Блог

Как совместить "сертификационную чистоту" и необходимость обновления ПО?

Андрей Колесов
25.05.2017 12:47:05

Этот вопрос обозначился в самом начале конференции OSDAY ("День ОС", по тематике разработки операционных систем в России), проведенной Институтом системного программирования РАН в Москве, во время выступления представителя ФСТЭК Виталия Лютикова.





А суть вопрос выглядит так. Вот к примеру, есть организация, которая в силу известных причин может применять только ПО, имеющее соответствующий сертификат ФСТЭК на предмет ее безопасности. Кстати, отдельным вопросом является то, что собственно гарантирует наличие такого сертификата...

Итак некий вендрор получается такой сертификат для своего продукта "МоеПО". Вы покупаете у вендора ЕгоПО, устанавливаете его и начинаете работать. И в случае необходимости демонстрируете проверяющим людям ("тем, кому надо") этот сертификат.

Вопрос 1: Где гарантия, что вы приоберили именно то ПО, которое прошло проверку в ФСТЭК? Наверное, каждый дистрибутив должен сопровождаться некой "электронной подписью" (например, в виде какой-то контрольной суммы), что-то вроде пломбы.
Интересно узнать – как это происходит на практике, я лично довольно плохо представляю себе эту процедуру, учитывая сложность и объемность ПО.

Но предположим, что вы купили именно то, проверенное, ПО. Но где гарантии, что заказчик установил у себя именно его? Контрольную сумму дистрибутива можо проверить, а как проверить контрольную сумму уже установленной системы?

Но дальше, как известно, практически любое ПО обновляется. Причем обновления идут в двух возможных направлениях
Обновления, которые делает вендор (устраняет ошибки, добавляет возможности и пр.)
2) обновления, которые делает сам пользователь (то же самое, но самостоятельно, возможно с помощью привлечения внешних исполнителей.

Понятно, что если вы вносите изменений в сертифицированное ПО (вскываете "пломбу"), то оно уже становится несертифицированным.

И как тут быть?

Поясню ситуацию на бытовом примере. Вот у меня дома есть электросчетчик (считате потребляемую мной электроэнергию). Я тут недавно выяснил, что в 2012 году правительство России провело за меня его приватизацию: раньше счетчик был собственностью Мосэнерго, а в 2012 году стал мои (но я не знал об этом).

Так вот: счетчик это мой, но доступа к нему я не имею (сделать внутри какие-то обновления, новые функции). Он опломбирован печатью Мосэнерго. То есть счетчик мой, но с ним я ничего не имею право (забавно, не правда ли?).
А если я захочу что-то сделать, что должен вызывать сотрудника Мосэнерго...

Так вот, по аналогии, получается, что и к сертифицированному ПО (например, ОС) заказчик не должен иметь доступа на предмет ее коррекции, в том числе обновления. И делать что-то может только через ФСТЭК.

А иначе, какая же это "безопасность", если через неделю после сертификации вендор присылает патч, в котором запросто может оказаться что-то очень "небезопасное"?

Собственно эти вопросы и были заданы выступающему.
Он сообщил, что все свои патчи вендор также должен отдавать в ФСТЭК на предмет проверки.
Но ведь вполне очевидно, что такая проверка может занять немало времени (дел у ФСТЭК много и без того), дело-то может быть срочным!!!

Как выяснилось, именно такая ситуация возникла с недавним вирусом WannaCry.
Знаете, оказывается, почему пораженными оказались именно государственные ИТ-системы (не только в России, но и в других странах)? Потому что госзаказчики (и кажется, не только в России) не устанавливали патчи, выпущенные в марте, ожидая их проверки "там где надо". А пока "мирные жители" ждали (почти два месяца), киберпрестуники решили не ждать...

И что в результате? В результате получилось, что именно процедура обеспечения безопасности как раз нарушила эту самую безопасность. А если бы никакой сертификации не было, что нужные заплатки были бы установлены сразу же, и никакого нарушения работоспособности ИТ-систем не было.

