ФСТЭК не требует сертификацию МСЭ и СОВ для КИИ

Согласно Постановлению Правительства Российской Федерации от 08.02.2018 г. № 127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений» субъекты КИИ обязаны самостоятельно категорировать принадлежащие им объекты в зависимости от масштаба возможных последствий объекту КИИ.

Количество объектов КИИ, зависит от решения самих организаций. Каждому объекту КИИ присваивается одна из трёх категорий значимости или устанавливается отсутствие необходимости присвоения категории. У субъекта КИИ может не быть объектов КИИ, подлежащих категорированию или каждый объект КИИ может быть незначимым.  Принятие решения о категории объекта КИИ проходит на основании моделирования угроз. Первая цель всего процесса - подготовить акт категорирования объекта КИИ. Более подробно есть у Евгения Царева.

Итак, у вас есть "Акт категорирования объекта КИИ", который подписан членами комиссии и утвержден руководителем субъекта КИИ. Нужно защищаться, и вопрос возникает нужны ли сертифицированные продукты или нет.

Самый простой случай - нет объектов КИИ или они все незначимые - никаких требований нет у правительства или ФСТЭК к ним, поэтому вы защищаете свою компанию как обычно, любыми доступными средствами соблюдая due diligence и due care. То есть сертификацию никто не требует.

Рассмотрим самый сложный случай: вас угораздило найти у себя значимый объект КИИ,  тогда нужно читать 239 приказ ФСТЭК или полное название: приказ ФСТЭК от 25.12.2017 №239 «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации».

В 28 пункте 239 приказа написано, что есть два способа оценки соответствия продукта: сертификация и испытания (приемка). То есть снова сертифицированные устройства, такие как, МСЭ или СОВ не требуются даже для значимых объектов КИИ. Достаточно провести испытания, которые, вы наверняка и так проводите во время пилота оборудования и подписать акт о проведенных испытаниях.

Тестирование стабильности NGFW

Я был удивлен, когда услышал, что один из производителей рекомендует перезагружать свой firewall раз в 2-3 месяца. Как часто нужно перезагружать ваш NGFW? И почему?

В любом софте, который работает у вас в компании есть баги. Они всплывут, вопрос во времени.  Посмотрите в top 50 производителей на CVE details. Посмотрите, среди них есть производители по безопасности, которых вы тоже используете. У всех есть и будут уязвимости. А уязвимость чаще всего это именно баг в софте. 

https://www.cvedetails.com/

Есть еще баги, которые влияют на производительность и стабильность. Насколько быстро вылезают баги, влияющие на стабильность?

В NGFW все больше и больше функций. И писать идеально код человечество не научилось. Что делать конечному пользователю? В текущей ситуации мы часто используем более старые версии программного обеспечения, потому что в них меньше багов. Все новые версии программного обеспечения чаще всего сырые и производители сами же не рекомендуют ставить. Установка новой непротестированной версии в продакшн - серьезная авантюра для бизнеса. Нам должно быть неважно, что трафик может внезапно перестать ходить на какое-то время, любо новая фича важнее сопутствующих проблем. В любом случае вы должны подготовить процедуру что вы будете делать, чтобы уложиться в MTD (Maximum Tolerable Downtime).

Поэтому когда производитель рапортует про свое устройство или про новые фичи, обязательно просите reference визит к тем, кто уже использует эту версию. Потребуйте показать в интерфейсе uptime. Если перезагрузка была недавно, то спросите почему недавно перезагружали устройство. 

В недавно вышедшей статье "Как вогнать в краску продавца NGFW" описано как тестировать NGFW на производительность, но нет описания как тестировать стабильность. А это важный компонент! Все баги вылезают только под нагрузкой и только в процессе реальной эксплуатации, когда вы создаете правила, объекты, ставите политики. Плюс в последнее время на рынок вышли китайские производители, которые на тесты приносят совсем свежие версии продуктов, которые вообще еще ни у кого не стоят в продакшн. В тесте который идет 10 минут все может быть хорошо, а в вашей сети через неделю может всплыть memory leak и вам потребуется перезагрузка. Если у вас важные транзакции финансовые идут по сети, то это скорее всего не то, что вы и ваш бизнес хотели получить.

Поэтому вывод такой: тестирование NGFW нужно проводить на своем трафике в реальной сети, минимум месяц, чтобы проверить, что устройство работает стабильно.