Путь сертификации Traffic Inspector Next Generation во ФСТЭК России

Через тернии к ФСТЭКу

Через тернии к ФСТЭКу

В декабре 2017 года Traffic Inspector Next Generation получил сертификат ФСТЭК России по новым требованиям. Сертификация заняла больше года и оказалась очень сложным процессом. В этой статье мы расскажем о том, почему решили сертифицировать наше решение, как проходила сертификация, какие изменения пришлось внести в Traffic Inspector Next Generation и как это на него повлияло.

 

 

 

  1. Введение
  2. О сертификации ФСТЭК России
  3. Traffic Inspector Next Generation: путь к сертификации
  4. Результат сертификации Traffic Inspector Next Generation
  5. Польза сертифицированного решения
  6. Выводы

 

Введение

Traffic Inspector Next Generation — это российское решение класса UTM, относящееся к межсетевым экранам следующего поколения. Он проверяет трафик на всех уровнях, позволяя не только закрыть порты или отфильтровать пакеты, а, например, запретить VoIP-трафик или заблокировать вредоносные сайты. Как и другие UTM-решения, Traffic Inspector Next Generation имеет модуль защиты от вторжений (IPS/IDS), позволяет проводить глубокий анализ пакетов (DPI) и многое другое.

В процессе разработки мы детально тестировали решение в разных режимах, но сочли, что этого недостаточно. Чтобы иметь полную уверенность в том, что Traffic Inspector Next Generation действительно обеспечивает заявленный уровень безопасности, мы решили получить подтверждение от сторонних специалистов.

Большая часть наших клиентов работает в России, поэтому кроме подтверждения безопасности было важно получить документ, который обеспечит включение в реестр отечественного программного обеспечения Минкомсвязи. Это позволило бы внедрять наше решение в государственных и муниципальных организациях, работающих с конфиденциальной информацией.

Сертификацией защитных решений в РФ занимается ФСТЭК, поэтому мы обратились к ним.

 

О сертификации ФСТЭК России

С 1 декабря 2016 года вступили в действие новые требования ФСТЭК к межсетевым экранам. Они заменили предыдущий вариант, действовавший с 1997 года. Новые требования стали значительно более жесткими. Некоторые функции безопасности, которых не было в предыдущем варианте документа, стали обязательными. Например, новая редакция требовала обязательного присутствия функций:

  • оповещения о критичных видах событий безопасности,
  • маскирования наличия фаервола,
  • управления приоритетами трафика,
  • взаимодействия с другими защитными решениями.

Мы готовились к принятию новых требований и доработали Traffic Inspector Next Generation, чтобы соответствовать им. По сути, сертификация ФСТЭК России стала вызовом, который мы бросили сами себе. Это было рискованное решение. Если бы продукт не прошел сертификацию, мы бы просто вылетели с рынка.

 

Traffic Inspector Next Generation: путь к сертификации

В сентябре 2016 года мы подали заявку в лабораторию «Документальные системы». Рассчитывали, что управимся за два-три месяца, а процедура будет чистой формальностью, но все оказалось совсем иначе.

Сертификация удивила своей скрупулезностью и глубиной погружения в продукт. Проверяли не только программный код фаервола и его модулей, но и базовую операционную систему. Дело дошло до проверки прошивки BIOS и системных накопителей на предмет закладок и недокументированных возможностей.

Вот как выглядит хронология сертификации Traffic Inspector Next Generation версии 1.0.2:

 

12.2016 Начало работы с дистрибутивами, требования на доработки для прохождения различных сценариев тестирования
02-03.2017 Утверждение списка аппаратных платформ
03-04.2017 Документирование функций безопасности
04-05.2017 Подготовка блок-схем и документации по аппаратным платформам
05-08.2017 Разработка процедур доказательства отсутствия недекларированных возможностей в BIOS и на накопителях аппаратных платформ
09.2017 Передача пакета документов на экспертизу в орган сертификации
10.2017 Отправка документов во ФСТЭК
12.2017 Получен сертификат ФСТЭК

 

Инспекцию программного кода проводили наши разработчики совместно со специалистами ФСТЭК, буквально строчка за строчкой. Для реализации требований ФСТЭК в Traffic Inspector Next Generation добавили контроль целостности всех неизменяемых файлов системы. При их изменении система оповещает администратора.

