Enterprise Mobile Security Forum 22-25.05.2012Спасёт ли сертификация?
Часто сертификацию средств защиты и шифрования преподносят как средство защиты российских производителей от конкуренции международных компаний. Причем в это верят, похоже, как российские так и международные компании. В частности, недавно Алексей Лукацкий, эксперт компании Cisco, написал в своём блоге пост "Куда дует ветер перемен", где предположил, что скорое принятие закона о поправках в ФЗ-152 имело целью спасти загибающихся российских производителей средств защиты. Давайте попробуем разобраться в этом вопросе.
Сертификация средств защиты уже некоторое время действует в том числе и в рамках ФЗ-152, и из этого процесса можно сделать определенные выводы. В частности, что иностранные производители средств защиты вполне могут пройти процедуру сертификации. За примерами не нужно далеко ходить - несколько производителей средств защиты, такие как Eset, Stonesoft, Trend Micro ну и конечно же Microsoft вполне успешно прошли эту процедуру по требованиям ФСТЭК. И теперь они имеют сильное преимущество над другими иностранными компаниями по сертификации, а над российскими - по функционалу. Некоторые могут заметить, что сертификация в ФСБ более строгая и уж туда-то точно не пустят иностранные компании, однако и это не совсем так. Процедуру сертификации криптоалгоритмов не могут пройти средства криптографической защиты, построенные на иностранных алгоритмах. Если же производитель соглашается использовать российское шифрование, то и такая сертификация вполне может быть получена. Примером этому является сертификация по требованиям ФСБ нескольких продуктов Check Point и модулей для маршрутизаторов Cisco.
Следует отметить, что именно иностранным компаниям проще пройти сертификацию. Дело в том, что она требует определенных финансовых ресурсов, которых у наших компаний и так не много. В то время как иностранные компании подобные ресурсы вполне имеют. Например, компания Intel вполне может покрыть расходы по сертификации из маркетингового бюджета, в то время как, например, для "Крипто Про" расходы на сертификацию могут быть сравнимы с годовым доходом.
К тому же сертификация - это способ продавать устаревшие продукты. Примером может служить продукт Aladdin-RD под названием Secret Disk. Когда выпускалась версия этого продукта с индексом 4.5, то сертифицированный продукт по прежнему был с версией 3, и он на тот момент пользовался спросом. Аналогичто, и маршрутизаторы компании Cisco (именно они чаще всего встречаются в базе сертифицированных продуктов) также сертифицируются не последних версий. Это можно понять - процедура длиться какое-то время, но зато потом может продаваться достаточно долго. То есть сертификация может служить определенной гарантией того, что данная версия продукта будет ещё долго востребована и её можно производить более крупной партией, то есть дешевле.
В результате, сертификация для иностранных компаний - это способ продавать больше на российском рынке причём не самых свежих продуктов. И это называется защита российского производителя?
Теперь немного конспиралогии - для чего же на самом деле ФСБ так упортно тянет сертификацию в ФЗ-152? Ответ, что для защиты российского рынка - критики не выдерживает. Тогда зачем? Есть мнение, что российские спецслужбы умеют раскрывать данные, зашифрованные ГОСТом. Связано это с теорией шифрования с лазейкой, которая предполагает такое формирование блока перестановок, которое достаточно сильно упрощает раскрытие шифра. В то же время в процедуре сертификации блок перестановок (так называемый долговременный ключ) формируется сотрудниками спецслужб, что наводит на мысль... Таким образом, требуя внедрения сертифицированных средств шифрования ФСБ просто хочет исполнять свою функцию - знать всё про граждан своей страны. Беда только в том, что как раз основные утечки персональных данных, похоже, инициированы как раз ФСБ, но кто их проверит на соблюдение требований ФЗ-152?
Очевидно одно - причины, по которым поправки к закону приняли в такой спешке могут быть и не очевидны для простых пользователей и даже специалистов. Чего же на самом деле добились спецслужбы покажет время.
Если вы заметили ошибку, выделите необходимый текст и нажмите Ctrl+Enter, чтобы сообщить об этом редакции 
Автор блога
Статус
обозреватель
О себе
Это продолжение блогов, которые я вел в течении некоторого времени на разных сайтах. Предыдущие блоги можно найти по адресам http://blogs.osp.ru/users/czerro и http://myblog.osp.ru/blogs/czerro/.
Комментарии
На лицо тотальное непонимание автором статьи процедуры и стоимости сертификации и рынка ИБ в целом. Особенно позабавил тезис "например, для "Крипто Про" расходы на сертификацию могут быть сравнимы с годовым доходом". Т.е. исходя из этого ]]>отчета]]>, сертификация должна стоить ну никак не меньше 450 млн,, ага :)
Сравните с требованиями по продаже за границу средств шифрования в америках. У них тоже она есть.Правда они не лезут в код и стоимость вопроса порядка тысячи долларов и бумагонасыщенность этого процесса меньше..
Разница как Вы правильно заметили не в сути, а в содержании. Западная Сертификация полностью прозрачна и понятна, наша - тоже полностью прозрачна и понятна, точнее в ее вещественно-денежной составляющей
вы видимо не знаете сколько стоит сертификация на CC и какие последствия от этого . Тогда бы не говорили про то что тут товарно денежные . Сначала выясните сколько стоит западная ....
ПО поводу статьи . Промелькнула фраза - сертифицировались решения циско и чекпоинта по ФСБ .
