Блог

Как совместить "сертификационную чистоту" и необходимость обновления ПО?

Андрей Колесов
25.05.2017 12:47:05

Этот вопрос обозначился в самом начале конференции OSDAY ("День ОС", по тематике разработки операционных систем в России), проведенной Институтом системного программирования РАН в Москве, во время выступления представителя ФСТЭК Виталия Лютикова.





А суть вопрос выглядит так. Вот к примеру, есть организация, которая в силу известных причин может применять только ПО, имеющее соответствующий сертификат ФСТЭК на предмет ее безопасности. Кстати, отдельным вопросом является то, что собственно гарантирует наличие такого сертификата...

Итак некий вендрор получается такой сертификат для своего продукта "МоеПО". Вы покупаете у вендора ЕгоПО, устанавливаете его и начинаете работать. И в случае необходимости демонстрируете проверяющим людям ("тем, кому надо") этот сертификат.

Вопрос 1: Где гарантия, что вы приоберили именно то ПО, которое прошло проверку в ФСТЭК? Наверное, каждый дистрибутив должен сопровождаться некой "электронной подписью" (например, в виде какой-то контрольной суммы), что-то вроде пломбы.
Интересно узнать – как это происходит на практике, я лично довольно плохо представляю себе эту процедуру, учитывая сложность и объемность ПО.

Но предположим, что вы купили именно то, проверенное, ПО. Но где гарантии, что заказчик установил у себя именно его? Контрольную сумму дистрибутива можо проверить, а как проверить контрольную сумму уже установленной системы?

Но дальше, как известно, практически любое ПО обновляется. Причем обновления идут в двух возможных направлениях
Обновления, которые делает вендор (устраняет ошибки, добавляет возможности и пр.)
2) обновления, которые делает сам пользователь (то же самое, но самостоятельно, возможно с помощью привлечения внешних исполнителей.

Понятно, что если вы вносите изменений в сертифицированное ПО (вскываете "пломбу"), то оно уже становится несертифицированным.

И как тут быть?

Поясню ситуацию на бытовом примере. Вот у меня дома есть электросчетчик (считате потребляемую мной электроэнергию). Я тут недавно выяснил, что в 2012 году правительство России провело за меня его приватизацию: раньше счетчик был собственностью Мосэнерго, а в 2012 году стал мои (но я не знал об этом).

Так вот: счетчик это мой, но доступа к нему я не имею (сделать внутри какие-то обновления, новые функции). Он опломбирован печатью Мосэнерго. То есть счетчик мой, но с ним я ничего не имею право (забавно, не правда ли?).
А если я захочу что-то сделать, что должен вызывать сотрудника Мосэнерго...

Так вот, по аналогии, получается, что и к сертифицированному ПО (например, ОС) заказчик не должен иметь доступа на предмет ее коррекции, в том числе обновления. И делать что-то может только через ФСТЭК.

А иначе, какая же это "безопасность", если через неделю после сертификации вендор присылает патч, в котором запросто может оказаться что-то очень "небезопасное"?

Собственно эти вопросы и были заданы выступающему.
Он сообщил, что все свои патчи вендор также должен отдавать в ФСТЭК на предмет проверки.
Но ведь вполне очевидно, что такая проверка может занять немало времени (дел у ФСТЭК много и без того), дело-то может быть срочным!!!

Как выяснилось, именно такая ситуация возникла с недавним вирусом WannaCry.
Знаете, оказывается, почему пораженными оказались именно государственные ИТ-системы (не только в России, но и в других странах)? Потому что госзаказчики (и кажется, не только в России) не устанавливали патчи, выпущенные в марте, ожидая их проверки "там где надо". А пока "мирные жители" ждали (почти два месяца), киберпрестуники решили не ждать...

И что в результате? В результате получилось, что именно процедура обеспечения безопасности как раз нарушила эту самую безопасность. А если бы никакой сертификации не было, что нужные заплатки были бы установлены сразу же, и никакого нарушения работоспособности ИТ-систем не было.

Вот такой парадокс, совсем не забавный...

Комментариев: 9

Только зарегистрированные и авторизованные пользователи могут добавлять комментарии