Вот такой парадокс, совсем не забавный...

Комментариев: 9

Только зарегистрированные и авторизованные пользователи могут добавлять комментарии

25.05.2017 22:30:56

"Парадокс" тут есть только на первый взгляд. На самом деле, есть два вопроса, второй из которых возник в связи с WannaCry.
С задержкой для сертифицированных продуктов сделать ничего нельзя. На сертифицированную систему ставят сертифицированные обновления и это реально требует немалого времени. Это объективная данность и мучительный вопрос - "что с этим делать" после понимания этой самой объективности, отпадает.
Вопрос безопасности, который естественным образом возникает в связи с этим, прост, но полон нюансов.
В корпоративной среде с несертифицируемым программным обеспечением, обновления так же не устанавливаются в момент выхода. Сначала оно/они тестируется. Причём, разные виды обновлений, с разным сроком. Обновления безопасности по известным угрозам и проблемам редко выходят оперативно. Эта касается любой операционной системы. Зловреды, в любом случае, появляются раньше обновлений безопасности. Так что, уповать на патчи, последнее дело.
Я уже третий раз пишу тут по поводу WannaCry. Я утверждаю, что проблема не только в своевременном обновлении. Так же, в очередной раз пишу, что безопасность вопрос комплексный. WannaCry использует сетевую уязвимость, а не уязвимость какого либо приложения. Первый порог защиты для таких зловредов эта безопасность, внешнего сетевого контура в лице брандмауэров, а так же точки входа в этой сетевой контур, такие как удалённый доступ, модный ныне BYOD, всякая, пардон, фигня, в лице ещё более модного IoT'а, а так же, самовольное, подключение служебных компьютеров к Интернет, посредством внешних устройств, типа личных мобильных телефонов и прибамбасов от мобильных провайдеров. Пример тому МВД. Именно это первая линия обороны. Вторая линия, это антивирусное ПО и только на третьем месте, собственно, сама уязвимость SMB-протокола.

26.05.2017 12:28:24

Подтверждаю. При нормальной практике защита действительно строится по многослойной схеме. Одна процедура обеспечения безопасности в форме задержки применения обновлений, да, нарушала безопасность - но лишь в одном-единственном слое! А как же периметр? Маленький опрос показал, что самые казалось бы уязвимые домашние пользователи не пострадали. Предположительно потому что не публиковали наружу злосчастный tcp/445 порт (не умели и не нужно было).
Общеизвестно, что применение сертифицированного ПО - лишь часть процедуры аттестации инфосистемы на класс защиты, есть ещё условия применения. Логика подсказывает, что самые нарушения именно там и были. Если система вообще была аттестована (а если нет - зачем сертификация ПО?). Тут уже проходила информация что расследование ведётся, и это правильно.
Итак, как же совместить сертификационную чистоту и необходимость обновления? Очевидно, грамотным построением всей (не только в части сертификации ПО) системы изначально, постоянной поддержкой её в актуальном состоянии и неукоснительным соблюдением условий эксплуатации в дальнейшем.

26.05.2017 12:52:33

Давайте для начала признаем простую вещь: атака WannaCry показала слабость системы безопасности ИТ-инфраструктур, причем - что характерно - именно государственных в первую очередь.

При чем проблема тут явно не техническая, а организационная. Знали об опасности, но "поспали", долго "репу чесали".

Как минимум, эту ситуация нужно анализировать и сделать выводы. Я пока анализа от ИТ-безопасников не вижу. А тут их вина является довольно очевидной.

Ссылки на то, что "у нас так устроена организационная система безопасности", - странны. Значит, ее нужно менять.

И еще. Выяснилось, что главная угроза безопасности исходит не от "зарубежных вендоров", а от нашей собственной системы безопасности.

