Перейти к содержимому. | Перейти к навигации

Персональные инструменты
Вход Регистрация
Вы здесь: Главная БЛОГИ Олег Безопасник Устройства UTM и сертификация
Protectiva Compliance Manager
Навигация
 

Устройства UTM и сертификация

Автор: ОлегС опубликовано: 09-10-2009 последнее изменение: 09-10-2009

На практике часто сталкиваюсь с тем, что устройства UTM  (например WatchGuard Firebox или Juniper) приобретаются государственными организациями в сертифицированном варианте.

Такая организация использует устройство несколько лет и конечно обновляет внутреннее программное обеспечение. Однако мало кто заботится о том, чтобы провести повторную сертификацию устройства, а ведь зачастую программные изменения значительны.

Что называется: большим гос.конторам закон не писан, они не очень боятся проверок регуляторов. Интересно, на что они рассчитывают? Неужели на то, что регуляторы побоятся остановить работу данного межсетевого экрана из-за  не соотвествия указанного при сертификации ПО и того ПО, что в наличии?

Да и как практически осуществить сертификацию утройства, если вендор в Москве, устройство уже, например, в Хабаровске и активно работает?

Comments (1)

Александр Астахов 09-10-2009 05:41

проблема известная

Столь же хорошо известно, что проблема реального решения не имеет, но зато были изобретены формальные решения вопроса.

А ты как предлагаешь решать проблему законопослушным сотрудникам гос. предприятий (а после вступления в силу ФЗ-152 и законопослушным операторам ПД)?

Недавно Малотавр писал в своем блоге о том же самом http://malotavr.blogspot.com/2009/09/blog-post_21.html, только несколько подробнее и применительно к ОС Microsoft.

Но MS хотя бы формально решил проблему, наладив так называемое "сертифицированное производство", включая непрерывную сертификацию выходящих ежемесячно новых патчей. Стоит ли говорить о том, что такая сертификация требует очень значительных затрат от вендора, которые в конечном счете перекладываются на конечного пользователя продукта. Реальная защищенность при этом скорее страдает, поскольку сертифицированные патчи устанавливаются со значительным запозданием.

Кроме того, у многих специалистов возникают обоснованные сомнения в том, что такая сертификация в принципе способна эффективно обнаруживать НДВ и что деньги, затрачиваемые на сертификацию, не выбрасываются на ветер. Для анализа на НДВ вендор должен одновременно с выпуском патча передавать в независимую испытательную лабораторию хорошо документированные исходники, а такое сложно себе представить. После проверки на НДВ, испытательная лаборатория (чтобы не допустить подмены) должна самостоятельно из этих исходников собирать исполняемые модули, а затем предоставлять их пользователям для скачивания. Есть ли гарантия того, что такие модули, собранные "на стороне" вообще будут работать и "не положат" систему?

Если кто больше знает о процессах сертифицированного производства, прокомментируйте пожалуйста. Я не считаю себя специалистом в данном вопросе и исхожу лишь из общих соображений.
Как стать участником |  Что может участник  |  Как работать с порталом  |  Реклама |  Авторские права  |  Контакты  |  Конкурсы  |  RSS  |  Форум
©2003 - 2021 GlobalTrust
Рейтинг@Mail.ru Rambler's Top100 Yandex