ОТК в области защиты информации

О сертификации средств защиты информации (СЗИ) пишут нечасто, потому что именно в этой области как никогда верна поговорка "сколько людей, столько и мнений". Эта статья является кратким экскурсом в данную тематику, поскольку трудно рассказать обо всех ее аспектах в рамках небольшой журнальной статьи. Что же такое сертификация средств защиты информации? Это комплекс мероприятий по проверке соответствия сертифицируемых средств формальным требованиям по обеспечению безопасности, описанным в нормативных документах. Если не касаться российской специфики, то сертификация несет следующие преимущества:

 

 

• Определенная гарантия качества СЗИ (подтвержденная сертификатом) со стороны государства с точки зрения выполняемых функций по защите. Однако надо понимать, что в случае взлома сертифицированной СЗИ, вы вряд ли сможете предъявить претензии к сертифицирующей организации. Точнее предъявить-то вы сможете, но получить компенсацию - вряд ли.
• Возможность аттестации информационной системы, в которой используются сертифицированные средства защиты.
• Гарантия отсутствия программных закладок, заложенных производителем с целью несанкционированного доступа к защищаемым системам.
• Маркетинговый ход, призванный увеличить привлекательность программного продукта и поднять престиж компании-заявителя, а также повысить доверие потребителя к сертифицируемому продукту.

Я не буду говорить о сертификации средств защиты информации, применяемых для обработки сведений, составляющих государственную тайну - эта область достаточно хорошо изучена и описана. Поговорим о сертификации средств защиты конфиденциальной информации, т.е. той информации, которая согласно Указу Президента РФ №188 от 6 марта 1997 г., циркулирует практически в любой информационной системе независимо от формы собственности предприятия-владельца этой системы. Федеральный Закон "Об информации, информатизации и защите информации" гласит, что "информационные системы органов государственной власти Российской Федерации и органов государственной власти субъектов Российской Федерации, других государственных органов, организаций, которые обрабатывают документированную информацию с ограниченным доступом, а также средства защиты этих систем подлежат обязательной сертификации" (ст.19.2). Кроме того, согласно утвержденному 26 июля 1995 года Правительством РФ Положению о сертификации средств защиты информации №608 "Указанные средства подлежат обязательной сертификации, которая проводится в рамках систем сертификации средств защиты информации" (ст.1). На сегодняшний день таких систем 5 (у Гостехкомиссии, ФАПСИ, Министерства Обороны, ФСБ и Службы Внешней Разведки), а утверждены в Госстандарте и реально действуют только три из них - системы сертификации СЗИ Гостехкомиссии России, ФАПСИ и МО РФ.



Однако, несмотря на данные положения, которые трудно интерпретировать как-то иначе, в последнее время стали появляться замечания о том, что необходимо создавать другие системы сертификации средств защиты, которые будут лучше, чем существующие. При этом предлагается два варианта развития событий. Первый создать систему добровольной сертификации (согласно ст.17 Закона "О сертификации продуктов и услуг"), которая заменит существующие системы сертификации ФАПСИ, Гостехкомиссии и т.д., что, на мой взгляд, полностью противоречит действующему законодательству. Второй вариант - более интересен. На одном из заседаний комитета "Информационная безопасность" Ассоциации Документальной Электросвязи (АДЭ) было предложено создать под эгидой АДЭ систему добровольной сертификации СЗИ по их потребительским свойствам. Т.е. в отличие от уже названных федеральных органов, проверяющих соответствие формальным требованиям по обеспечению безопасности (на что выдается сертификат соответствия), проверять соответствия требованиям, выдвигаемым пользователями средств защиты. Данное предложение очень интересно и оно имело бы смысл, но... То, как предлагается реализовывать эту систему сертификации наводит меня на мысль, что эта очередная попытка раскрутки какого-то одного продукта в ущерб другим. Потребительские качества, которые должны оцениваться в такой системе сертификации, должны вырабатываться потребителем - только он может определить те параметры, которые для него важны в системе защиты. Однако предлагаемая одной из российских компаний система сертификации потребительских свойств основана на том, что оцениваемые свойства вырабатываются разработчиками средств защиты, что является нонсенсом - грош цена системе сертификации, в которой требования вырабатываются самим заявителем.

