вторник, 2 июля 2013 г.

Анализ документа RISSPA по проблемам выбора СЗИ для виртуализированных инфраструктур


Санкт-Петербургское отделение ассоциация профессионалов в области информационной безопасности RISSPA подготовило и опубликовало брошюру «Проблема выбора средств защиты информации для виртуализированных инфраструктур». Ознакомится с информационным сообщением и самой брошюрой можно на сайте RISSPA.

К сожалению, в документе есть ряд недостатков, о которых и хотелось бы написать.

Вводная часть документа выполнена неплохо, касаемо угроз виртуальной инфраструктуре, лучшими материалами по этой теме является корпоративный пост компании КРОК на Хабре и обзор на нашем сайте. Но, в целом, основные моменты указаны и в брошюре RISSPA.

Главная идея по защите виртуализации также отражена правильно:
 "Надежную систему защиты виртуализированной инфраструктуры необходимо строить сразу в нескольких направлениях: одновременно применять защитные механизмы, встроенные в платформу виртуализации, специализированные средства защиты, а также те средства защиты,которые уже используются в инфраструктуре компании."
Не забыли упомянуть и о разных классах средств защиты, но когда речь зашла непосредственно о СЗИ - всё смешалось в одну кучу, затруднив восприятие информации. В таблице, в которой перечислены средства защиты и выполняемые ими базовые меры, много несоответствий.Так, например, Cisco ASA 1000V являясь классическим межсетевым экраном ASA, адаптированным для виртуальной инфраструктуры, согласно таблицы  RISSPA обладает функциональностью по идентификация и аутентификация субъектов и объектов в виртуальной инфраструктуре, управляет перемещением виртуальных машин, контролирует целостность конфигурации и осуществляет резервное копирование данных. Аналогичная ситуация и с многими другими указанными в таблице СЗИ.  Конечно, в документе указано замечание, что таблица составлена на основе информации, предоставленной разработчиками средств защиты и разработчики ставили отметку, даже если средство "может участвовать в выполнении технической меры" или "может поддерживать выполнение технической меры", но это откровенное лукавство.

Отдельного внимания заслуживает и следующая фраза из брошюры:
"Необходимость использования сертифицированных средств защиты информации по-прежнему остается одним из самых спорных вопросов"
Ответ на этот вопрос совершенно однозначный, но почему-то эксперты продолжают считать его спорным.

Если рассматривать брошюру  RISSPA в целом - проделана хорошая работа по обобщению разрозненной информации и сделан еще один шаг в сторону популяризации необходимости защиты виртуальной инфраструктуры. Кроме того, теперь мы можем добавить новый значок в презентацию по vGate:

В ближайшее время я подготовлю статью со своими рекомендациями по выбору средств защиты виртуализации, подписывайтесь на обновления блога по RSS, читайте меня в Twitter.

6 комментариев:

  1. Иван, а поправьте ссылку на "совершенно однозначный ответ". Очень хочется посмотреть.

    Из основных, сейчас требования к наличию сертифицированного СЗИ прописано только в Приказе 17. Или есть еще какие-то НПА?

    ОтветитьУдалить
  2. Если Вы про ссылку про Приказ 21, то откомментирую туда

    ОтветитьУдалить
  3. Спасибо, Андрей. Ссылку исправил.

    ОтветитьУдалить
  4. Сначала увидел на DLP-expert, отписался туда. Дублирую:

    Добрый день, Иван. Попробуйте чуть более глубоко покопать тему. В частности посмотрите 184-ФЗ "О тех.регулировании", если есть доступ, то Постановление Правительства 330 и пр. Много полезной информации есть в материалах Лукацкого (искать по тегу "оценка соответствия") и у Волкова.

    02.07.13 - Прозоров Андрей
    Из более конкрентых рекомендаций: Для ИСПДн необходимо использовать СЗИ, прошедшие оценку соответствия. Ну, а для "госов" рекомендую всеже ориентироваться именно на оценку соответствия в форме сертификации.

    ОтветитьУдалить
  5. Давайте общаться на DLP-expert, написал Вам там ответ.

    ОтветитьУдалить
  6. 266-е Постановление Правительства распространяется ТОЛЬКО на средства защиты, предназначенные для эксплуатации в загранучреждениях

    ОтветитьУдалить