Каталог статей
Поиск по базе статей  
Статья на тему Компьютеры » Безопасность » ОТК в области защиты информации

 

ОТК в области защиты информации

 

 

О сертификации средств защиты информации (СЗИ) пишут нечасто, потому что именно в этой области как никогда верна поговорка "сколько людей, столько и мнений". Эта статья является кратким экскурсом в данную тематику, поскольку трудно рассказать обо всех ее аспектах в рамках небольшой журнальной статьи. Что же такое сертификация средств защиты информации? Это комплекс мероприятий по проверке соответствия сертифицируемых средств формальным требованиям по обеспечению безопасности, описанным в нормативных документах. Если не касаться российской специфики, то сертификация несет следующие преимущества:

загрузка...

 

 

  • Определенная гарантия качества СЗИ (подтвержденная сертификатом) со стороны государства с точки зрения выполняемых функций по защите. Однако надо понимать, что в случае взлома сертифицированной СЗИ, вы вряд ли сможете предъявить претензии к сертифицирующей организации. Точнее предъявить-то вы сможете, но получить компенсацию - вряд ли.
  • Возможность аттестации информационной системы, в которой используются сертифицированные средства защиты.
  • Гарантия отсутствия программных закладок, заложенных производителем с целью несанкционированного доступа к защищаемым системам.
  • Маркетинговый ход, призванный увеличить привлекательность программного продукта и поднять престиж компании-заявителя, а также повысить доверие потребителя к сертифицируемому продукту.
Я не буду говорить о сертификации средств защиты информации, применяемых для обработки сведений, составляющих государственную тайну - эта область достаточно хорошо изучена и описана. Поговорим о сертификации средств защиты конфиденциальной информации, т.е. той информации, которая согласно Указу Президента РФ №188 от 6 марта 1997 г., циркулирует практически в любой информационной системе независимо от формы собственности предприятия-владельца этой системы. Федеральный Закон "Об информации, информатизации и защите информации" гласит, что "информационные системы органов государственной власти Российской Федерации и органов государственной власти субъектов Российской Федерации, других государственных органов, организаций, которые обрабатывают документированную информацию с ограниченным доступом, а также средства защиты этих систем подлежат обязательной сертификации" (ст.19.2). Кроме того, согласно утвержденному 26 июля 1995 года Правительством РФ Положению о сертификации средств защиты информации №608 "Указанные средства подлежат обязательной сертификации, которая проводится в рамках систем сертификации средств защиты информации" (ст.1). На сегодняшний день таких систем 5 (у Гостехкомиссии, ФАПСИ, Министерства Обороны, ФСБ и Службы Внешней Разведки), а утверждены в Госстандарте и реально действуют только три из них - системы сертификации СЗИ Гостехкомиссии России, ФАПСИ и МО РФ.

ОТК


Однако, несмотря на данные положения, которые трудно интерпретировать как-то иначе, в последнее время стали появляться замечания о том, что необходимо создавать другие системы сертификации средств защиты, которые будут лучше, чем существующие. При этом предлагается два варианта развития событий. Первый создать систему добровольной сертификации (согласно ст.17 Закона "О сертификации продуктов и услуг"), которая заменит существующие системы сертификации ФАПСИ, Гостехкомиссии и т.д., что, на мой взгляд, полностью противоречит действующему законодательству. Второй вариант - более интересен. На одном из заседаний комитета "Информационная безопасность" Ассоциации Документальной Электросвязи (АДЭ) было предложено создать под эгидой АДЭ систему добровольной сертификации СЗИ по их потребительским свойствам. Т.е. в отличие от уже названных федеральных органов, проверяющих соответствие формальным требованиям по обеспечению безопасности (на что выдается сертификат соответствия), проверять соответствия требованиям, выдвигаемым пользователями средств защиты. Данное предложение очень интересно и оно имело бы смысл, но... То, как предлагается реализовывать эту систему сертификации наводит меня на мысль, что эта очередная попытка раскрутки какого-то одного продукта в ущерб другим. Потребительские качества, которые должны оцениваться в такой системе сертификации, должны вырабатываться потребителем - только он может определить те параметры, которые для него важны в системе защиты. Однако предлагаемая одной из российских компаний система сертификации потребительских свойств основана на том, что оцениваемые свойства вырабатываются разработчиками средств защиты, что является нонсенсом - грош цена системе сертификации, в которой требования вырабатываются самим заявителем.

Почему же стали возникать предложения о создании альтернативных систем сертификации? Попробую ответить на этот вопрос. Первое, что приходит на ум, это слишком уж большое число систем сертификации средств защиты информации - целых пять. Если разработчик желает, чтобы его система использовалась и в коммерческих структурах, и в государственных, и в военных ведомствах и т.п., то он должен подать свой продукт сразу в несколько систем сертификации, что существенно увеличит время на его выход на рынок и, разумеется, увеличит цену.

Вторая причина заключается в том, что существующие руководящие документы (РД), на соответствие которым происходит проверка СЗИ, уже устарели - некоторые из них были разработаны в начале 90-х годов и не учитывали современных информационных технологий. Те же РД, которые разрабатывались совсем недавно (например, по межсетевым экранам), не включают некоторые обязательные требования. Например, в этих РД не описано требование обеспечения собственной безопасности системы защиты. Некорректно сформированный сетевой пакет может вывести межсетевой экран из строя, но проверка таких пакетов не включена в обязательные требования, указанные в руководящих документах. Кроме того, как сами признают представители испытательных лабораторий, при проведении сертификационных испытаний они не в состоянии проверить все аспекты функционирования тестируемого средства, что приводит к тому, что в процессе "боевой" эксплуатации могут выявиться режимы работы, приводящие к нарушению работоспособности не только системы защиты, получившей сертификат, но и защищаемой с помощью этого средства информационной системы. Даже сертификат на отсутствие недекларированных возможностей не дает полной гарантии отсутствия закладок. Проанализировать миллионы строк исходного текста программ и все состояния, в которых может находиться сертифицируемая система, не в состоянии ни одна испытательная лаборатория. Как утверждают их представители, они анализируют в самом лучшем случае только 85% всех возможных состояний (а обычно около 60-70%). Т.е. говорить о всесторонности проводимых исследований на отсутствие недекларированных возможностей не приходится.