Было много задач, связанных с аудитом сборки исполняемых файлов и пакетов. От нас требовалось подтвердить, что конкретный бинарник собран из конкретных объектных модулей, а те, в свою очередь, собраны из проверяемых исходных кодов. Пришлось готовить сервер для контрольной сборки продукта, на котором специалисты тестовой лаборатории могли убедиться, что система собрана из предоставленного им на проверку программного кода.

Для организаций, использующих Traffic Inspector Next Generation внутри закрытого от интернета периметра, была реализована офлайновая установка обновлений. Tar-архив, являющийся полным локальным зеркалом репозитория, доступен для скачивания с закрытой части веб-сайта «Смарт-Софт». После импорта архива на устройство Traffic Inspector Next Generation запускается стандартная процедура обновления.

 

Результат сертификации Traffic Inspector Next Generation

В процессе проверки мы существенно повысили качество кода, добавили новые функции, повышающие безопасность и защищенность решения. У ФСТЭК России имеется полная уверенность в отсутствии закладок в программной и аппаратной части Traffic Inspector Next Generation FSTEC, подтвержденная документами испытательной лаборатории. Мы знаем, что в случае нарушения целостности программных модулей администраторы немедленно получат оповещения.

Сертификат Traffic Inspector Next Generation FSTEC

На время сертификации весь проверяемый код «замораживается» от внесения изменений. В результате сертифицированная версия Traffic Inspector Next Generation FSTEC «отстает» от актуальной версии продукта, поскольку каждое изменение кода требует повторной проверки ФСТЭК.

 

Польза сертифицированного решения

Traffic Inspector Next Generation получил сертификат соответствия требованиям ФСТЭК России «Профиль защиты межсетевых экранов типа А и Б четвертого класса защиты» ИТ.МЭ.А4.ПЗ и ИТ.МЭ.Б4.ПЗ. В соответствии с информационным сообщением ФСТЭК «Об утверждении Требований к межсетевым экранам» от 28 апреля 2016 г. No 240/24/1986 это обеспечивает возможность его использования:

  • в государственных информационных системах 1 класса защищенности,
  • в автоматизированных системах управления производственными и технологическими процессами 1 класса защищенности,
  • в информационных системах персональных данных при необходимости обеспечения 1 уровня защищенности персональных данных,
  • в информационных системах общего пользования II класса.

Сертификат ФСТЭК гарантирует, что каждый модуль защитного решения выполняет заявленные функции, а устройство в целом обеспечивает должный уровень безопасности.

На сегодняшний день Traffic Inspector Next Generation FSTEC успешно внедряется и работает:

  • в государственных учреждениях и предприятиях сфер образования, здравоохранения и культуры;
  • в органах власти РФ федерального, регионального и муниципального уровня;
  • в коммерческих организациях.

На сайте «Смарт-Софт» есть возможность оформить заявку на тестирование решения.

 

Выводы

Сертификация защитных решений — важная и нужная процедура. Благодаря ей производители решений получают подтверждение эффективности реализованной защиты, а покупатели — гарантию того, что получат заявленную функциональность.

Но безопасность не ограничивается бэкдорами и ошибками в коде. Каждый день появляются новые угрозы, и требуется оперативная доработка систем защиты для реакции на них. Промедление в таких ситуациях может обойтись очень дорого.

К сожалению, действующая процедура сертификации не предусматривает быстрой проверки обновлений уже сертифицированной версии защитного решения, предполагая, что каждое обновление потребует полного цикла тестовых процедур.

Мы не согласны с таким положением вещей и поэтому обращаемся к лаборатории с предложением разработать методику ускоренной ресертификации обновлений и доработок, которая позволила бы оперативно обновлять защитные решения, сохраняя полученный сертификат. Рассчитываем, что наши предложения будут приняты, и все разработчики сертифицированных решений получат возможность быстро реагировать на новые опасности.

Задать вопрос разработчику
Полезные ссылки: 
Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru