Исключение из реестра ФСТЭК сертифицированных решений с уязвимостями

3 мин на чтение


Данный пост перенесён автоматически с предыдущего варианта сайта. Возможны артефакты. Если информация этого поста важна для вас, свяжитесь со мной для получения полного содержимого.


В апреле этого года, выступая с докладом на Форуме АЗИ, Виталий Сергеевич Лютиков (начальник управления ФСТЭК России), говоря про Базу уязвимостей, рассказал, что из десятка отечественных сертифицированных разработок на базе ОС Linux уязвимость Shellshock устранили только четверо, да и то не сразу. В июне он же привёл пример с Heartbleed:

Из 10 сертифицированных в ФСТЭК продуктов, использующих чужие библиотеки, в которых была найдена уязвимость Heartbleed, устранили ее только 5 компаний. Остальные отказались (!), сославшись на то, что у них нет денег и специалистов, которые могли бы разобраться в чужом коде. Сильно подозреваю, что множества нерадивых разработчиков из апрельского и июньского примеров полностью совпадают. Но бывают и иные парадоксальные ситуации. Вот, например, ФСТЭК 23 июня опубликовал уязвимость 2015-10509 (Уязвимость операционной системы Cisco IOS, позволяющая нарушителю вызвать отказ в обслуживании). Уровень опасности у данной уязвимости средний, производителем она подтверждена и ещё 22 июня была устранена. Версии IOS, в которых присутствовала данная уязвимость - 12.2 12.2(33). Навскидку в реестре ФСТЭК я насчитал пять действующих сертификатов, в которых заявлена IOS именно 12.2(33): [caption id="attachment_7117" align="aligncenter" width="500"]Действующие сертификаты на IOS 12.2(33) Действующие сертификаты на IOS 12.2(33)[/caption] Получается, что где-то в России есть аттестованные автоматизированные системы, в которых используются эти сертифицированные экземпляры оборудования Cisco с уязвимой прошивкой? Парадоксальность тут заключается в том, что перед владельцем стоит выбор: установить обновление, нарушив тем самым контрольную сумму и, фактически, самому лишить себя сертификата ФСТЭК и аттестата на автоматизированную систему (за которые, между прочим, он заплатил) или продолжать использовать уязвимый продукт. Налицо классический конфликт бумажной и реальной безопасности. Кстати, заявителем по двум из приведённых сертификатов выступает Банк России и лично мне, как гражданину РФ, больше хотелось бы, чтобы сотрудник Банка России, ответственный за эксплуатацию (теперь) уязвимого оборудования выбрал бы всё-таки безопасность реальную. В общем, конечно, каждый владелец делает свой выбор самостоятельно, оценивая риски обоих вариантов, но вот со стороны ФСТЭК России было бы логично не просто вести отдельно Базу уязвимостей и отдельно Реестр сертифицированных средств защиты информации, а объединить эти два процесса в одно целое. Например, при публикации уязвимости можно было бы сразу указывать конкретные номера сертификатов на изделия, к которым эта уязвимость относится. Особенно это актуально, если схема сертификации - серия, что предполагает широкий круг пользователей. В случае с сертификатами на отдельные экземпляры логично было бы уведомлять заявителей и давать им какие-то рекомендации о том, что можно предпринять - не всегда ведь установка патча является единственным вариантом, часто бывают доступны варианты обхода уязвимости (Workarounds) путём правильной конфигурации или отключения каких-либо функций. Наконец, в случае отсутствия реакции со стороны производителя как в примерах с Shellshock и Heartbleed или со стороны заявителя вполне разумно вообще приостанавливать действие сертификата, особенно если речь идёт о критических уязвимостях. По сути своей уязвимый продукт ведь действительно не выполняет защитных функций в полном объёме и сертификат на него, строго говоря, бессмысленен. Самым же правильным вариантом, конечно, является организация доверенной системы обновлений для средств защиты таким образом, чтобы установка патча не нарушала условия эксплуатации изделия и сертификат на него оставался действующим. Ждём нужных и давно назревших документов от ФСТЭК России по этому вопросу. Активность и здравомыслие в действиях её сотрудников в последнее время позволяет надеятся на благополучное разрешение данного вопроса. Кстати, пример с Cisco приведён не из злого умысла - проблема общая и никак с конкретной компанией не связана. К Cisco тут вопросов нет, не то что к той ватаге смельчаков, незакрывающих уязвимость Shellshock с сентября прошлого года, а Heartbleed и вовсе с апреля 2014 года. Быть может, пора уже ФСТЭК их публично назвать? Ещё материалы по теме сертификации и ФСТЭК:
--- === @zlonov === ---

--- === @zlonov === ---

Комментарии из Telegram


Комментарии ВКонтакте