воскресенье, 8 июля 2012 г.

О вредности сертификации СЗИ

"Без бумажки ты .... (ну вы сами знаете)"

Продолжаю изучать нормативку по НПС и один абзац в тексте вновь заставил поразмышлять о наболевшем.  Вот упомянутый абзац:

"2.6.2. Оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры обеспечивают применение некриптографических средств защиты информации от несанкционированного доступа, в том числе прошедших в установленном порядке процедуру оценки соответствия. Допускается применение некриптографических средств защиты информации от несанкционированного доступа иностранного производства."

Вообще молодцы представители Центрального Банка, до последнего борятся с излишними требованиями регуляторов.  В СТО БР ИББС, например, умудрились вкрутить, что банкам не требуется получать лицензию на ТЗКИ. Здесь вот это. Но судя по формулировке, устали коллеги воевать с ФСБ и решили хотя бы по части некриптографических средств ослабить удавку. В моем понимании конструкция "..в том числе прошедших ...процедуру оценки" означает, что я могу применять как прошедшие процедуру оценки, так и не прошедшие процедуру оценки средства защиты. А про "иностранного производства" - это вообще контрольный :)  для совсем твердолобых проверяющих видимо :)

Но поговорить я хотел о своем отношении к системе сертификации. Я открыто заявляю, что являюсь ее противником в том виде как она подается сейчас. Я убежден, что механизмы жесткой сертификации должны применяться в исключительных случаях. Например, при защите государственной тайны, для военных нужд и похожих случаях. Т.е. когда речь идет о безопасности государства или жизни граждан. Во всех других случаях сертификация только душит рынок ИБ, создает коррупционные возможности для проверяющих и создает условия для монополизации.  Для коммерческих целей должны создаваться коммерческие системы сертификации (пример, компании BSI, TUV и другие), которые будут оценивать средства защиты и выдавать свои собственные заключения. 

Поясню почему я крайне негативно отношусь к существующей практике сертификации СЗИ:

1) Сертификация "замораживает" разработку. В настоящий момент процедура сертификации занимает от 6 мес. до 1 года. Знаю это потому как работая в интеграторе периодически сталкиваюсь с тем, как наши партнеры- разработчики сертифицируют свои новые разработки. У некоторых уходит и больше года. И даже те, у кого в штате есть "нужные люди", все равно не могут сделать это быстрее чем за 6 месяцев.

При этом любой нормальный разработчик за 6 месяцев выпустит не один апдейт для своей системы (если продукт развивается, а не замораживается), а это означает, что сертифицированный продукт практически никогда не будет содержать всех последних обновлений. 

2) Сертификация душит рынок ИБ в плане появления новых разработок. Честно скажу, что не знаю точный ценник, НО думаю все понимают что это скорее всего сотни тысяч, а может быть и миллионы рублей.  Суммы не заоблачные, но они абсолютно неподъемны для стартапов. Мы хотим чтобы у нас появлялись новые технологии ?? На западе очень многие крупные вендоры активно развиваются именно за счет того, что покупают более мелкие, инновационные конторки. Если сертификация войдет в жесткую обязаловку, то можно забыть о расцвете новых технологий, либо люди будут создавать и продавать новые системы защиты осознанно нарушая закон.  

3) Сертификация монополизирует рынок. Частично это связано с тем, что я уже описал выше. Чем сложнее получить на свой продукт ярлык, тем меньше компаний будет на рынке, а тем легче будет тем компаниям, которые на этом рынке уже существуют. Кроме того, сертификация, может быть использована и для конкурентной борьбы. У меня есть пример одного западного вендора, который уже больше года не может получить сертификат на свой продукт, я не берусь утверждать в чем причина, но по слухам виной этому является "активная работа" другого конкурента (российской компании). 

4) Миф: сертификация позволит защитить отечественного производителя. Это неправда !!! Западные компании, которые решаются выйти на российский рынок как правило обладают серьезными деньгами, а за деньги как известно можно решить практически любой вопрос. У Microsoft сейчас сертификатов больше чем у кого бы то ни было. Так что опять же сертификация будет душить небольшие (в т.ч. отечественные) компании и способствовать захвату рынка ИБ со стороны западных компаний.