Еще один недостаток существующей системы сертификации - пересертификация. Практически любое ПО требует изменений, а уж системы защиты - тем более. Поэтому изменение даже одной строчки кода требует пересертификации, что приводит к новым затратам и т.д. Кстати, с этим связан и еще один недостаток. Сертифицировать можно единичный экземпляр, партию или производство системы защиты. Для зарубежных продуктов, которые очень широко используются в России, предусмотрено только для первых варианта. А теперь представьте себе вполне реальную ситуацию - мы имеем два межсетевых экрана, поставляемых на одинаковых носителях, в одинаковой комплектности и даже контрольные суммы у них совпадают. Но... серийный номер одного МСЭ прописан в сертификате, а серийный номер второго - нет. С точки зрения потребителя, да и любого специалиста, разницы между этими продуктами нет. Они оба реализуют одинаковые защитные функции. Но один имеет сертификат, а второй нет.

Последний недостаток существующей системы сертификации, который я бы хотел упомянуть, - это срок действия сертификата. Обычно сертификат на СЗИ выдается на 3 года. Однако Госстандарт в своих документах ясно указывает, что сертификат считается действующим в пределах срока службы (годности) продукта, на который он выдан.

В заключение хочу сказать, что, несмотря на существующие недостатки действующей в России системы сертификации средств защиты информации, нет необходимости в создании альтернативных систем. Лучше все усилия направить на улучшение того, что уже есть сейчас. И такие действия уже проводятся. Например, Гостехкомиссия России сейчас приводит свои документы в соответствие с общемировыми стандартами, в частности она адаптирует стандарт ISO/IEC 15408-99 "Критерии оценки безопасности информационных технологий" к российским условиям. В части, касающейся единой методики испытаний средств защиты, Гостехкомиссия и подведомственные ей органы разрабатывают специальные средства автоматизации процесса тестирования сертифицируемых систем (например, НКВД, АИСТ и т.д.), а также реализует ряд других мероприятий, направленных на улучшение существующего положения вещей в области сертификации средств защиты информации.
загрузка...

 

 

Наверх


Постоянная ссылка на статью "ОТК в области защиты информации":


Рассказать другу

Оценка: 4.0 (голосов: 16)

Ваша оценка:

Ваш комментарий

Имя:
Сообщение:
Защитный код: включите графику
 
 



Поиск по базе статей:





Темы статей






Новые статьи

Противовирусные препараты: за и против Добро пожаловать в Армению. Знакомство с Арменией Крыша из сэндвич панелей для индивидуального строительства Возможно ли отменить договор купли-продажи квартиры, если он был уже подписан Как выбрать блеск для губ Чего боятся мужчины Как побороть страх перед неизвестностью Газон на участке своими руками Как правильно стирать шторы Как просто бросить курить

Вместе с этой статьей обычно читают:

Какими должны быть средства защиты информации?

На сегодняшний день уже мало кто представляет себе возможность компьютерной обработки информации без ее защиты. Но вот как защищать информацию, какие для этого использовать средства защиты, что же такое эффективное средство защиты информации? Альтернативные области приложений средств защиты информации.

» Безопасность бизнеса - 2802 - читать


Защита персональных данных и бухгалтерской информации

© ИА Клерк. Ру, аналитический отдел / В Федеральном законе Российской Федерации от 27 июля 2006 г.

» Безопасность бизнеса - 4116 - читать


Проблема защиты информации. Классификация средств перехвата информации радиоэлектронными методами

Отличительной чертой второй половины XX века является бурное развитие радиоэлектронных средств связи. Одновременно развиваются и средства электронного шпионажа, что делает проблему защиты информации все более и более актуальной. Основное количество информации перехватывается сегодня с помощью технических средств.

» Безопасность - 6339 - читать


Стандарты криптографической защиты информации России и США.

Сфера защиты информации и криптография, как одно из ее главных направлений, приобретает все большее и боль-значение в современном обществе. Но эта сфера обладает одной очень важной особенностью, резко выделяющей ее из общей массы прикладных направлений ИТ. Дело в том, что качество предлагаемых решений здесь оценить значительно сложнее, чем в других направлениях.

» Безопасность - 4804 - читать


Стандарты криптографической защиты информации России и США. Окончание.

Прямое и обратное преобразования Если в ГОСТ 28147-89 перестановку полублоков отнести к раунду шифрования, как это показано на рис. 2а, то можно заметить, что в обоих алгоритмах все раунды шифрования идентичны друг другу. Исключение составляет последний раунд, в котором отсутствует часть операций: в ГОСТе - операция перестановки полублоков шифруемого блока, в AES — умножение слева на матрицу М.

» Безопасность - 5339 - читать



Статья на тему Компьютеры » Безопасность » ОТК в области защиты информации

Все статьи | Разделы | Поиск | Добавить статью | Контакты

© Art.Thelib.Ru, 2006-2024, при копировании материалов, прямая индексируемая ссылка на сайт обязательна.

Энциклопедия Art.Thelib.Ru