Александр Вишняков
Руководитель проектов ООО «СМАРТ-СОФТ»
Окончил Московский институт инженеров железнодорожного транспорта. Прошёл программу повышения квалификации «Маркетинг и финансы» в Российской академии народного хозяйства и государственной службы.
Имеет внушительный опыт работы в области развития бизнеса, коммерции и управления проектами.
Импортозамещение остаётся главным стимулом развития отечественного рынка средств защиты информации. Сегодня мы поговорим о нише межсетевых экранов нового поколения (NGFW) и о свойствах, которые они приобретают после сертификации. Наглядным примером станет универсальный шлюз безопасности Traffic Inspector Next Generation (TING). Интересными деталями этой темы с нами поделился Александр Вишняков, руководитель проектов ООО «СМАРТ-СОФТ».
Мой первый вопрос касается цели прохождения сертификации. Зачем она нужна компании?
А. В.: На сегодняшний день это — одно из главных требований клиентов, особенно компаний с государственным участием, которым необходимо использовать средство защиты информации (СЗИ) с высоким уровнем доверия. Большую значимость она имеет для компаний, в которых установлены государственные информационные системы (ГИС) и автоматизированные системы управления технологическим процессом (АСУ ТП).
13 июля 2023 года компания «СМАРТ-СОФТ» получила сертификат ФСТЭК России № 4692, подтверждающий соответствие универсального шлюза безопасности Traffic Inspector Next Generation требованиям к межсетевым экранам типов «А» и «Б» четвёртого класса защиты, к системам обнаружения вторжений (СОВ) уровня сети четвёртого класса защиты, а также требованиям по безопасности информации, устанавливающим уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий, по четвёртому уровню доверия.
Полученный сертификат позволяет применять Traffic Inspector Next Generation для защиты информационных систем, не содержащих сведений составляющих государственную тайну, а также в ГИС первого класса защищённости и для систем с персональными данными по первому уровню защищённости.
Полученный уровень сертификации ФСТЭК России относится к типу высоких. Единственная ниша, которую он не охватывает, — информационные системы, в которых обрабатываются данные составляющие государственную тайну.
Наличие сертификата для межсетевого экрана прежде всего важно как требование законодательства или как внутренняя потребность заказчиков?
А. В.: Компании с государственным участием стараются устанавливать у себя, как правило, только те СЗИ, которые имеют сертификат ФСТЭК России. Коммерческие структуры более свободны в своем выборе, но и они нередко спрашивают о наличии такого сертификата.
Для нас как вендора основная цель прохождения сертификации — это расширение портфеля клиентов, которым необходимы сертифицированные межсетевой экран и СОВ для защиты от несанкционированного доступа к локальной сети. Многие из них фактически рассматривают наличие сертификата ФСТЭК России как «знак качества» продукта.
Мы очень серьёзно относились к вопросу получения сертификата. Вместе с испытательной лабораторией проделали большую работу, чтобы успешно пройти независимое тестирование для подтверждения высокой надёжности TING и нашей ответственности как разработчика.
Каким организациям требуются сертифицированные межсетевой экран и СОВ?
А. В.: В соответствии с законами № 436-ФЗ («О защите детей от информации, причиняющей вред их здоровью и развитию»), № 149-ФЗ («Об информации, информационных технологиях и о защите информации»), № 152-ФЗ («О защите персональных данных») и № 187-ФЗ («О безопасности критической информационной инфраструктуры Российской Федерации»), использование технологий межсетевого экранирования предписано учебным заведениям, медицинским учреждениям, музеям, библиотекам и другим публичным местам, а также МФЦ, министерствам, госорганам, государственным предприятиям и организациям, в том числе связанным с эксплуатацией объектов критической информационной инфраструктуры (КИИ).