5) Миф: Сертификация говорит о качестве продукта. Сейчас технологии разработки настолько усложнились, что проводимые испытания просто не в состоянии выявить всех возможных тонкостей функционирования СЗИ. Либо эти испытания должны проводиться на постоянной основе, что попросту невозможно. Я знаю массу совершенно глюкавых отечественных продуктов, имеющих необходимые сертификаты, и множество хороших западных, не имеющих нужных бумажек.  Все проверяется опытом и практикой использования продуктов в реальной бизнес-среде.

Возможно кому-то показалось, что я агитирую за то какие плохие отечественные (сертифицированные) и какие, в свою очередь, хорошие западные (несертифицированные) продукты. Это не так. Мне самому очень хочется, чтобы рынок отечественных разработок СЗИ активно развивался. Я сам, когда-то работал в таких компаниях как StarForce и Kaspersky, чьи разработки известны по всему миру и был реально горд, что это так.   Но на мой взгляд сертификация - это ужасный призрак из прошлого, от которого нужно в 95% случаях отказаться, если мы хотим двигаться вперед. 

27 комментариев:

  1. Анонимный8 июля 2012 г., 18:02

    Не охота по причине жары переваривать блох...
    Вывод: Необходимо формирование добровольных систем сертификации, направленных на интересы потребителей и учитывающие интересы отрасли.
    Например: http://rodigin.blogspot.com/ (Читать сначала, комментировать)

    ОтветитьУдалить
  2. Анонимный8 июля 2012 г., 19:20

    Жара спала итак по пунктам:
    1) Сертификация "замораживает" разработку. В настоящий момент процедура сертификации занимает от 6 мес. до 1 года.
    - Продукты несут на сертификацию настолько сырыми и дырявыми что либо сразу выдавать отрицательное заключение либо ждать год два три пока разработчик все исправит

    ОтветитьУдалить
  3. Анонимный8 июля 2012 г., 19:23

    2) Сертификация душит рынок ИБ в плане появления новых разработок.
    - у разработчика есть гениальные разработки но нет денег... нет заказчиков нет инвесторов которых можно убедить в суперности продукта и получить денег? (извиняюсь что вопросом на вопрос)

    ОтветитьУдалить
  4. Анонимный8 июля 2012 г., 19:25

    3) Сертификация монополизирует рынок.
    - рынок монополизирован заказчиками и производителями, по сути у нас его вообще нет...

    ОтветитьУдалить
  5. Анонимный8 июля 2012 г., 19:26

    4) Миф: сертификация позволит защитить отечественного производителя.
    - ну это так и есть... плохо то, что не готовятся наши производители к открытию рынка... а потому, сами производители заинтересованы в барьерах для конкурентов

    ОтветитьУдалить
  6. Анонимный8 июля 2012 г., 19:27

    5) Миф: Сертификация говорит о качестве продукта.
    - это да...

    ОтветитьУдалить
  7. Тоже отмечусь.
    1. Не замораживает сертификация ни фига. Давно уже придуманы схемы ползучей сертификации и пересертификации при изменениях. Проблема в другом - срок сертификации. В ФСБ сейчас не меньше 1 года.

    2. Насчет душит рынок. Тут надо либо крестик снять, либо трусы надеть. Стоимость разработки средств защиты в разы больше стоимости сертификации.То, что стОит миллионы нужно для работы на уровне госухи. А в госуху интересные идеи, конечно, приходят, но они приходят умирать, к сожалению.

    3. Монополизация и защита отечественного производителя. Тут тоже надо выбрать, потому что один тезис противоречит другому. То есть из всего этого действует только одно ;)
    Монополизация рынка обеспечивается НЕ сертификатами. Она обеспечивается проприетарными стандартами. До сих пор криптошлюзы разных отечественных производителей между собой связаться не могут. В этом нет техники. Если у тебя свой стандарт - это значит что из клиента тебя могут вынести только полностью заменив. А это сложно.

