воскресенье, 8 июля 2012 г.

О вредности сертификации СЗИ

"Без бумажки ты .... (ну вы сами знаете)"

Продолжаю изучать нормативку по НПС и один абзац в тексте вновь заставил поразмышлять о наболевшем.  Вот упомянутый абзац:

"2.6.2. Оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры обеспечивают применение некриптографических средств защиты информации от несанкционированного доступа, в том числе прошедших в установленном порядке процедуру оценки соответствия. Допускается применение некриптографических средств защиты информации от несанкционированного доступа иностранного производства."

Вообще молодцы представители Центрального Банка, до последнего борятся с излишними требованиями регуляторов.  В СТО БР ИББС, например, умудрились вкрутить, что банкам не требуется получать лицензию на ТЗКИ. Здесь вот это. Но судя по формулировке, устали коллеги воевать с ФСБ и решили хотя бы по части некриптографических средств ослабить удавку. В моем понимании конструкция "..в том числе прошедших ...процедуру оценки" означает, что я могу применять как прошедшие процедуру оценки, так и не прошедшие процедуру оценки средства защиты. А про "иностранного производства" - это вообще контрольный :)  для совсем твердолобых проверяющих видимо :)

Но поговорить я хотел о своем отношении к системе сертификации. Я открыто заявляю, что являюсь ее противником в том виде как она подается сейчас. Я убежден, что механизмы жесткой сертификации должны применяться в исключительных случаях. Например, при защите государственной тайны, для военных нужд и похожих случаях. Т.е. когда речь идет о безопасности государства или жизни граждан. Во всех других случаях сертификация только душит рынок ИБ, создает коррупционные возможности для проверяющих и создает условия для монополизации.  Для коммерческих целей должны создаваться коммерческие системы сертификации (пример, компании BSI, TUV и другие), которые будут оценивать средства защиты и выдавать свои собственные заключения. 

Поясню почему я крайне негативно отношусь к существующей практике сертификации СЗИ:

1) Сертификация "замораживает" разработку. В настоящий момент процедура сертификации занимает от 6 мес. до 1 года. Знаю это потому как работая в интеграторе периодически сталкиваюсь с тем, как наши партнеры- разработчики сертифицируют свои новые разработки. У некоторых уходит и больше года. И даже те, у кого в штате есть "нужные люди", все равно не могут сделать это быстрее чем за 6 месяцев.

При этом любой нормальный разработчик за 6 месяцев выпустит не один апдейт для своей системы (если продукт развивается, а не замораживается), а это означает, что сертифицированный продукт практически никогда не будет содержать всех последних обновлений. 

2) Сертификация душит рынок ИБ в плане появления новых разработок. Честно скажу, что не знаю точный ценник, НО думаю все понимают что это скорее всего сотни тысяч, а может быть и миллионы рублей.  Суммы не заоблачные, но они абсолютно неподъемны для стартапов. Мы хотим чтобы у нас появлялись новые технологии ?? На западе очень многие крупные вендоры активно развиваются именно за счет того, что покупают более мелкие, инновационные конторки. Если сертификация войдет в жесткую обязаловку, то можно забыть о расцвете новых технологий, либо люди будут создавать и продавать новые системы защиты осознанно нарушая закон.  

3) Сертификация монополизирует рынок. Частично это связано с тем, что я уже описал выше. Чем сложнее получить на свой продукт ярлык, тем меньше компаний будет на рынке, а тем легче будет тем компаниям, которые на этом рынке уже существуют. Кроме того, сертификация, может быть использована и для конкурентной борьбы. У меня есть пример одного западного вендора, который уже больше года не может получить сертификат на свой продукт, я не берусь утверждать в чем причина, но по слухам виной этому является "активная работа" другого конкурента (российской компании). 

4) Миф: сертификация позволит защитить отечественного производителя. Это неправда !!! Западные компании, которые решаются выйти на российский рынок как правило обладают серьезными деньгами, а за деньги как известно можно решить практически любой вопрос. У Microsoft сейчас сертификатов больше чем у кого бы то ни было. Так что опять же сертификация будет душить небольшие (в т.ч. отечественные) компании и способствовать захвату рынка ИБ со стороны западных компаний.

5) Миф: Сертификация говорит о качестве продукта. Сейчас технологии разработки настолько усложнились, что проводимые испытания просто не в состоянии выявить всех возможных тонкостей функционирования СЗИ. Либо эти испытания должны проводиться на постоянной основе, что попросту невозможно. Я знаю массу совершенно глюкавых отечественных продуктов, имеющих необходимые сертификаты, и множество хороших западных, не имеющих нужных бумажек.  Все проверяется опытом и практикой использования продуктов в реальной бизнес-среде.

Возможно кому-то показалось, что я агитирую за то какие плохие отечественные (сертифицированные) и какие, в свою очередь, хорошие западные (несертифицированные) продукты. Это не так. Мне самому очень хочется, чтобы рынок отечественных разработок СЗИ активно развивался. Я сам, когда-то работал в таких компаниях как StarForce и Kaspersky, чьи разработки известны по всему миру и был реально горд, что это так.   Но на мой взгляд сертификация - это ужасный призрак из прошлого, от которого нужно в 95% случаях отказаться, если мы хотим двигаться вперед. 