Сертифицированные межсетевые экраны и системы обнаружения вторжений должны применяться для обеспечения безопасности государственных информационных систем, информационных систем персональных данных и систем общего пользования, а также автоматизированных систем управления. В зависимости от класса защищённости таких систем устанавливаются нормы по типам и классам СЗИ, применяемых в них. Например, сертифицированную ФСТЭК России версию Traffic Inspector Next Generation можно применять в значимых объектах КИИ 1-й категории, государственных информационных системах, автоматизированных системах управления производственными и технологическими процессами, информационных системах персональных данных до 1-го класса защищённости включительно, а также в информационных системах общего пользования 2-го класса.
Вы сертифицируете TING впервые или повторно?
А. В.: Первый сертификат мы получили в 2017 году. Срок его действия истёк в декабре 2020 года. В начале 2021 года мы подали заявление на проведение повторной сертификации нашего продукта.
Фактически, мы занимались вопросом получения нового сертификата два полных года. За это время была проведена разработка нескольких методик испытаний продукта и анализа уязвимостей. Все взаимодействия осуществлялись с испытательной лабораторией, назначенной ФСТЭК России.
По каким классам защиты получен сертификат ФСТЭК России 2023 года?
А. В.: Да, это — важный вопрос. Имеет значение не просто сертификация, а список классов, по которым она проводилась.
Новый сертификат подтверждает соответствие продукта требованиям к межсетевым экранам типов «А» и «Б» 4-го класса защиты, ориентированным на программную и аппаратную защиту ИТ-инфраструктуры организации по её физической или логической границе. Также у Traffic Inspector Next Generation добавилось подтверждение соответствия требованиям к системам обнаружения вторжений уровня сети 4-го класса защиты.
Для выполнения условий безопасности, указанных в нормативных документах ФСТЭК России, также были проведены сертификационные испытания на соответствие требованиям по безопасности информации, устанавливающим уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий, по 4-му уровню доверия.
Есть ли уже ссылка на официальный документ о получении сертификата?
А. В.: Да, конечно. Информация об этом размещена на официальном сайте ФСТЭК России. Для проверки необходимо ввести в поисковой строке номер нашего сертификата — 4692.
Изменились ли подходы ФСТЭК России к сертификации за прошедшие пять лет? Как это отражается на продуктах для пользователей?
А. В.: Приказ ФСТЭК России № 55 от 2018 года принципиально изменил «правила игры». Он серьёзно ужесточил процедуру получения сертификатов, особенно для продуктов на самый «ходовой» уровень доверия, к числу которых относится и TING.
Нам пришлось, соответственно, заново разрабатывать порядка трёх десятков документов, включая методики проведения тестирования.
Расскажите подробнее о самом продукте Traffic Inspector Next Generation, получившем сертификат.
А. В.: Универсальный шлюз безопасности Traffic Inspector Next Generation — флагманская разработка компании «Смарт-Софт». Он обеспечивает защиту корпоративной сети от внешних угроз, позволяет организовать контролируемый доступ пользователей в интернет, а также мониторинг их сетевой активности. В арсенале продукта — NGFW, IDS / IPS, шлюзовый антивирус, веб-прокси, глубокая инспекция пакетов, VPN-сервер, инструменты приоритизации трафика и управления пропускной способностью интернет-доступа, средства мониторинга, отчёты, кластеризация, единый центр управления безопасностью географически распределённых сетей, а также многое другое.
Помимо базовой функциональности TING оснащён рядом дополнительных модулей, среди которых — средства контентной фильтрации и многофакторной аутентификации.
Почему сертифицированные продукты называют более надёжными? Ведь при сертификации не ставится задача найти ошибки в коде и логике работы продуктов.
А. В.: При сертификации проводятся проверки правильности работы продукта в различных условиях эксплуатации. Одна из наиболее ответственных проверок — фаззинг-тестирование. Её смысл состоит в том, что на вход программы подаются неправильные, неожиданные или случайно подобранные значения, что является хорошим способом выявления скрытых ошибок, о существовании которых часто не подозревают.
