Товарищ, бди

Памятка сотруднику ИБ-службы при получении дистрибутивов сертифицированных решений

«АйТи Бастион» дважды получал сертификат на своё решение СКДПУ. Последний раз – осенью 2022 года после почти годовой работы с регулятором, лабораториями и документами. В компании сформировался мощный отдел профессионалов – технических писателей. Эти люди не просто говорят на одном языке с регуляторами, они понимают и даже чувствуют нормативные документы.

Сейчас рынок российского ИБ переживает непростые времена. Одни вендоры ушли насовсем, другие в том или ином виде остались, третьи пришли, четвертые решили получать сертификаты регуляторов для освоения новых «полей». Никоим образом не сомневаясь в тщательности работы лабораторий и регуляторов, осмелимся всё же дать несколько советов тем заказчикам, которые приобретают или берут «на пилот» «свежесертифицированные» решения.

 

На что обратить внимание?

При получении дистрибутива могут возникнуть вопросы к производителю, если:

  • при получении дистрибутива обнаруживаются какие-то пакеты, суммы которых не указаны в формуляре. Контрольные суммы файлов должны быть указаны в формуляре.
  • в формуляре отсутствуют контрольные суммы каких-либо файлов, при этом нет никаких пояснений по этому поводу.
  • какая-то часть на дистрибутиве преподносится заказчику как сертифицированная, а другая идет вроде бы как поддержка сертифицированного решения.

 

Каждая из этих ситуаций свидетельствует о том, что с дистрибутивом или с продуктом что-то не так.

Вопрос «Как такое может быть?» — нужно задать вендору и получить на него развернутый ответ.

Потому что контрольные суммы исполняемых файлов на дистрибутиве,  которые разворачиваются на стороне сервера или ПК, должны совпадать с тем, что заявляет поставщик ПО. Если контрольные суммы не совпадают, то тут что-то не так. Развернув решение, необходимо удостовериться, что контрольные суммы исполняемых файлов соответствуют контрольным суммам, которые заявлены в эксплуатационной документации ПО. В течение периода эксплуатации эти файлы не должны изменяться, что должно подтверждаться периодическим контролем.

Что касается сертифицированных и несертифицированных частей на одном дистрибутиве, то тут нужно понимать – целостность всего, что идет в комплекте поставки, должна быть подтверждена. Все, что заливается на диск в дистрибутиве (неважно, выполняет оно функции безопасности или нет) и заявляется как сертифицированный дистрибутив – и должно быть сертифицированным дистрибутивом. Без разночтений и оговорок. Все, что записано на диске, считается составными частями продукта, и все сертифицировано.

 

Что делать?

Если одна из вышеперечисленных ситуаций всё же произошла, и дистрибутив вызывает вопросы и сомнения, то действия довольно просты.

Первое – получить разъяснения у производителя ПО.

Второе – при возникновении малейших подозрений не эксплуатировать продукт, особенно в боевом режиме и на критической инфраструктуре.

Коллеги, будьте бдительны!