26.05.2017 13:24:49

Цитата
проблема тут явно не техническая, а организационная

Точно.

26.05.2017 13:52:00

Суть современных реалий такова, что рамках страны ОБЪЕКТИВНО не существует никакой общей системы ИТ-безопасности.
Все организации, государственные и частные, это отдельные структурные единицы, не только в хозяйственном плане, но и с точки зрения структуры ИТ.
В каждой из них, выполнение требований безопасности происходит ровно так же, как и требования обычных законов обычными гражданами и различного рода руководителями т.е. кто как может и хочет, или... не может и не хочет.
Наиболее важные участки ИТ-структуры с точки зрения безопасности защищаются очень хорошо независимо от того, государственная эта структура или гражданская (частая). Остальные, так же по степени важности, но уже с субъективными нюансами, уровень подготовки и, самое главное, желания специалистов на местах.
Таков суровая правда ИТ-ой жизнедеятельности.
Могу сказать совершенно точно - ничего тут не изменится.

26.05.2017 13:28:49

Цитата
Маленький опрос показал, что самые казалось бы уязвимые домашние пользователи не пострадали. Предположительно потому что не публиковали наружу злосчастный tcp/445 порт (не умели и не нужно было).

Да нет - простой просмотр социальных сетей свидетельствовал о том, что пострадавшие есть - даже публиковалось куча "рецептов".
Вы забыли, что "умолчательная" установка ОС Windows светит наружу "Стандартным общим ресурсом" на все логические диски с административными правами доступа, который не мог в данном случае помочь.

26.05.2017 13:49:41

Никак нет, не забыл. Просто тут вокруг пользователи всё больше небогатые, малограмотные, за реальный IP на узел доплачивать не готовы. Вот и сидят поголовно под NAT. Такая получилась выборка.
Хорошо, уточним - "пострадали слабо".

26.05.2017 14:12:08

Цитата
постоянной поддержкой её в актуальном состоянии и неукоснительным соблюдением условий эксплуатации в дальнейшем.

Так же к слову - можно вспомнить сериал фильма "чужой" (что вспомнилось - по мотивам шутливых кратких содержаний smile:D ) - практически к месту: инструкции, построения, условия...
Когда этот фильм снимался? - первая премьера в 79 году...

Ну а сейчас мы смотрим на применительную практику этих инструкций, построений... smile:cry:

26.05.2017 13:52:59

Никак нет, не забыл. Просто тут вокруг пользователи всё больше небогатые, малограмотные, за реальный IP на узел доплачивать не готовы. Вот и сидят поголовно под NAT. У некоторых и Windows-то нет, пользуются чем придётся. Такая получилась выборка.
Хорошо, уточним - "пострадали слабо".

Только зарегистрированные и авторизованные пользователи могут добавлять комментарии

Интересно

Статьи

АО “Транснефть — Прикамье”: опыт создания электронных хранилищ документов
Полноценная реализация процессного подхода к управлению бизнесом возможна только на прочном фундаменте …

ИТАР-ТАСС создает национальное хранилище печатных и электронных изданий
Постановлением правительства РФ от 07.04.2017 N 420 утверждено положение о деятельности …

Государственная электронная почта: опыт Германии и России
Электронные средства коммуникации развиваются уже не один десяток лет, обеспечивая быструю и удобную передачу …

“1С” обкатает новую версию “1С:Документооборота” на проекте в “Почте России”
С конца прошлого десятилетия автоматизация управления документами из нишевого направления информатизации …

Языково-независимая обработка документов: нахождение связей с помощью статистики, машинного обучения и графов
Вы бы хотели иметь возможность находить близкие вашим интересам научные работы независимо от предметной …

Мы в социальных сетях

PC Week/RE в Facebook PC Week/RE в Контакте PC Week/RE в Google+ PC Week/RE в Одноклассниках PC Week/RE в Twitter

