Про сертифікацію засобів захисту інформації (СЗІ) пишуть нечасто, тому що саме в цій області як ніколи вірна приказка "скільки людей, стільки й думок". Ця стаття є коротким екскурсом в дану тематику, оскільки важко розповісти про всі її аспектах в рамках невеликої журнальної статті. Що ж таке сертифікація засобів захисту інформації? Це комплекс заходів по перевірці відповідності сертифікуються засобів формальним вимогам щодо забезпечення безпеки, описаним в нормативних документах. Якщо не торкатися російської специфіки, то сертифікація несе наступні переваги: ??

  • Певна гарантія якості СЗІ (підтверджена сертифікатом) з боку держави з точки зору виконуваних функцій по захисту. Однак треба розуміти, що в разі злому сертифікованої СЗІ, ви навряд чи зможете пред'явити претензії до сертифікує організації. Точніше пред'явити-то ви зможете, але отримати компенсацію - навряд чи.
  • Можливість атестації інформаційної системи, в якій використовуються сертифіковані засоби захисту.
  • Гарантія відсутності програмних закладок, закладених виробником з метою несанкціонованого доступу до захищається системам.
  • Маркетинговий хід, покликаний збільшити привабливість програмного продукту і підняти престиж компанії-заявника, а також підвищити довіру споживача до сертифікується продукту.
Я не буду говорити про сертифікацію засобів захисту інформації, застосовуваних для обробки відомостей, що становлять державну таємницю - ця область досить добре вивчена і описана. Поговоримо про сертифікацію засобів захисту конфіденційної інформації, тобто тієї інформації, яка згідно з Указом Президента РФ № 188 від 6 березня 1997 р., циркулює практично в будь-якій інформаційній системі незалежно від форми власності підприємства-власника цієї системи. Федеральний Закон "Про інформацію, інформатизації і захисту інформації" говорить, що "інформаційні системи органів державної влади Російської Федерації та органів державної влади суб'єктів Російської Федерації, інших державних органів, організацій, які обробляють документовану інформацію з обмеженим доступом, а також засоби захисту цих систем підлягаютьобов'язковоюсертифікації "(ст.19.2). Крім того, згідно затверджена 26 липня 1995 року Уряд РФ Положення про сертифікацію засобів захисту інформації № 608 "Зазначені кошти підлягаютьобов'язковоюсертифікації, яка проводиться в рамках систем сертифікації засобів захисту інформації" (ст.1). На сьогоднішній день таких систем 5 (у Держтехкомісії, ФАПСИ, Міністерства Оборони, ФСБ та Служби Зовнішньої Розвідки), а затверджені в Держстандарті і реально діють тільки три з них - системи сертифікації ЗЗІ Держтехкомісії Росії, ФАПСИ і МО РФ.

Однак, незважаючи на дані положення, які важко інтерпретувати якось інакше, останнім часом стали з'являтися зауваження про те, що необхідно створювати інші системи сертифікації засобів захисту, які будуть краще, ніж існуючі. При цьому пропонується два варіанти розвитку подій. Перший створити систему добровільної сертифікації (згідно ст.17 Закону "Про сертифікацію продуктів та послуг"), яка замінить існуючі системи сертифікації ФАПСИ, Держтехкомісії і т.д., що, на мій погляд, повністю суперечить чинному законодавству. Другий варіант - більш цікавий. На одному із засідань комітету "Інформаційна безпека" Асоціації Документальною Електрозв'язку (АДЕ) було запропоновано створити під егідою АДЕ систему добровільної сертифікації ЗЗІ по їхніх споживчих властивостях. Тобто на відміну від вже названих федеральних органів, що перевіряють відповідність формальним вимогам щодо забезпечення безпеки (на що видається сертифікат відповідності), перевіряти відповідності вимогам, що висуваються користувачами засобів захисту. Дана пропозиція дуже цікаво і воно мало б сенс, але ... Те, як пропонується реалізовувати цю систему сертифікації наводить мене на думку, що ця чергова спроба розкрутки якогось одного продукту на шкоду іншим. Споживчі якості, які повинні оцінюватися в такій системі сертифікації, повинні вироблятися споживачем - тільки він може визначити ті параметри, які для нього важливі в системі захисту. Однак пропонована однієї з російських компаній система сертифікації споживчих властивостей заснована на тому, що оцінювані властивості виробляються розробниками засобів захисту, що є нонсенсом - гріш ціна системі сертифікації, в якій вимоги виробляються самим заявником.
Чому ж стали виникати пропозиції про створення альтернативних систем сертифікації? Спробую відповісти на це питання.