25.05.2017 22:30:56

"Парадокс" тут есть только на первый взгляд. На самом деле, есть два вопроса, второй из которых возник в связи с WannaCry.
С задержкой для сертифицированных продуктов сделать ничего нельзя. На сертифицированную систему ставят сертифицированные обновления и это реально требует немалого времени. Это объективная данность и мучительный вопрос - "что с этим делать" после понимания этой самой объективности, отпадает.
Вопрос безопасности, который естественным образом возникает в связи с этим, прост, но полон нюансов.
В корпоративной среде с несертифицируемым программным обеспечением, обновления так же не устанавливаются в момент выхода. Сначала оно/они тестируется. Причём, разные виды обновлений, с разным сроком. Обновления безопасности по известным угрозам и проблемам редко выходят оперативно. Эта касается любой операционной системы. Зловреды, в любом случае, появляются раньше обновлений безопасности. Так что, уповать на патчи, последнее дело.
Я уже третий раз пишу тут по поводу WannaCry. Я утверждаю, что проблема не только в своевременном обновлении. Так же, в очередной раз пишу, что безопасность вопрос комплексный. WannaCry использует сетевую уязвимость, а не уязвимость какого либо приложения. Первый порог защиты для таких зловредов эта безопасность, внешнего сетевого контура в лице брандмауэров, а так же точки входа в этой сетевой контур, такие как удалённый доступ, модный ныне BYOD, всякая, пардон, фигня, в лице ещё более модного IoT'а, а так же, самовольное, подключение служебных компьютеров к Интернет, посредством внешних устройств, типа личных мобильных телефонов и прибамбасов от мобильных провайдеров. Пример тому МВД. Именно это первая линия обороны. Вторая линия, это антивирусное ПО и только на третьем месте, собственно, сама уязвимость SMB-протокола.

26.05.2017 12:28:24

Подтверждаю. При нормальной практике защита действительно строится по многослойной схеме. Одна процедура обеспечения безопасности в форме задержки применения обновлений, да, нарушала безопасность - но лишь в одном-единственном слое! А как же периметр? Маленький опрос показал, что самые казалось бы уязвимые домашние пользователи не пострадали. Предположительно потому что не публиковали наружу злосчастный tcp/445 порт (не умели и не нужно было).
Общеизвестно, что применение сертифицированного ПО - лишь часть процедуры аттестации инфосистемы на класс защиты, есть ещё условия применения. Логика подсказывает, что самые нарушения именно там и были. Если система вообще была аттестована (а если нет - зачем сертификация ПО?). Тут уже проходила информация что расследование ведётся, и это правильно.
Итак, как же совместить сертификационную чистоту и необходимость обновления? Очевидно, грамотным построением всей (не только в части сертификации ПО) системы изначально, постоянной поддержкой её в актуальном состоянии и неукоснительным соблюдением условий эксплуатации в дальнейшем.

26.05.2017 12:52:33

Давайте для начала признаем простую вещь: атака WannaCry показала слабость системы безопасности ИТ-инфраструктур, причем - что характерно - именно государственных в первую очередь.

При чем проблема тут явно не техническая, а организационная. Знали об опасности, но "поспали", долго "репу чесали".

Как минимум, эту ситуация нужно анализировать и сделать выводы. Я пока анализа от ИТ-безопасников не вижу. А тут их вина является довольно очевидной.

Ссылки на то, что "у нас так устроена организационная система безопасности", - странны. Значит, ее нужно менять.

И еще. Выяснилось, что главная угроза безопасности исходит не от "зарубежных вендоров", а от нашей собственной системы безопасности.

26.05.2017 13:24:49

Цитата
проблема тут явно не техническая, а организационная

Точно.

26.05.2017 13:52:00

Суть современных реалий такова, что рамках страны ОБЪЕКТИВНО не существует никакой общей системы ИТ-безопасности.
Все организации, государственные и частные, это отдельные структурные единицы, не только в хозяйственном плане, но и с точки зрения структуры ИТ.
В каждой из них, выполнение требований безопасности происходит ровно так же, как и требования обычных законов обычными гражданами и различного рода руководителями т.е. кто как может и хочет, или... не может и не хочет.
Наиболее важные участки ИТ-структуры с точки зрения безопасности защищаются очень хорошо независимо от того, государственная эта структура или гражданская (частая). Остальные, так же по степени важности, но уже с субъективными нюансами, уровень подготовки и, самое главное, желания специалистов на местах.
Таков суровая правда ИТ-ой жизнедеятельности.
Могу сказать совершенно точно - ничего тут не изменится.

26.05.2017 13:28:49

Цитата
Маленький опрос показал, что самые казалось бы уязвимые домашние пользователи не пострадали. Предположительно потому что не публиковали наружу злосчастный tcp/445 порт (не умели и не нужно было).

Да нет - простой просмотр социальных сетей свидетельствовал о том, что пострадавшие есть - даже публиковалось куча "рецептов".
Вы забыли, что "умолчательная" установка ОС Windows светит наружу "Стандартным общим ресурсом" на все логические диски с административными правами доступа, который не мог в данном случае помочь.

26.05.2017 13:49:41

Никак нет, не забыл. Просто тут вокруг пользователи всё больше небогатые, малограмотные, за реальный IP на узел доплачивать не готовы. Вот и сидят поголовно под NAT. Такая получилась выборка.
Хорошо, уточним - "пострадали слабо".

26.05.2017 14:12:08

Цитата
постоянной поддержкой её в актуальном состоянии и неукоснительным соблюдением условий эксплуатации в дальнейшем.

Так же к слову - можно вспомнить сериал фильма "чужой" (что вспомнилось - по мотивам шутливых кратких содержаний smile:D ) - практически к месту: инструкции, построения, условия...
Когда этот фильм снимался? - первая премьера в 79 году...