Вызовом в процессе сертификации TING стало то, что в основе продукта лежит операционная система FreeBSD с открытым исходным кодом. Сложности возникли ещё на этапе разработки методик по проверке программного кода, поскольку требования сертификации обязывали провести не только испытания программного продукта, но и фаззинг-тестирование кода самой ОС FreeBSD.
По каждому процессу мы готовили отдельную методику: фаззинг-тестирования, статического анализа, тестирования на проникновение, экспертизы исходного кода. Благодаря всестороннему тестированию, прошедший сертификацию продукт TING действительно подтверждает свою высокую надёжность.
Вы сертифицировали не только программное, но и программно-аппаратное решение TING. Расскажите об этом более подробно.
А. В.: Да, выбор аппаратного решения вызывает сейчас у заказчиков много вопросов из-за неопределённости с поставками комплектующих. Для нас этот вопрос также был в числе требующих повышенного внимания.
Первоначально мы собирались выходить на сертификацию TING с определёнными аппаратными комплектациями. Но потом вмешался его величество случай, и поставки выбранных нами аппаратных платформ приостановили на неопределённое время. Нам пришлось искать альтернативные варианты. В итоге мы выбрали самое подходящее и совместимое с нашим программным продуктом оборудование — платформы от компании «Аквариус».
Накладывает ли сертификация дополнительные требования со стороны ФСТЭК России на используемые аппаратные средства?
А. В.: Аппаратные платформы, на основе которых делаются наши ПАК, обязательно должны быть внесены в реестр Минпромторга (оборудование должно содержать не менее 30 % комплектующих российского производства).
Traffic Inspector Next Generation разработан на базе FreeBSD. Как выяснилось, не все аппаратные платформы поддерживают в полном объёме эту операционную систему. Поэтому мы сами очень тщательным образом подходили к выбору оборудования, на котором будет установлено наше решение.
Если мы предлагаем клиенту программно-аппаратный комплекс, на который установлен наш программный продукт, то можно быть твёрдо уверенным в надёжности такого решения.
Требования ФСТЭК России носят универсальный и поэтому усреднённый характер. Встречаются ли заказчики, которые предъявляют дополнительные требования, выходящие за эти рамки?
А. В.: Требования ФСТЭК России — это как правила дорожного движения: компании с государственным участием обязаны использовать только те СЗИ, которые соответствуют вышеупомянутым требованиям.
Для коммерческих клиентов не всегда важно наличие сертификата ФСТЭК России. Например, недавно к нам обращался крупный коммерческий банк, которому требовалась только система обнаружения и предупреждения вторжений.
Повышает ли сертификация конечную цену продукта?
А. В.: Как правило, сертифицированная версия продукта дороже. Разница составляет 20–25 процентов. Для справки, процесс сертификации стоит миллионы рублей. Здесь следует учесть также и два года работы персонала, ушедшие на подготовку методик, и дополнительные расходы на аутсорсинг.
Нашим клиентам мы предлагаем надёжное СЗИ четвёртого уровня доверия, что будет подтверждаться документом ФСТЭК России.
Есть ли у заказчиков варианты оптимизации бюджета на закупку сертифицированной версии TING?
А. В.: Если заказчик попадает в льготную категорию, то он может приобрести сертифицированную или базовую версию ПО Traffic Inspector Next Generation на 15 % дешевле. Для заказчиков, которые мигрируют на Traffic Inspector Next Generation FSTEC с аналогов, мы предоставляем скидку на ПО в размере 30 %.
Теперь вы как вендор имеете богатый опыт не только разработки, но и сертификации продукта. Как вы оцениваете полезность этого механизма для рынка?
А. В.: Применение сертифицированных продуктов является обязательным для отдельных заказчиков вследствие требований со стороны регулятора.
В то же время наглядный пример с Traffic Inspector Next Generation FSTEC показывает, что прохождение вендором всех этапов сертификации гарантирует заказчику высокую надёжность продукта и подтверждает состоятельность разработчика.
Большое спасибо за содержательное интервью! Разрешите пожелать вам дальнейших успехов, а нашим читателям — как всегда, всего самого безопасного!