    4. Сертификация реально защищает рынок от внешней конкуренции. На сегодняшний день все без исключения отечественные разработчики средств защиты не могут конкурировать с западными компаниями. Ни маркетингово, ни технологически. Открытие рынка вынесет их с этого рынка просто на фиг. Очень большая доля разработчиков сидят на крайне низком уровне технологии разработки (тестирование в рамках одной комнаты) + на сильно старых технологиях (только у нас есть возможность гордиться собственным стеком TCP/IP на основе DOS & упралвялке под Win95 (sic!))
    Это понимают не только разработчики, но и регуляторы. Если присмотреться к системам сертификации, а особо так же к системам, определяющим где какой класс можно использовать - можно увидеть, что особо чувствительные отрасли народного хозяйства этими документами зарезервированы для отечественных разработчиков. И никакой западный вендор ни с какими деньгами туда не войдет. Денег там много. Для западных вендоров остается некая ниша в комсекторе.

    5. Сертификация ничего не говорит про качество продукта. В силу нескольких причин. Первая - ну очень старые документы по сертификации. Вторая - иногда ну очень творческое отношение сертификаторов к процессу. Третье - в целом низкий уровень подготовки сертификаторов по сравнению с разработчиками.

    ОтветитьУдалить
    Ответы
    1. Анонимный9 июля 2012 г., 22:36

      И, спрашивается, зачем нашему производителю делать нормальные продукты, если регуляторы обеспечивают тепличные условия для продажи всего этого отвратительного дерьма (давайте называть вещи своими именами)!

      Удалить
    2. Анонимный13 июля 2012 г., 16:35

      Есть ли возможность подробнее рассказать про "схемы ползучей сертификации и пересертификации при изменениях"?

      Удалить
    3. Анонимный13 июля 2012 г., 16:58

      ГОСТ Р ИСО/МЭК 15408-2002 можно использовать при большом хотении, но его нет...

      Удалить
  8. Анонимный8 июля 2012 г., 20:55

    по пункту 5 есть уточнения:
    5.1. - доки имеют мало влияния
    5.2. - это да...
    5.3. - вот это бывает очень поразному и очень часто не в пользу р-ков...

    ОтветитьУдалить
  9. Регуляторы не будут рубить сук, на котором сидят. Предположим невероятное - государство повернется лицом к субъекту и будет компенсировать вернее штрафовать операторов в случае утечки информации в пользу пострадавшего, причем суммы будут соизмеримы с затратами на организацию защиты. А что тогда делать конролерам/проверяющим?

    ОтветитьУдалить
  10. Анонимный9 июля 2012 г., 11:52

    2 Сергей - конечно драть госсектор...

    ОтветитьУдалить
  11. с госсектора взятки гладки

    ОтветитьУдалить
  12. Анонимный9 июля 2012 г., 12:09

    взятки сладки

    ОтветитьУдалить
  13. to vgarry:

    >Давно уже придуманы схемы ползучей сертификации и пересертификации при изменениях.

    Может и придуманы, да только многие ли их на практике применяют ? Если нет, то почему ? Неужели просто от незнания ?

    >3. Монополизация и защита отечественного производителя. Тут тоже надо выбрать, потому что один тезис противоречит другому. То есть из всего этого действует только одно ;)

    Никак не противоречит, рынок (или точнее рыночная ниша) может быть монополизирован как отечественной компанией, так и западной.

    >4. Сертификация реально защищает рынок от внешней конкуренции. На сегодняшний день все без исключения отечественные разработчики средств защиты не могут конкурировать с западными компаниями. Ни маркетингово, ни технологически. Открытие рынка вынесет их с этого рынка просто на фиг. Очень большая доля разработчиков сидят на крайне низком уровне технологии разработки (тестирование в рамках одной комнаты) + на сильно старых технологиях (только у нас есть возможность гордиться собственным стеком TCP/IP на основе DOS & упралвялке под Win95 (sic!))