Перше, що спадає на думку, це занадто вже велика кількість систем сертифікації засобів захисту інформації - цілих п'ять. Якщо розробник бажає, щоб його система використовувалася і в комерційних структурах, і в державних, і у військових відомствах і т.п., то він повинен подати свій продукт відразу в кілька систем сертифікації, що істотно збільшить час на його вихід на ринок і, зрозуміло, збільшить цену.Вторая причина полягає в тому, що існуючі керівні документи (РД), на відповідність яким відбувається перевірка СЗІ, вже застаріли - деякі з них були розроблені на початку 90-х років і не враховували сучасних інформаційних технологій. Ті ж РД, які розроблялися зовсім недавно (наприклад, по міжмережевих екранів), не включають деякі обов'язкові вимоги. Наприклад, в цих РД не описано вимога забезпечення власної безпеки системи захисту. Некоректно сформований мережевий пакет може вивести міжмережевий екран з ладу, але перевірка таких пакетів не включена в обов'язкові вимоги, зазначені в керівних документах. Крім того, як самі визнають представники випробувальних лабораторій, при проведенні сертифікаційних випробувань вони не в змозі перевірити всі аспекти функціонування тестованого засобу, що приводить до того, що в процесі "бойовий" експлуатації можуть виявитися режими роботи, що призводять до порушення працездатності не тільки системи захисту , що отримала сертифікат, але і захищається за допомогою цього засобу інформаційної системи. Навіть сертифікат на відсутність недекларірованних можливостей не дає повної гарантії відсутності закладок. Проаналізувати мільйони рядків вихідного тексту програм і всі стани, в яких може перебувати сертифікується система, не в змозі жодна випробувальна лабораторія. Як стверджують їхні представники, вони аналізують в самому кращому випадку тільки 85% всіх можливих станів (а зазвичай близько 60-70%). Тобто говорити про всебічності проведених досліджень на відсутність недекларірованних можливостей не доводиться.
Ще один недолік існуючої системи сертифікації - пересертіфікація. Практично будь-яке ПЗ вимагає змін, а вже системи захисту - тим більше. Тому зміна навіть одного рядка коду вимагає пересертіфікаціі, що призводить до нових витрат і т.д. До речі, з цим пов'язаний і ще один недолік. Сертифікувати можна одиничний екземпляр, партію або виробництво системи захисту. Для закордонних продуктів, які дуже широко використовуються в Росії, передбачено тільки для перших варіанти. А тепер уявіть собі цілком реальну ситуацію - ми маємо два міжмережевих екрану, що поставляються на однакових носіях, в однаковій комплектності і навіть контрольні суми у них збігаються. Але ... серійний номер одного МСЕ прописаний в сертифікаті, а серійний номер другого - ні. З точки зору споживача, так і будь-якого фахівця, різниці між цими продуктами немає. Вони обидва реалізують однакові захисні функції. Але один має сертифікат, а другий ні.
Останній недолік існуючої системи сертифікації, який я б хотів згадати, - це термін дії сертифіката. Зазвичай сертифікат на СЗІ видається на 3 роки. Однак Держстандарт у своїх документах ясно вказує, що сертифікат вважається чинним у межах терміну служби (придатності) продукту, на який він виданий.
На закінчення хочу сказати, що, незважаючи на існуючі недоліки діючої в Україні системи сертифікації засобів захисту інформації, немає необхідності в створенні альтернативних систем. Краще всі зусилля спрямувати на поліпшення того, що вже є зараз. І такі дії вже проводяться. Наприклад, Держтехкомісії Росії зараз наводить свої документи у відповідність із загальносвітовими стандартами, зокрема вона адаптує стандарт ISO/IEC 15408-99 "Критерії оцінки безпеки інформаційних технологій" до російських умов. У частині, що стосується єдиної методики випробувань засобів захисту, Держтехкомісії та підвідомчі їй органи розробляють спеціальні засоби автоматизації процесу тестування сертифікуються систем (наприклад, НКВД, АІСТ і т.д.), а також реалізує ряд інших заходів, спрямованих на поліпшення існуючого стану речей в області сертифікації засобів захисту інформації.

Детальніше »