В связи с выходом нового «Перечня контрольно-измерительного и испытательного оборудования, средств контроля защищенности, необходимых для выполнения работ и оказания услуг, установленных Положением о лицензировании деятельности по технической защите конфиденциальной информации, утвержденным постановлением Правительства РФ от 3 февраля 2012 г. N 79» наши специалисты отмечают увеличение запросов, связанных со средствами защиты информации, необходимыми для получения лицензии на деятельность по ТЗКИ.
Также нередко нам задают вопрос о соответствии поставляемых нами средств защиты информации требованиям Перечня. В частности, о соответствии САЗ RedCheck требованиям, указанным для «Систем контроля (анализа) защищенности информационных систем» (п. 21) и «Средствам, предназначенным для осуществления тестирования на проникновение» (п.22).
Основными функциям RedCheck являются:
- аудит уязвимостей,
- аудит соответствия конфигурациям безопасности (Compliance),
- управление обновлениями,
- инвентаризация программного и аппаратного обеспечения,
- сетевые проверки, включая «сканирование портов» и «подбор паролей»,
С более подробной информацией о возможностях и сканируемых платформах можно ознакомиться на сайте сканера и корпоративном портале, где размещена эксплуатационная и программная документация на программу (ТУ, формуляр, Руководство и др.).
RedCheck сертифицирован на соответствие требованиям безопасности ФСТЭК России и прошел контроль по четвертому уровню НДВ.
Таким образом, мы с полной ответственностью можем утверждать, что RedCheck по техническим и функциональным характеристикам удовлетворяет требованиям Перечня для Систем контроля (анализа) защищенности информационных систем и может быть рекомендован соискателям лицензий по следующим видам работ и услуг:
- Контроль защищенности конфиденциальной информации от несанкционированного доступа и ее модификации в средствах и системах информатизации (б),
- Мониторинг информационной безопасности средств и систем информатизации (в),
- Аттестационные испытания и аттестация на соответствие требованиям по защите информации, в части средств и систем информатизации (г.1),
- проектирование в защищенном исполнении, средств и систем информатизации (д.1),
- Расчёт уникальных значений контрольных сумм модулей программного обеспечения и других объектов файловой системы (б),
- Документирование результатов расчёта контрольных сумм (в),
- Наличие сертификата соответствия ФСТЭК России (г.1, д.1).
Что касается реализации функционала Средств тестирования на проникновение, то RedCheck никогда не позиционировался как инструмент для пентеста, хотя в нем и реализовано несколько сетевых проверок.
По нашему мнению, разделив функционал Средств контроля (анализа) защищенности от Средств тестирования на проникновение, Регулятор обозначил свою позицию, заключающуюся в констатации факта многообразия процедур пентеста и, как следствие, многообразия программных средств для проведения тестирования на проникновение.
Следует отметить, что в Перечне не предъявляются требования о наличии сертификата соответствия для Средств тестирования на проникновение. Таким образом, ФСТЭК предоставляет полную свободу по выбору данных средств, включая возможность использования свободно распространяемых (условно-бесплатных) продуктов, таких как Kali Linux, BlackArch, Wireshark и др. Однако, при выборе тех или иных решений необходимо обратить внимание на их лицензирование, так как, несмотря на то, что многие из них распространяются по свободной лицензии, они могут иметь ограничения по коммерческому применению и распространению. В тоже время, требования Постановлений Правительства РФ № 79 и № 171 2012 г. требуют подтверждения соискателем лицензии прав на используемое им программное обеспечение.