заявителя.

89) Действие сертификата соответствия прекращается в случае:

  • непредставления заявителем в установленный срок материалов, подтверждающих устранение несоответствия средства защиты информации требованиям по безопасности информации;
  • невозобновления заявителем в установленный срок технической поддержки средства защиты информации;
  • обращения заявителя о прекращении действия сертификата соответствия.

Кстати, так как решение о приостановке (и прекращении тоже) оформляется отдельным приказом, было бы со стороны уважаемого регулятора прекрасно выдержку из таких приказов с основаниями для приостановки публиковать.

Пока же, как в данном конкретном случае, получается, что со стороны можно только гадать о причинах и рассуждать о том, продолжает ли средство защиты информации всё ещё соответствовать требованиям по безопасности информации или “превратилось в тыкву”.


Что ж, в качестве итога к заголовку поста резюмирую следующее:

  • Приостановка (и даже прекращение) действия сертификата соответствия ФСТЭК России не обязательно означает, что СрЗИ перестало быть сертифицированным;
  • Точную причину приостановки достоверно знают только ФСТЭК России и заявитель;
  • Если причина в несоответствии СрЗИ требованиям по безопасности информации (например, в наличии/обнаружении уязвимости), то средство защиты информации перестаёт быть сертифицированным;
  • Если СрЗИ не сертифицировано, то нельзя ссылаться на его документацию как доказательство того, что им выполняются конкретные функции безопасности информации.

В соответствии с 239 приказом ФСТЭК России для средства защиты информации допускается проводить оценку соответствия не только в форме сертификации, но и в форме испытаний или приемки, но это может помочь только на начальном этапе создания системы обеспечения информационной безопасности. Для уже действующих систем доработки (модернизации) не избежать:

13.8. В ходе контроля за обеспечением безопасности значимого объекта осуществляются:

  • а) контроль (анализ) защищенности значимого объекта с учетом особенностей его функционирования;
  • б) анализ и оценка функционирования значимого объекта и его подсистемы безопасности, включая анализ и устранение уязвимостей и иных недостатков в функционировании подсистемы безопасности значимого объекта;
  • в) документирование процедур и результатов контроля за обеспечением безопасности значимого объекта;
  • г) принятие решения по результатам контроля за обеспечением безопасности значимого объекта о необходимости доработки (модернизации) его подсистемы безопасности.

Ну, и рекомендация пользователям СрЗИ, чьи сертификаты оказались приостановленными/отозванными:

  • Стоит обращаться за разъяснениями непосредственно к заявителям (производителям), а не доверять форумам, Telegram-каналам и прочим блогам =)

Добавлено 19.09.2023 - Опубликован официальный комментарий от Доктор Веб:

Компания «Доктор Веб» 15 сентября 2023 года получила уведомление ФСТЭК России о том, что приказом регулятора №186 от 8 сентября 2023 года «действие сертификата соответствия от 27 января 2016 г. № 3509 на Dr.Web Enterprise Security Suite приостановлено сроком на 90 календарных дней».
Техническая поддержка ранее проданных версий программного обеспечения продолжает оказываться производителем и их использование никак не ограничивается нормативными документами и положениями регулятора. Временно приостановлена только продажа новых лицензий продукта.

Обращаем внимание, что сам продукт Dr.Web Enterprise Security Suite соответствует всем требованиям по безопасности информации, предъявляемым к средствам защиты информации ФСТЭК России.

Мы работаем над исправлением несоответствий и ожидаем разрешения ситуации в ближайшее время.

Добавлено 20.09.2023 - Коллега @malotavr правильно подсказал, что согласно п.83 Приказа №55 ФСТЭК России причиной приостановления действия сертификата может быть установление факта несоответствия именно самого сертифицированного средства защиты информации требованиям по безопасности информации, а не, как я ранее предполагал, например, производства.

Добавлено 20.09.2023 - Хэппи энд: Действие сертификата соответствия № 3509 ФСТЭК России на Dr.Web Enterprise Security Suite возобновлено: https://news.drweb.ru/show/?i=14752&lng=ru Уязвимость BDU:2014-00226 устранена: https://bdu.fstec.ru/vul/2014-00226


Комментарии из Telegram


Комментарии ВКонтакте