форум асутп
 На главную                       Здесь может быть Ваша реклама, подробнее...

здесь может быть ваша реклама

 Наверх  |  Перейти к теме  |  Поиск  |  Вход  |  Дерево    
 маршрутизатор ФСТЭК
Автор: indian 
Дата:   10.03.19 23:29

ищу Linux-based, лучше OpenWrt, маршрутизатор сертифицированный ФСТЭК.
Или сколько стоит сертификация такая?

Адрес этого сообщения    Ответить на это сообщение
 
 Re: маршрутизатор ФСТЭК
Автор: Vyatcheslav Perevalov 
Дата:   11.03.19 21:41

В Sun, 10 Mar 2019 23:29:19 +0300
indian <forumasutp@xxxxx.xx.xx> пишет:

> ищу Linux-based, лучше OpenWrt, маршрутизатор сертифицированный ФСТЭК.
> Или сколько стоит сертификация такая?
>

https://www.basealt.ru/products/alt-spt/
https://astralinux.ru/

Устанавливается на компьютер. Только правила iptables самостоятельно
писать придётся. Ну или нанимать кого.

Адрес этого сообщения    Ответить на это сообщение
 
 Re: маршрутизатор ФСТЭК
Автор: Ivanov Dmitry 
Дата:   15.03.19 10:14

А кто вам такие требования предъявил, именно на маршрутизатор? У нас дальше компьютера никто не смотрит. А то можно и к контроллерам прицепиться.
На компьютеры планируем установить ранее рекомендованную вам АСТРУ Линукс.

С уважением ,
Иванов Дмитрий ,
начальник лаборатории ОАО "Корпорация "ВНИИЭМ".

Адрес этого сообщения    Ответить на это сообщение
 
 Re: маршрутизатор ФСТЭК
Автор: Maksim_NT 
Дата:   15.03.19 10:35

Ivanov Dmitry писал(а):

> А кто вам такие требования предъявил, именно на маршрутизатор?

Заказчик не обязан предъявлять требования, смотреть
пункт 8 приказ ФСТЭК 31 от 14.03.2014 г.
Достаточно известить Подрядчика что объект попадает под КИИ ФСТЭК.

> У нас дальше компьютера никто не смотрит. А то можно и к контроллерам прицепиться.

Если меры необходимы  приказ ФСТЭК 235 и 239 2017 г., то использовать оборудование находящееся в Государственный реестр сертифицированных средств защиты информации N РОСС RU.0001.01БИ00.

Адрес этого сообщения    Ответить на это сообщение
 
 Re: маршрутизатор ФСТЭК
Автор: Ivanov Dmitry 
Дата:   15.03.19 11:13

Если я не ошибаюсь, мы на эту тему уже общались. Я, повторюсь, считаю, что, если таких требований в ТЗ нет - то и вопросов к разработчикам нет. В ваше терминологии "кто-то извещает Подрядчика, что объект  объект попадает под КИИ ФСТЭК". Кто извещает, каким образом - мне неясно. Или, если такие требования обязательны, их должен выдать гос.орган, занимающийся экспертизой проекта.
Мой вопрос адресован именно к автору поста.

С уважением ,
Иванов Дмитрий ,
начальник лаборатории ОАО "Корпорация "ВНИИЭМ".

Адрес этого сообщения    Ответить на это сообщение
 
 Re: маршрутизатор ФСТЭК
Автор: Ivanov Dmitry 
Дата:   15.03.19 12:01

Кстати, в этом документе ФСТЕК в самом начале есть интересный абзац, п.1 раздела 1:

"Настоящие Требования применяются в случае принятия владельцем автоматизированной системы управления решения об обеспечении защиты информации, обработка которой осуществляется этой системой и нарушение безопасности которой может привести к нарушению функционирования автоматизированной системы управления."

Если владелец автоматизированной системы (далее а.с.) такого решения не принимает, то что? В итоге мы вернулись к тому, что если в ТЗ от заказчика требований по защите информации по "варианту ФСТЕКа" нет, то "на нет и суда нет".

Информация, обрабатываемая а.с., должна делится на два типа:
 -  нарушение безопасности (это, кстати, что? нарушение целостности информации, ошибки в передачи или искажение исходной информации - это понятно. Нарушение безопасности - нет) которой приводит к нарушению функционирования а.с;
  - соответственно, не приводят.

Отсюда растет разделение а.с. на те, к которым эти требования относятся и на части эти а.с., к которым эти требования непосредственно применяются. И все остальные. И разделение это должно быть указано в каком документе? Ну например, структура деления а.с. на типы по отношению к информационной безопасности. А кто должен разрабатывать такой документ и на каком основании? Есть это требование записано в договоре, указано в перечне проектной документации - то все ясно. А если нет?

По моему, вся возня вокруг кибербезосности - очередная кормушка сертификаторов. Как-то все мутно. Таких проблем не возникает при выполнении требований на ЭМС, сейсмику и взрывозащиту, например.