    И долго еще мы будем пествовать технологии прошлого века? Долго еще будем держать в тепличных условиях людей, которые либо не умеют либо не хотят создавать качественные продукты ?

    ОтветитьУдалить
    Ответы
    1. 1. От незнания, не иначе. На моей памяти использовали эти механизмы не менее 5 лет
      2. Нету монополии сейчас. Нету. У российских компаний нету сил, западных здесь нет.
      3. Ровно столько, сколько в качестве требований будут указаны требования прошлого века.

      Удалить
  14. Анонимный9 июля 2012 г., 22:50

    Собственно я бы с удовольствием посмотрел хотя бы на гарантии которые производитель готов дать по поводу своих продуктов. Как можно доверять продукту если даже производитель не ручается юридически :))

    ОтветитьУдалить
    Ответы
    1. Ну ни один из разработчиков в трм чисое и западный не ручается юридически за свой софт :)

      Удалить
    2. Анонимный18 июля 2012 г., 21:43

      да хоть как то бы ручался, хотя бы заявил что сам оттестировал свою поделку и считает что все хорошо. Вот посмотрите мы вот так тестировали и получили вот такие результаты...

      Удалить
    3. Ну ни один из разработчиков в трм чисое и западный не ручается юридически за свой софт :)

      Удалить
  15. +5 копеек: СЗИ, особенно железные, стоят недешево, а гарантии, что по истечении срока сертификата, он будет продлен нет, да и не выгодно это производителю - хочешь соответствовать - покупай новый продукт с новым сертификатом и так до бесконечности.

    ОтветитьУдалить
    Ответы
    1. Ну неправда Ваша. Срок сертификата ТРИ года, не меньше. Срок эксплуатации - тоже. После надо бы списывать. Кто лекарь, что эксплуатируются сзи с вышедгим сроком эксплуатации на свт, подлежащих списанию?

      Удалить
    2. Анонимный18 июля 2012 г., 21:44

      Уточняю срок действия сертификата может быть менее 3х лет...

      Удалить
  16. Анонимный10 июля 2012 г., 20:55

    Сертификация - регулирование рынка 3-ей стороной в соответствии с нормативными требованиями. Так же?

    Эх, об этом писалось сто раз, но и теперь из поста не совсем четко понятно, что предлагается-то конкретно... Кто виноват ясно, а что делать – "опять это проклятая неопределённость".

    Ля-ля, такс "Миф 5". .. как практик-программист, могу добавить, что сертификация, где предоставляется исходный код, представьте себе, очень серьезно повышает систему качества производства продукции: наводится предельно реальный порядок в хранении исходных текстов (и документации), компиляционной и компоновочной средах, проводится какая-никакая внутренняя ревизия, обязательно - анализ внешних компонент и избыточности, зачастую и аудит кода (бывает, весьма и результативным...). Это реальный эффект регулирования, снижающий правовые и технические риски ИБ. Этот эффект можно существенно усилить, если разработчик захочет это сделать.. добровольно. Ха-ха.

    Вот, например, сертификация по качеству добровольная. Нет проблемы – сертифицируйте добровольно по гибким документам .. ну, даже, можно привязаться и к ИБ, типа, написать задание по безопасности на страниц сто. Какое задание напишите, к такому качеству и ИБ и будите стремиться.
    Можно не сертифицировать, а декларировать.. там... провести фазз-тестирование одной функции или строки за неделю или даже день.

    Короче, как писал дедушка Крылов "в чем толку не поймут, то все для них пустяк".

    Pardon. :) :)

    ОтветитьУдалить
    Ответы
    1. Да нифига не предлагается. За все зорошее, против всего плохого.

      Удалить
  17. Коллеги, читайте ГОСТ15408 и у вас не будет проблем с пониманием, для чего это нужно.
    И еще, раз уж зашел разговор, ISO15408 - это разработка NIST, а это значит, что на западе, который вы так любите упоминать, все давно уже идут по этому пути.

    ОтветитьУдалить