Почему же стали возникать предложения о создании альтернативных систем сертификации? Попробую ответить на этот вопрос. Первое, что приходит на ум, это слишком уж большое число систем сертификации средств защиты информации - целых пять. Если разработчик желает, чтобы его система использовалась и в коммерческих структурах, и в государственных, и в военных ведомствах и т.п., то он должен подать свой продукт сразу в несколько систем сертификации, что существенно увеличит время на его выход на рынок и, разумеется, увеличит цену.

Вторая причина заключается в том, что существующие руководящие документы (РД), на соответствие которым происходит проверка СЗИ, уже устарели - некоторые из них были разработаны в начале 90-х годов и не учитывали современных информационных технологий. Те же РД, которые разрабатывались совсем недавно (например, по межсетевым экранам), не включают некоторые обязательные требования. Например, в этих РД не описано требование обеспечения собственной безопасности системы защиты. Некорректно сформированный сетевой пакет может вывести межсетевой экран из строя, но проверка таких пакетов не включена в обязательные требования, указанные в руководящих документах. Кроме того, как сами признают представители испытательных лабораторий, при проведении сертификационных испытаний они не в состоянии проверить все аспекты функционирования тестируемого средства, что приводит к тому, что в процессе "боевой" эксплуатации могут выявиться режимы работы, приводящие к нарушению работоспособности не только системы защиты, получившей сертификат, но и защищаемой с помощью этого средства информационной системы. Даже сертификат на отсутствие недекларированных возможностей не дает полной гарантии отсутствия закладок. Проанализировать миллионы строк исходного текста программ и все состояния, в которых может находиться сертифицируемая система, не в состоянии ни одна испытательная лаборатория. Как утверждают их представители, они анализируют в самом лучшем случае только 85% всех возможных состояний (а обычно около 60-70%). Т.е. говорить о всесторонности проводимых исследований на отсутствие недекларированных возможностей не приходится.

Еще один недостаток существующей системы сертификации - пересертификация. Практически любое ПО требует изменений, а уж системы защиты - тем более. Поэтому изменение даже одной строчки кода требует пересертификации, что приводит к новым затратам и т.д. Кстати, с этим связан и еще один недостаток. Сертифицировать можно единичный экземпляр, партию или производство системы защиты. Для зарубежных продуктов, которые очень широко используются в России, предусмотрено только для первых варианта. А теперь представьте себе вполне реальную ситуацию - мы имеем два межсетевых экрана, поставляемых на одинаковых носителях, в одинаковой комплектности и даже контрольные суммы у них совпадают. Но... серийный номер одного МСЭ прописан в сертификате, а серийный номер второго - нет. С точки зрения потребителя, да и любого специалиста, разницы между этими продуктами нет. Они оба реализуют одинаковые защитные функции. Но один имеет сертификат, а второй нет.

Последний недостаток существующей системы сертификации, который я бы хотел упомянуть, - это срок действия сертификата. Обычно сертификат на СЗИ выдается на 3 года. Однако Госстандарт в своих документах ясно указывает, что сертификат считается действующим в пределах срока службы (годности) продукта, на который он выдан.

В заключение хочу сказать, что, несмотря на существующие недостатки действующей в России системы сертификации средств защиты информации, нет необходимости в создании альтернативных систем. Лучше все усилия направить на улучшение того, что уже есть сейчас. И такие действия уже проводятся. Например, Гостехкомиссия России сейчас приводит свои документы в соответствие с общемировыми стандартами, в частности она адаптирует стандарт ISO/IEC 15408-99 "Критерии оценки безопасности информационных технологий" к российским условиям. В части, касающейся единой методики испытаний средств защиты, Гостехкомиссия и подведомственные ей органы разрабатывают специальные средства автоматизации процесса тестирования сертифицируемых систем (например, НКВД, АИСТ и т.д.), а также реализует ряд других мероприятий, направленных на улучшение существующего положения вещей в области сертификации средств защиты информации.