Если действительно хотят обеспечить надежное функционирование а.с. в части контроля прохождения информации и контроля работы вычислительных средств а.с., то задача решается следующим образом:

1. Отделение а.с., выполняющие задачи управления от внешних систем. При необходимости передачи информации между а.с. управления и внешними системами использовать шлюзы, в которых жестко прописаны правила обмена информации: однонаправленная передача информации (только от а.с. управления вовне), разрешение на передачу по согласованному протоколу передачи и т.д.
2. Периодический контроль целостности ПО а.с. (по контрольным суммам).
3. Запрет на изменение ПО а.с. без выполнения определенных процедур: закрыты сторонние аппаратные порты, изменение ПО только с соответствующими правами, отключение автозапуска и т.д.
4. Сигнализация об изменении конфигурации аппаратной и программной части а.с.

Для всего этого ФСТЭК не нужен. Это общие требования на защищенность а.с. от ее несанкционированного изменения. Я могу купить наклейки ФСТЭКа хоть на все комплектующие, включая автоматические выключатели. Без внятной процедуры разработки, изготовления, проведения испытаний и экплуатации а.с. на соответствие конкретным требованиям в части защиты от несанкционированного изменения толка нет.

С уважением ,
Иванов Дмитрий ,
начальник лаборатории ОАО "Корпорация "ВНИИЭМ".

Адрес этого сообщения    Ответить на это сообщение
 
 Re: маршрутизатор ФСТЭК
Автор: Ivan Zhukov 
Дата:   15.03.19 12:14

> По-моему, вся возня вокруг кибербезопасности - очередная кормушка сертификаторов.

Я тоже так считаю.
Это распил денег на _имитации_ решения проблемы, которую решать уже давно поздно.
То есть на самом деле проблема не решается, но делается вид, что она решается,
и чьи надо сынули-роднули пристроены на теме.

Уже писал об этом здесь:
http://iprog.pp.ru/forum/read.php?f=1&i=64753&t=61956#reply_64752

Адрес этого сообщения    Ответить на это сообщение
 
 Re: маршрутизатор ФСТЭК
Автор: Maksim_NT 
Дата:   15.03.19 12:34

Ivanov Dmitry писал(а):

> Кстати, в этом документе ФСТЕК в самом начале есть интересный абзац  ...

В РФ действует федеральный закон от 26 июля 2017 г. N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации".

За нарушение закона есть ответственность:
- п.6 ст.13.12 КоАП
- ст.19.5 КоАП.
- ст.274.1 УК РФ.

Насколько помню. до 01.09.2019  ФСТЭК не планирует применять п.6 ст.13.12 КоАП,
но  на риск привлечения к уголовной ответственности по ст.274.1 УК РФ это не оказывает.

Собственники должны были предать данные данные для включения в реестр ФСТЭК ККИ до 01.08.2019.

Сотрудники ФСТЭК неоднократно озвучивали на конференциях и семинарах позицию, что сначала категорирование и внесение информации в реестр, а потом создание системы безопасности для значимых объектов КИИ.

О том существующий объект относиться к КИИ или нет возможно узнать двумя способами:
- посмотреть в реестре ФСТЭК (но отдельынй реестр ведет ФСБ),
- получить уведомление от Собственника.

А вот с вновь создаваемым объектом или находящимся на 01.08.2019 в процессе  строительства нет ясности, но (если правильно помню) в течении 10 дней  сначала эксплуатации информация должна быть направлена на включение в реестр ФСТЭК.

Адрес этого сообщения    Ответить на это сообщение
 
 Re: маршрутизатор ФСТЭК
Автор: Ivanov Dmitry 
Дата:   15.03.19 12:42

Короче, ждем опыт внедрения этих требований в жизнь. Будут требовать наши надзорные органы (к области надзора которых относится наша система) и генпроектировщик - будем думать (покупать наклейки. Потому что дальше наклеек о покупных сертификатов дело явно не пойдет). Не будет четких требований, в первую очередь, в ТЗ - думать будем о более полезных вещах.

С уважением ,
Иванов Дмитрий ,
начальник лаборатории ОАО "Корпорация "ВНИИЭМ".

Адрес этого сообщения    Ответить на это сообщение
 
 Re: маршрутизатор ФСТЭК
Автор: Maksim_NT 
Дата:   15.03.19 13:02

Ivanov Dmitry писал(а):

> Короче, ждем опыт внедрения этих требований в жизнь.

Один из жизненных примеров: замечание от Государственной экспертизы  в прошлом квартале - Hirschmann MACH100 не включен в реестр ФСТЭК.

Проект переделали на Cisco ASA 55хх, понесли сопутствующие затраты.