27 комментариев:

  1. Не охота по причине жары переваривать блох...
    Вывод: Необходимо формирование добровольных систем сертификации, направленных на интересы потребителей и учитывающие интересы отрасли.
    Например: http://rodigin.blogspot.com/ (Читать сначала, комментировать)

    ОтветитьУдалить
  2. Жара спала итак по пунктам:
    1) Сертификация "замораживает" разработку. В настоящий момент процедура сертификации занимает от 6 мес. до 1 года.
    - Продукты несут на сертификацию настолько сырыми и дырявыми что либо сразу выдавать отрицательное заключение либо ждать год два три пока разработчик все исправит

    ОтветитьУдалить
  3. 2) Сертификация душит рынок ИБ в плане появления новых разработок.
    - у разработчика есть гениальные разработки но нет денег... нет заказчиков нет инвесторов которых можно убедить в суперности продукта и получить денег? (извиняюсь что вопросом на вопрос)

    ОтветитьУдалить
  4. 3) Сертификация монополизирует рынок.
    - рынок монополизирован заказчиками и производителями, по сути у нас его вообще нет...

    ОтветитьУдалить
  5. 4) Миф: сертификация позволит защитить отечественного производителя.
    - ну это так и есть... плохо то, что не готовятся наши производители к открытию рынка... а потому, сами производители заинтересованы в барьерах для конкурентов

    ОтветитьУдалить
  6. 5) Миф: Сертификация говорит о качестве продукта.
    - это да...

    ОтветитьУдалить
  7. Тоже отмечусь.
    1. Не замораживает сертификация ни фига. Давно уже придуманы схемы ползучей сертификации и пересертификации при изменениях. Проблема в другом - срок сертификации. В ФСБ сейчас не меньше 1 года.

    2. Насчет душит рынок. Тут надо либо крестик снять, либо трусы надеть. Стоимость разработки средств защиты в разы больше стоимости сертификации.То, что стОит миллионы нужно для работы на уровне госухи. А в госуху интересные идеи, конечно, приходят, но они приходят умирать, к сожалению.

    3. Монополизация и защита отечественного производителя. Тут тоже надо выбрать, потому что один тезис противоречит другому. То есть из всего этого действует только одно ;)
    Монополизация рынка обеспечивается НЕ сертификатами. Она обеспечивается проприетарными стандартами. До сих пор криптошлюзы разных отечественных производителей между собой связаться не могут. В этом нет техники. Если у тебя свой стандарт - это значит что из клиента тебя могут вынести только полностью заменив. А это сложно.

    4. Сертификация реально защищает рынок от внешней конкуренции. На сегодняшний день все без исключения отечественные разработчики средств защиты не могут конкурировать с западными компаниями. Ни маркетингово, ни технологически. Открытие рынка вынесет их с этого рынка просто на фиг. Очень большая доля разработчиков сидят на крайне низком уровне технологии разработки (тестирование в рамках одной комнаты) + на сильно старых технологиях (только у нас есть возможность гордиться собственным стеком TCP/IP на основе DOS & упралвялке под Win95 (sic!))
    Это понимают не только разработчики, но и регуляторы. Если присмотреться к системам сертификации, а особо так же к системам, определяющим где какой класс можно использовать - можно увидеть, что особо чувствительные отрасли народного хозяйства этими документами зарезервированы для отечественных разработчиков. И никакой западный вендор ни с какими деньгами туда не войдет. Денег там много. Для западных вендоров остается некая ниша в комсекторе.

    5. Сертификация ничего не говорит про качество продукта. В силу нескольких причин. Первая - ну очень старые документы по сертификации. Вторая - иногда ну очень творческое отношение сертификаторов к процессу. Третье - в целом низкий уровень подготовки сертификаторов по сравнению с разработчиками.

    ОтветитьУдалить
    Ответы
    1. И, спрашивается, зачем нашему производителю делать нормальные продукты, если регуляторы обеспечивают тепличные условия для продажи всего этого отвратительного дерьма (давайте называть вещи своими именами)!

      Удалить
    2. Есть ли возможность подробнее рассказать про "схемы ползучей сертификации и пересертификации при изменениях"?

      Удалить
    3. ГОСТ Р ИСО/МЭК 15408-2002 можно использовать при большом хотении, но его нет...

      Удалить
  8. по пункту 5 есть уточнения:
    5.1. - доки имеют мало влияния
    5.2. - это да...
    5.3. - вот это бывает очень поразному и очень часто не в пользу р-ков...

    ОтветитьУдалить
  9. Регуляторы не будут рубить сук, на котором сидят. Предположим невероятное - государство повернется лицом к субъекту и будет компенсировать вернее штрафовать операторов в случае утечки информации в пользу пострадавшего, причем суммы будут соизмеримы с затратами на организацию защиты. А что тогда делать конролерам/проверяющим?

