Сертификация фстэк что. Сертификация средств защиты информации. Ключевые системы информационной инфраструктуры

Для чего нужна сертификация

Для чего нужна сертификация программного обеспечения?

Вопросы защиты конфиденциальной информации тесно переплетены с интересами общества, личности, бизнеса и государства. В наше время, в условиях формирования единого информационного пространства, они являются важнейшей составной частью задач, решаемых государственными органами, учреждениями и организациями при разработке, создании, эксплуатации информационных систем, баз и банка персональных данных информационных систем.

Любое государство стремится обеспечить контроль над информацией, связанной с обеспечением национальной безопасности. И поэтому к программному обеспечению, которое поставляется на рынок и используется для построения ключевых систем информационной инфраструктуры, предъявляются особые требования.


Ключевые системы информационной инфраструктуры

К таким ключевым системам можно отнести :

  • информационные системы органов государственной власти, органов управления и правоохранительных структур;
  • информационные системы финансово-кредитной и банковской деятельности;
  • информационно-телекоммуникационные системы специального назначения;
  • сети связи правоохранительных структур;
  • сети связи общего пользования на участках, не имеющих резервных или альтернативных видов связи;
  • автоматизированные системы управления энергоснабжением;
  • автоматизированные системы управления наземным и воздушным транспортом;
  • автоматизированные системы управления добычей и транспортировкой нефти и газа;
  • автоматизированные системы предупреждения и ликвидации чрезвычайных ситуаций;
  • автоматизированные системы управления экологически опасными производствами;
  • автоматизированные системы управления водоснабжением;
  • географические и навигационные системы.

И это далеко не полный перечень. В указанных системах накапливается, обрабатывается и передается информация, связанная с производственной, организационно-экономической, научно-технической, кредитно-финансовой и другой деятельностью государства. В ряде систем и сетей циркулирует информация оперативно-диспетчерского и технологического управления, определяющая надежность и безопасность функционирования всего хозяйственного комплекса России и оказывающая существенное влияние на обеспечение ее национальной безопасности в информационной сфере. Именно поэтому эти системы являются ключевыми.

В связи с этим, производители программного обеспечения обязаны учитывать требования, налагаемые международными и национальными законами на информационные системы, предназначенные для работы с такой информацией.

Для проверки соответствия программного обеспечения этим требованиям и требуются процедуры сертификации!

Кто обязан использовать сертифицированные программные средства?

Все государственные организации, негосударственные организации, работающие с так называемой «служебной информацией государственных органов», а также ряд других организаций в соответствии с российским законодательством (например, организации, подпадающие под соответствующие требования «Закона о персональных данных» ).

Ниже приведены выдержки из законодательных и регулирующих документов, из которых в совокупности следует необходимость применения сертифицированных средств защиты информации:

  • В Федеральном законе 149 (ФЗ) ст.14 п.8 сказано о том, что «…технические средства, предназначенные для обработки информации, содержащейся в государственных информационных системах, в том числе программно-технические средства и средства защиты информации, должны соответствовать требованиям законодательства Российской Федерации о техническом регулировании»
  • В ФЗ 184 «О техническом регулировании» в ст.4 . «федеральные органы исполнительной власти наделены правом издавать в сфере технического регулирования акты обязательного характера, в случаях, установленных статьей 5»
  • Статья 5 ФЗ 184 касается, в том числе, и продукции, используемой в целях защиты сведений, относимых к охраняемой в соответствии с законодательством Российской Федерации к информации ограниченного доступа (в том числе «служебная информация госорганов»)
  • Уполномоченным органом, наделенным правом устанавливать обязательные требования по защите информации, в соотв. со ст.15 ФЗ 149 является ФСТЭК России
  • В частности, в нормативном документе СТР-К (Специальные требования по защите конфиденциальной информации) ФСТЭК России утверждается
    • п.2.3. «Требования и рекомендации настоящего документа распространяются на защиту государственных информационных ресурсов некриптографическими методами, направленными на предотвращение утечки защищаемой информации по техническим каналам, от несанкционированного доступа к ней и от специальных воздействий на информацию в целях ее уничтожения, искажения и блокирования».
    • п. 2.16 . « Для защиты конфиденциальной информации используются сертифицированные по требованиям безопасности информации средства защиты информации. Порядок сертификации определяется законодательством Российской Федерации».
    • п.2.17 . «Объекты информатизации должны быть аттестованы по требованиям безопасности информации в соответствии нормативными документами ФСТЭК России и требованиями настоящего документа».
  • Закон РФ N 5485-1 от 21 июля 1993 г . («Закон о государственной тайне») определяет средства защиты информации, как «составную часть информационных систем или продуктов».