Решения

Исследование DIRECTUM: Готовы ли российские компании к облакам?
Изменения отношения к облачным технологиям — очевидны. Но нам интереснее увидеть больше конкретики по рынку СЭД, тем …

Анализ и визуализация данных в СЭД CompanyMedia
Универсальное аналитическое решение в составе СЭД CompanyMedia, ориентировано на сбор, агрегацию, обработку и …

«ИнтерТраст» предлагает готовые проекты документов, регламентирующих использование электронной подписи и электронного контента
Компания «ИнтерТраст» расширяет спектр услуг по обеспечению правомерности использования электронных документов …

Автоматизация работы с агентами. Опыт Synerdocs в СПАО «Ингосстрах»
В 2014 году одна из крупнейших страховых компаний России — СПАО «Ингосстрах» — приняла решение …

Переход на электронные документы в отдельно взятой торговой сети. Пример Synerdocs и Wildberries
В конце 2014 года крупнейший российский интернет-магазин Wildberries объявил своим партнерам о переводе обмена …

Блог

Второй экземпляр счета-фактуры налогоплательщик не вправе хранить в электронном виде, если покупателю он был выставлен на бумаге
Уже несколько лет как счет-фактура обрел электронный формат и далее, на волне развития инфраструктур ...

О странностях (давних и продолжающихся) электронно-бумажного государственного документооборота
Могут ли ИТ сами по себе улучшить нашу жизнь?
Вопрос это, конечно, является риторическим. Ответ изв ...

Расчетный листок может быть направлен работнику в электронной форме
В условиях удаленной работы и взаимодействия с сотрудниками, которые работают дистанционно, безуслов ...

О перспективах хранения электронных документов архивным ведомством
На эту тему сегодня удалось поговорить с одним из ведущих представителей архивного сообщества страны ...

Что нам делать с нашей электронной подписью? (продолжение)
А делать что-то надо…
После публикации две недели назад поста под таким же названием прошли диску ...

 

Лидеры читательского рейтинга

Статьи

Записи в блогах

Панорама

Гиперконвергентные инфраструктуры и ТСО
Гиперконвергентные решения позволяют сократить общую стоимость владения инфраструктурой за счет оптимизации по множеству параметров
История успеха: Ferrari реорганизует процессы поставок и оптимизирует управление материалами с помощью Infor LN
Компания Ferrari — один из мировых лидеров по проектированию, конструированию, производству и продаже самых узнаваемых спортивных автомобилей класса люкс. Для повышения эффективности и упрощения управления своими внутренними процессами компания приняла решение о внедрении системы управления ресурсами предприятия Infor® LN.
Облачные вычисления с VMware vCloud Air Network
Для разных компаний требуются разные стратегии облачных вычислений, но все они будут использовать облако.
4 способа повышения рентабельности инвестиций (ROI) при использовании не только решения ERP по планированию ресурсов предприятия, но и системы управления складами WMS
Основная задача складского хозяйства — идеальное выполнение заказов. Модуль складского учета, входящий в состав решения по планированию ресурсов предприятия (ERP), решает эту задачу в условиях очень малых и малых складов.
ASUS Transformer 3 Pro: непревзойдённый универсал
В ходе масштабной пресс-коференции, которая предваряла открытие прошлогодней выставки Computex 2016, глава ASUS Джонни Ши продемонстрировал немало выдающихся новинок, от смартфонов серии ZenFone 3 до домашнего робота-помощника Zenbo.

Интересно

 

Создание сайта - студия iMake
© 2017 АО «СК ПРЕСС».
Информация об авторских правах и порядке использования материалов сайта.
Правила поведения на сайте.

На главную PC Week/RE  |  Об издании  |  Архив номеров  |  Подписка на бумажную версию
Другие проекты «СК ПРЕСС»ITRNБестселлеры IT-рынкаByte/РоссияCRN/REIntelligent Enterprise/REPC Magazine/RE.