Покажите сертификат чекпоинта ФСБ плиз?
Я прекрасно знаю сколько стоит сертификация CC. А теперь сравните объемы рынка ИБ на Западе где CC нужна и котируется, и в России, где сертификация носит весьма виртуальный характер и ничего пользователям на самом деле не гарантирует. А стоимость ее не сильно-то ниже CC, особенно если мы говорим о НДВ
А кто-нибудь из Российских производителей прошёл сертификацию по CC на Западе? Ну, и у кого из них приференции?
во первых совершенно неграмотно говорить, что чекпоинт тоже может пользоваться сертификатом фсб. Это не так.
как говориться учите матчасть.
Во вторых, а зачем российским вендорам проходить СС ? Если ни у кого нету даже желания выходить за пределы России?
Ну потуги в Украине и Казахстане не в счет.
В этом просто нет необходимости.
ВО вторых СС сертификация нужна очень узкому кругу госорганизаций в США и очень маленькому кругу организаций в Европе.
остальным до лампочки . Кстати и сертификация как правило интересует только межсетевых экранов.
Гость - незачёт по ФЗ-152.
что про ФЗ 152 ? о нем речи вроде не было ? между строк что то прочитали?
Это про сертификацию только межсетевых экранов. Сертификация нужна всей защиты, в том числе и антивирусов, и IPS, и даже хонипотов.
А вот у меня мнение несколько другое:
Крайне полезна сертификация на НДВ, она хоть как-то гарантирует отсутствие левых возможностей, бекдоров и так далее. И если у производителя нет данного сертификата, то это наводит на определенные мысли. Кстати, а есть ли аналоги иностранной сертификации нашим НДВ? Это EAL?
ну во первых возьмите документ ФСТЭК про НДВ и почитайте что там гарантируется на какой класс. Например на 4 класс - есть бравые лаборатории , которые сертифицируют не глядя на исходники ..... имена называть не буду. Наличие бекдоров не ищется в принципе . Если сможете ознакомиться с функционалом например АИСТа (одно из сертифицированных средств анализа - очень устаревшее), то сможете понять , что смотрится в основном переполнение буфера и некоторые потенциально опасные конструкции.... хоть какая то гарантия - ну она какая то в основном и есть. в рамках сертификации СС смотрятся исходники по сходному принципу.
Как и на НДВ, так и по общим критериям есть несколько уровней сертификации. Есть исследование "черного ящика", когда исходники не нужны, но это сертификат минимального уровня. А есть исследования исходных текств с самостоятельно сборкой и даже динамическими тестами. Это уже высокие уровни: от 1Г по НДВ и EAL4 по общим критериям.
Отсылки к объемам запада тут не причем совсем. Если у симантика плохо с продажами в России это не распространяется на других. Объем исследований и разные смешные вещи сертификации чрезвычайно похожи. Даже документы похожие делаются .
Сертификация СС там тоже носит очень виртуальный характер.
И та сертификация также ничего не гарантирует . Зачем ерунду говорить ?
Насчет стоимости НДВ - ну объем такойже .... а насчет цены - вам опять видимо не повезло ? Или стоит присмотреться к тому кто у вас занимается сертификацией ?
Добрый день."Примером этому является сертификация по требованиям ФСБ нескольких продуктов Check Point и модулей для маршрутизаторов Cisco."заинтересовала вот эта фраза . А можно дать ссылку на сертификат ФСБ чекпоинта ? В ФСБ ответили что чекпоинт не имеет ни одного сертификата.
Check Point встроила в свой продукт шифробиблиотеку от "Крипто Про". Сертификат выдан, естественно, "Крипто Про", но пользоваться им могут в том числе и клиенты Check Point.
Кстати чекпоинт ничего не встраивал . Так для информации.
Это делало криптопро ......
"Сертификат выдан, естественно, "Крипто Про", но пользоваться им могут в том числе и клиенты Check Point."
ну налицо полная безграмотность в отношении криптографии.
в статье написано что Чекпоинт проходил сертификацию = а это уже фальсификация. Сертификат крипто про распространяется в соответствии с законом только на криптопро ....
В сертификатах криптопро не написано ничего про чекпоинт - если не понимаете ничего в законодательстве - не надо писать .
Check Point встроила в свой продукт шифробиблиотеку от "Крипто Про". Сертификат выдан, естественно, "Крипто Про", но пользоваться им могут в том числе и клиенты Check Point.
Подскажите, пожалуйста, а сертификат на пресловутую "корректность встраивания" криптобиблиотеки Check Point получил?
Вынужден категорически не согласиться. Большинство западных ИБ вендоров в России прозибают фактически на уровне нулевой рентабельности, и сертификация для них подчас весьма накладный, долгий и непростой процесс. Именно в связи с этим на российском рынке фактически создаются преференции для отечественных продуктов ИБ, которые в большинстве случаев на являются современными и адекватными с точки зрения функциональности. В большей степени это касается продуктов по шифрованию, но и в той или иной степени и всех других
Но если компания сумела преодолеть этот барьер, то он начинает работать на неё - у нее также образуются преференции. Это не поддержка российского производителя, а поддержка компаний, которые адаптированы к российским реалиям. Ну, кто не адаптировался - тогда да...
А вот опять же не факт. Единицы примеров когда для Западных ИБ вендоров это стало преференцией, и десятки - когда нет. Поверь мне ;)
Оставить комментарий »