В соответствии с приведенными законами соответствующие организации (в частности, государственные) обязаны использовать программные и аппаратные средства с сертифицированными средствами защиты информации.

Органы сертификации

Кем осуществляется сертификация ПО в Российской Федерации?

В нашей стране существуют несколько различных систем сертификации, ориентированные на различные типы программного обеспечения (ФСТЭК, ФСБ, Минобороны и др.).

Основными системами сертификации для большей части ПО являются системы сертификации ФСБ и ФСТЭК.

  • Сертификация ФСБ предназначена для проверки подсистем ПО, использующих криптографическую защиту (в нашей стране допускаются только российские криптоалгоритмы). Требования систем сертификации ФСБ не являются публичными , ознакомление с ними предполагает наличие специальных допусков.
  • Сертификация ФСТЭК предназначена проверки обеспечения технической защиты информации некриптографическими методами. Требования системы сертификации ФСТЭК являются открытыми и опубликованы на официальном сайте .

Текущие программные продукты «1С-Битрикс» не содержат встроенных инструментов криптографической защиты, поэтому сертификация ФСБ для них не требуется. Далее по тексту речь идет только о сертификации ФСТЭК.

Что такое сертифицированный продукт в РФ?

Российская система сертификации коренным образом отличается от систем, принятых в других странах, причем в лучшую сторону . Каждая претендующая на сертификат копия ПО проверяется на соответствие той, которая непосредственно подвергалась испытаниям при сертификации, т. е. на бинарном уровне все сертифицированные копии полностью идентичны. Службы, отвечающие за целостность этих продуктов, могут в любое время проконтролировать у пользователя наличие всех необходимых сертифицированных патчей и обновлений, а также проверить продукты на отсутствие несертифицированных изменений.

А вот по условиям международной системы сертификации Common Сriteria сертифицированным считается любой лицензионный экземпляр ПО, прошедшего сертификацию, - идентичность каждого продаваемого экземпляра тому, который непосредственно проходил сертификацию, не проверяется. Но ведь регулярно выпускаются патчи и новые версии программ, и варианты ПО, поставляемого на рынок сегодня, просто могут отличаться от протестированного в свое время экземпляра, поданного для получения сертификата .

Каждый экземпляр сертифицированнго продукта «1С-Битрикс» имеет пакет документов государственного образца, подтверждающих то, что данный продукт является сертифицированным. Кроме того, имеется голографический знак соответствия ФСТЭК с уникальным номером, который идентифицирует данный экземпляр в системе государственного учета сертифицированных продуктов.

Каждая организация, которая приобрела сертифицированные продукты, имеет защищенный доступ к персональной для этой организации странице на специализированном сайте, откуда данная организация будет получать сертифицированные обновления и другую информацию.

Что такое ФСТЭК России и каковы его функции?

ФСТЭК России (до 2004 года – Гостехкомиссия России) - это федеральный орган исполнительной власти, обладающий следующими полномочиями :

  • обеспечение безопасности информации в ключевых системах информационной и телекоммуникационной инфраструктуры;
  • противодействие иностранным техническим разведкам;
  • обеспечение технической защиты информации некриптографическими методами ;
  • осуществление экспортного контроля.

В соответствии с положением о ФСТЭК России одной из ее основных задач является организация деятельности государственной системы противодействия техническим разведкам и технической защиты информации на федеральном, межрегиональном, региональном, отраслевом и объектовом уровнях, а также руководство указанной государственной системой.

Все нормативные правовые акты и методические документы, изданные по вопросам деятельности ФСТЭК России, обязательны для исполнения аппаратами федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации, федеральными органами исполнительной власти, органами исполнительной власти субъектов Российской Федерации, органами местного самоуправления и организациями .

Каким образом осуществляется сертификация ФСТЭК?

ФСТЭК является только организатором сертификации и службой контроля верхнего уровня. Непосредственные действия выполняют лицензиары ФСТЭК – испытательные лаборатории и экспертные организации. Первые непосредственно проводят исследование ПО, а вторые занимаются проверкой качества этих испытаний.

Заказчик имеет право выбирать испытательную лабораторию (при согласии ФСТЭК), но ФСТЭК самостоятельно назначает экспертную организацию на проверку результатов.