Ну а сейчас мы смотрим на применительную практику этих инструкций, построений... smile:cry:

26.05.2017 13:52:59

Никак нет, не забыл. Просто тут вокруг пользователи всё больше небогатые, малограмотные, за реальный IP на узел доплачивать не готовы. Вот и сидят поголовно под NAT. У некоторых и Windows-то нет, пользуются чем придётся. Такая получилась выборка.
Хорошо, уточним - "пострадали слабо".

Только зарегистрированные и авторизованные пользователи могут добавлять комментарии

Интересно

Статьи

Марко Беркович расскажет на RECS`2014 об актуальных проблемах, с которыми приходится сталкиваться при выборе ECM-решения
В преддверии намеченного на 10 сентября форума RECS’2014 редакция обратилась…

ФНС о возможном неформализованном обмене документами
В ходе взаимодействия с налоговой службой случаев бумажного или неформализованного обмена документами …

Милан Прохаска объяснит на RECS`2014, как выбирать и внедрять ECM-систему с учетом требований информационной безопасности
В преддверии намеченного на 10 сентября форума RECS’2014 редакция PC Week/RE обратилась …

Дмитрий Шмайлов расскажет на RECS`2014, как с помощью ЕСМ можно оптимизировать и ускорить поиск требуемой информации
В преддверии намеченного на 10 сентября форума RECS’2014 редакция PC Week/RE обратилась …

Три кнопки для земли и имущества
Классическая задача по автоматизации — дать организации или подразделению удобный инструмент для …

Решения

Исследование DIRECTUM: Готовы ли российские компании к облакам?
Изменения отношения к облачным технологиям — очевидны. Но нам интереснее увидеть больше конкретики по рынку СЭД, тем …

Анализ и визуализация данных в СЭД CompanyMedia
Универсальное аналитическое решение в составе СЭД CompanyMedia, ориентировано на сбор, агрегацию, обработку и …

«ИнтерТраст» предлагает готовые проекты документов, регламентирующих использование электронной подписи и электронного контента
Компания «ИнтерТраст» расширяет спектр услуг по обеспечению правомерности использования электронных документов …

Автоматизация работы с агентами. Опыт Synerdocs в СПАО «Ингосстрах»
В 2014 году одна из крупнейших страховых компаний России — СПАО «Ингосстрах» — приняла решение …

Переход на электронные документы в отдельно взятой торговой сети. Пример Synerdocs и Wildberries
В конце 2014 года крупнейший российский интернет-магазин Wildberries объявил своим партнерам о переводе обмена …

Блог

К вопросу об обеспечении юридической значимости электронных документов, переданных на архивное хранение
Вопросу о долгосрочном хранении электронных документов уже, кажется, более десяти лет, а "воз и ныне ...

Мобильный бумажно-электронный документооборот курьерской службы
Служба курьерской доставки – это один из довольно ярких и типичных сценариев использования мобильных ...

Бумажный документооборот жив и, кажется, будет жить у нас еще долго
То, что наш термин "электронный документооборот" является крайне двусмысленным – давно известный фак ...

Последовательность развития СЭД-инфраструктуры в муниципалитете областного значения
Продолжаю отчитываться по итогам поездки в Рыбинск для участия в ИТ-семинаре в местном муниципалитет ...

Как заключать деловые договора через Интернет?
На днях я увидел публикацию на эту тему (Обменялись сканами: как расценивать договоры, заключенные п ...

 

Лидеры читательского рейтинга

Статьи

Записи в блогах

Панорама

Canon открывает перед партнерами новые горизонты и возможности
В начале осени компания Canon провела в Москве традиционную партнерскую конференцию. Двухдневное мероприятие было …
Ритейл: как повысить продажи с помощью современных ИТ-решений?
Всё начиналось с крайне простых по сегодняшним меркам вещей. Сначала интернет …
ASUS ZenFone 4 Selfie Pro (ZD552KL): снимаются все!
Селфи-снимки стали неотъемлемой частью современной культуры. И потому покупатели, задумываясь о приобретении …
Десятилетний юбилей APC в составе Schneider Electric: конвергенция технологий
Основанная в 1981 г. компания АРС с самого начала своей истории активно развивала направления …
“Мы не продаем системы хранения данных, мы продаем опыт”
Рынок систем хранения данных на флэш-памяти быстро растет и переживает революционные времена. Одноуровневую …

Интересно

 

Создание сайта - студия iMake
© 2017 АО «СК ПРЕСС».
Информация об авторских правах и порядке использования материалов сайта.
Правила поведения на сайте.

На главную PC Week/RE  |  Об издании  |  Архив номеров  |  Подписка на бумажную версию
Другие проекты «СК ПРЕСС»ITRNБестселлеры IT-рынкаByte/РоссияCRN/REIntelligent Enterprise/REPC Magazine/RE.