    ОтветитьУдалить
  10. 2 Сергей - конечно драть госсектор...

    ОтветитьУдалить
  11. с госсектора взятки гладки

    ОтветитьУдалить
  12. взятки сладки

    ОтветитьУдалить
  13. to vgarry:

    >Давно уже придуманы схемы ползучей сертификации и пересертификации при изменениях.

    Может и придуманы, да только многие ли их на практике применяют ? Если нет, то почему ? Неужели просто от незнания ?

    >3. Монополизация и защита отечественного производителя. Тут тоже надо выбрать, потому что один тезис противоречит другому. То есть из всего этого действует только одно ;)

    Никак не противоречит, рынок (или точнее рыночная ниша) может быть монополизирован как отечественной компанией, так и западной.

    >4. Сертификация реально защищает рынок от внешней конкуренции. На сегодняшний день все без исключения отечественные разработчики средств защиты не могут конкурировать с западными компаниями. Ни маркетингово, ни технологически. Открытие рынка вынесет их с этого рынка просто на фиг. Очень большая доля разработчиков сидят на крайне низком уровне технологии разработки (тестирование в рамках одной комнаты) + на сильно старых технологиях (только у нас есть возможность гордиться собственным стеком TCP/IP на основе DOS & упралвялке под Win95 (sic!))

    И долго еще мы будем пествовать технологии прошлого века? Долго еще будем держать в тепличных условиях людей, которые либо не умеют либо не хотят создавать качественные продукты ?

    ОтветитьУдалить
    Ответы
    1. 1. От незнания, не иначе. На моей памяти использовали эти механизмы не менее 5 лет
      2. Нету монополии сейчас. Нету. У российских компаний нету сил, западных здесь нет.
      3. Ровно столько, сколько в качестве требований будут указаны требования прошлого века.

      Удалить
  14. Собственно я бы с удовольствием посмотрел хотя бы на гарантии которые производитель готов дать по поводу своих продуктов. Как можно доверять продукту если даже производитель не ручается юридически :))

    ОтветитьУдалить
    Ответы
    1. Ну ни один из разработчиков в трм чисое и западный не ручается юридически за свой софт :)

      Удалить
    2. да хоть как то бы ручался, хотя бы заявил что сам оттестировал свою поделку и считает что все хорошо. Вот посмотрите мы вот так тестировали и получили вот такие результаты...

      Удалить
    3. Ну ни один из разработчиков в трм чисое и западный не ручается юридически за свой софт :)

      Удалить
  15. +5 копеек: СЗИ, особенно железные, стоят недешево, а гарантии, что по истечении срока сертификата, он будет продлен нет, да и не выгодно это производителю - хочешь соответствовать - покупай новый продукт с новым сертификатом и так до бесконечности.

    ОтветитьУдалить
    Ответы
    1. Ну неправда Ваша. Срок сертификата ТРИ года, не меньше. Срок эксплуатации - тоже. После надо бы списывать. Кто лекарь, что эксплуатируются сзи с вышедгим сроком эксплуатации на свт, подлежащих списанию?

      Удалить
    2. Уточняю срок действия сертификата может быть менее 3х лет...

      Удалить
  16. Сертификация - регулирование рынка 3-ей стороной в соответствии с нормативными требованиями. Так же?

    Эх, об этом писалось сто раз, но и теперь из поста не совсем четко понятно, что предлагается-то конкретно... Кто виноват ясно, а что делать – "опять это проклятая неопределённость".

    Ля-ля, такс "Миф 5". .. как практик-программист, могу добавить, что сертификация, где предоставляется исходный код, представьте себе, очень серьезно повышает систему качества производства продукции: наводится предельно реальный порядок в хранении исходных текстов (и документации), компиляционной и компоновочной средах, проводится какая-никакая внутренняя ревизия, обязательно - анализ внешних компонент и избыточности, зачастую и аудит кода (бывает, весьма и результативным...). Это реальный эффект регулирования, снижающий правовые и технические риски ИБ. Этот эффект можно существенно усилить, если разработчик захочет это сделать.. добровольно. Ха-ха.

    Вот, например, сертификация по качеству добровольная. Нет проблемы – сертифицируйте добровольно по гибким документам .. ну, даже, можно привязаться и к ИБ, типа, написать задание по безопасности на страниц сто. Какое задание напишите, к такому качеству и ИБ и будите стремиться.
    Можно не сертифицировать, а декларировать.. там... провести фазз-тестирование одной функции или строки за неделю или даже день.

    Короче, как писал дедушка Крылов "в чем толку не поймут, то все для них пустяк".

    Pardon. :) :)

    ОтветитьУдалить
    Ответы
    1. Да нифига не предлагается. За все зорошее, против всего плохого.

      Удалить
  17. Коллеги, читайте ГОСТ15408 и у вас не будет проблем с пониманием, для чего это нужно.
    И еще, раз уж зашел разговор, ISO15408 - это разработка NIST, а это значит, что на западе, который вы так любите упоминать, все давно уже идут по этому пути.

    ОтветитьУдалить