11 мая 2012

Сертифицированные межсетевые экраны (часть 2)

Все новые посты на ZLONOV.RU


В прошлом обзоре сертифицированных межсетевых экранов (напомню, что отбираем только присутствующие в реестре ФСТЭК изделия, сертифицированные серией или крупной партией по требованиям соответствующего руководящего документа ФСТЭК) мы остановились на продукте «ИВК Кольчуга».

Итак, судя по описанию на сайте, ИВК Кольчуга представляет собой «программный комплекс, управляемый специально разработанной операционной системой на базе дистрибутива Linux». На практике в моём понимании это обозначает примерно следующее: взяли дистрибутив Linux, накатили нужные пакеты и сертифицировали. Что-то подобное сделал и АльтЭль, только там сразу ещё и аппаратная платформа поставляется.

Согласно записям в реестре, ИВК Кольчуга была сертифицирована в 2005 году в двух вариантах: обычном и «ИВК Кольчуга-К». Не знаю как тогда, а сегодня эти варианты предназначены для работы с гостайной и для обработки конфиденциальной информации соответственно. Каждого варианта было сертифицировано по 500 экземпляров (читай – дисков), но уже в 2006 то ли закончились сертифицированные диски, то ли потребовалась сертификация по НДВ (т.е. на отсутствие недекларированных возможностей), но для ИВК Кольчуга был получен очередной сертификат ещё на 500 экземпляров и уже с НДВ. Следующая сертификация была завершена только в августе 2011 года, но теперь уже сертифицирована была серия.

В целом, если посчитать число месяцев (с ноября 2005 по август 2011) и число сертифицированных экземпляров (500+500+500), то самый оптимистичный уровень продаж получается около 20 штук в месяц, что, конечно, совсем мало. Не удивительно, что до написания этого обзора про ИВК Кольчуга я вообще не припомню, чтобы слышал.
Далее в реестре следует великое множество просроченных уже сертификатов на 1-2 (реже - больше) устройств Cisco PIX на МЭ3/МЭ4 но, естественно, без НДВ. Видимо, на этот период (2005-2006 гг) как раз приходится начало экспансии компании Cisco в госучреждения.

Почему «естественно» без НДВ? Дело вот в чём. Сертификация по НДВ означает выполнение требований другого руководящего документа ФСТЭК: Руководящий документ. Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей. Четыре уровня контроля (от низшего четвёртого до высшего первого), придуманные ещё в 1999 году, призваны с разной степенью уверенности давать гарантию отсутствия в программном обеспечении (в том числе в прошивках аппаратных устройств) всяческих закладок, чёрных ходов и пр. Такие проверки подразумевают открытие исходных кодов в том или ином объёме. Вот здесь-то и кроется важное конкурентное преимущество российских разработок: крупные мировые компании с большой неохотой идут на предоставление своего исходного кода нашим с вами коллегам из испытательных лабораторий, опасаясь за свою коммерческую тайну и ноу-хау. Отечественным же вендорам, часто вчистую сдувающим разрабатывающим свои продукты на основе открытых (open-source) операционных систем и прикладных пакетов, скрывать особо нечего. Их «ноу-хау» часто заключается в лоббистских возможностях и коррупционных схемах, а вовсе не в уникальных технологиях.

Ну, да мы немного отвлеклись. Следующий сертифицированный межсетевой экран, подпадающий под заданные критерии – Cisco PIX 501. Сертификат №1247/1, выданный на их серию заявителю ЗАО "АМТ-Груп", будет действовать ещё до июля 2013 года, да вот только все PIX’ы давно уже сняты с продаж и поддержки, так что введём ещё один критерий – «немёртвость» сертифицированного межсетевого экрана. Хотя, к сожалению, не всегда сразу можно понять реальную судьбу продукта, особенного отечественного. Некоторые вендоры до последнего не убирают описание с сайта в надежде, видимо, кому-нибудь да продать залежалый товар. Но в случае с Cisco всё проще: снят с продаж обычный PIX, так что и сертифицированного уже не купить, поэтому пропускаем Cisco PIX 506, 515, 525, 535 и добираемся до Cisco ASA.

Ещё в далёком 2007 году всё та же компания АМТ-Груп сертифицировала как серии три межсетевых экрана Cisco: ASA-5510, 5520 и 5540 по классу МЭ4 и на соответствие ТУ. Строго говоря, МЭ4 – это потолок, если не раскрывать исходные коды, но, судя по реестру, иногда поставщикам Cisco удавалось находить какие-то компромиссы и получать сертификаты без НДВ, но «по 3 классу для МЭ при ограничениях» или «по 3 классу в соответствии с РД МЭ при ограничениях в ТУ». Вообще, Cisco ASA, похоже, рекордсмен по числу сертификатов. Многие сертифицировали «под проект» собственные «АСЫ» либо не желая платить «монополисту» АМТ, либо в случае потребности в других, менее ходовых, версиях, например, 5505 или 5580. Чуть позже (в 2009-2010) АМТ сертифицировала и другие ASA, став, похоже, окончательным монополистом. Только у Kraftway есть ещё серийный сертификат на 5510, а всего по состоянию на сегодня действуют 7 сертификатов на серии Cisco ASA. Все они представлены в таблице.


Изображения: http://pixs.ru/showimage/x21549c31j_9498348_3653128.jpg

Все новые посты на ZLONOV.RU