Адрес этого сообщения    Ответить на это сообщение
 
 Re: маршрутизатор ФСТЭК
Автор: Ivanov Dmitry 
Дата:   15.03.19 13:18

Проект автоматизации в какой отрасли, не подскажете?

С уважением ,
Иванов Дмитрий ,
начальник лаборатории ОАО "Корпорация "ВНИИЭМ".

Адрес этого сообщения    Ответить на это сообщение
 
 Re: маршрутизатор ФСТЭК
Автор: Maksim_NT 
Дата:   15.03.19 13:25

Ivanov Dmitry писал(а):

> Проект автоматизации в какой отрасли, не подскажете?

Нефтехимия.



  И, Да, бывает подготовленный Собственник и прописано в ТЗ даже
для техперевооружения ТЭЦ, например
https://b2b.sibur.ru/pages_new_ru/exchange/exchange_details.jsp?page=1&disp_status=0&id=314181&type=1

Адрес этого сообщения    Ответить на это сообщение
 
 Re: маршрутизатор ФСТЭК
Автор: indian 
Дата:   16.03.19 23:42

то что делает* оборудование вероятного противника Cisco ASA 55хх легко осуществляется на оборудовании стратегического партнёра стоимость 2000 руб. Весь вопрос в стоимости наклеек?


* 1. Отделение а.с., выполняющие задачи управления от внешних систем. При необходимости передачи информации между а.с. управления и внешними системами использовать шлюзы, в которых жестко прописаны правила обмена информации: однонаправленная передача информации (только от а.с. управления вовне), разрешение на передачу по согласованному протоколу передачи и т.д.

Адрес этого сообщения    Ответить на это сообщение
 
 Re: маршрутизатор ФСТЭК
Автор: Maksim_NT 
Дата:   17.03.19 06:55

indian писал(а):

> то что делает* оборудование вероятного противника Cisco ASA 55хх легко
> осуществляется на оборудовании стратегического партнёра стоимость 2000 руб.
> Весь вопрос в стоимости наклеек?

Нет. Сомнительное утверждение. Нет купленных наклеек на Cisco ASA 55хх, не в политики компании
Cisco коррупционные схемы.

Есть прошедшую сертификацию средств защиты изделие или ранее упоминавшиеся программные средства Альт Линукс и Astra Linux, что подтверждено испытаниями и внесением в Государственные реестр.


А Ваш стратегический партнер, за удивительно незначительную стоимость, кроме рекламы на коробке и слов "продажного" менеджера, возможно ни чем не обладает - возможно не сможет обеспечить достаточную защиты ККИ.

Адрес этого сообщения    Ответить на это сообщение
 
 Re: маршрутизатор ФСТЭК
Автор: indian 
Дата:   18.03.19 23:31

оборудование у стратегического партнёра достаточно надёжное, осталось только чтобы появился софт к нему с названием что-то типа АльтWrt или AstraWrt

Cisco ASA на каждый удалённый узел учёта к которому смог дотянуться оператор связи не поставишь, условия не те и бюджет питания на таком объекте критической инфраструктуры может быть очень ограничен.


Применение ASA это "из пушки по воробьям" надо ведь всего лишь обозначить две зоны файервола и пара правил между ними, остальной трафик отбросить, поднять линк к VPN. И всё.

Адрес этого сообщения    Ответить на это сообщение
 
 Re: маршрутизатор ФСТЭК
Автор: Vyatcheslav Perevalov 
Дата:   31.03.19 22:19

В Mon, 18 Mar 2019 23:31:39 +0300
indian <forumasutp@xxxxx.xx.xx> пишет:

> оборудование у стратегического партнёра достаточно надёжное, осталось
> только чтобы появился софт к нему с названием что-то типа АльтWrt или
> AstraWrt
>
> Cisco ASA на каждый удалённый узел учёта к которому смог дотянуться
> оператор связи не поставишь, условия не те и бюджет питания на таком
> объекте критической инфраструктуры может быть очень ограничен.
>
>
> Применение ASA это "из пушки по воробьям" надо ведь всего лишь
> обозначить две зоны файервола и пара правил между ними, остальной
> трафик отбросить, поднять линк к VPN. И всё.
>
Позвоните в Базальт. Я полагаю, там смогут заточить свой дистрибутив
под вашу wrt-железку. Или предложат ту, под которую уже заточено всё,
что нужно. Если я не ошибаюсь, Ваш первоначальный вопрос был в том
числе и про стоимость сертифицирования? В Базальте Вам помогут и с
сертификацией. Позвоните.

Адрес этого сообщения    Ответить на это сообщение
 Список форумов    


 Список форумов  |  Нужен логин? Регистрируйтесь здесь 
 Логин пользователя
 Имя пользователя:
 Пароль:
 Помнить пароль:
   
 Забыли ваш пароль?
Введите имя пользователя или e-mail, и новый пароль будет послан на email, указанный в вашем профиле.

Рейтинг@Mail.ru