Таким образом, с одной стороны есть конкурентная среда, когда испытательные лаборатории борются за клиента (стоимостью проверок, сроками и т.п.), с другой – качество испытаний четко проверяется независимыми экспертами.

По аналогии работает и система сертификации ФСБ.

Кроме того, в системе сертификации ФСТЭК существует еще институт заявителей . Эти компании непосредственно работают с испытательными лабораториями и экспертными организациями, именно они проводят сравнение продаваемых копий продуктов на соответствие их образцу, прошедшему сертификацию. Они же издают документы установленного образца для каждой копии прошедших такое сравнение продуктов, ведут учет таких продуктов.

Заявители несут затраты на проверку продукта, на выписку соответствующих документов, на постоянный учет сертифицированных продуктов (где и в каком состоянии эти продукты находятся), в ряде случаев, по договоренности с владельцами продукта, они также за свой счет проводят сертификацию всех патчей.

Сертификация продуктов 1С-Битрикс

С какими организациями сотрудничает «1С-Битрикс» в процессе сертификации и в каком формате?

В данный момент компания «1С-Битрикс» сотрудничает с компанией . Данная компания выступила в следующей роли:

Заявитель , который

a. выполняет все организационные мероприятия, связанные с сертификацией;

b. несет затраты на постоянный учет сертифицированных копий продуктов;

c. непосредственно продает сертифицированные программные продукты «1С-Битрикс».

Достаточно ли использования сертифицированных продукта «1С-Битрикс» для итоговой аттестации информационной системы?

Конечно же, нет. Использование сертифицированного софта является необходимым, но недостаточным условием для итоговой аттестации информационной системы заказчика.

Во-первых, как правило сертифицированный продукт работает в условиях ИТ-инфраструктуры. Для продуктов «1С-Битрикс» это операционная система веб-сервера и сервера базы данных, сервер СУБД, веб-сервер, интерпретатор PHP, прекомпилятор PHP и т.п. Соответственно безопасность всей системы может быть достигнута только при безопасности всех ее компонентов, что также определяется наличием на них соответствующих сертификатов.

Во-вторых, на этапе внедрения в продукт могут вноситься изменения, которые также могут снизить безопасность системы в целом, и эти изменения необходимо также тестировать и аттестовывать.

В-третьих, в комплект сертифицированных версий продуктов входит список рекомендаций по их инсталляции и использованию. Эти рекомендации готовятся в испытательной лаборатории и их соблюдение гарантирует наилучший и адекватный требованиям заказчиков уровень защиты. Эти рекомендации обязательны к использованию.

Таким образом, в любом случае необходима итоговая аттестация информационной системы на соответствие требованиям ФСТЭК и (или) ФСБ.

Использование сертифицированных версий позволяет существенно экономить на процедуре итоговой аттестации инфомационной системы и (или) рабочих мест на их соответствие требованиям защиты информации определенной категории, хотя и не влечет за собой автоматическую аттестацию . В случае, если используется несертифицированный софт, потребуется закупать и внедрять дополнительные сертифицированные инструменты защиты, что может очень сильно повысить стоимость аттестации.

Как и в какие сроки заказчики получают обновления сертифицированных продуктов?

При выходе любого обновления продукта необходима его сертификация, иначе, установив не сертифицированное обновление, конечный пользователь нарушает целостность СЗИ и СЗИ теряет статус сертифицированного.

Все обновления проходят проверку в испытательной лаборатории. Далее все сертифицированные обновления становятся доступны на Портале сертифицированных обновлений компании "СИС груп". Как правило, данная процедура занимает от нескольких дней до нескольких недель.

Однако, как правило, учитывая консерватизм заказчиков сертифицированных версий и их внутренние процедуры согласования, такая задержка не является критической, и сертификация обновлений как раз успевает к моменту принятия решения.

В сертифицированных версиях продуктов «1С-Битрикс» не используется стандартная система обновлений SiteUpdate через Интернет , поскольку данные обновления не являются сертифицированными. Сертифицированные обновления можно получить с защищенного раздела веб-сайта компании «Сертифицированные информационные системы груп», на котором каждый покупатель имеет личный кабинет с доступными обновлениями.

Скачивая сертифицированные обновления, заказчик загружает их в виде файлов в специальном диалоге системы обновлений

Федеральная служба по техническому и экспортному контролю — это федеральный орган исполнительной власти, который осуществляет проверку и контроль в области государственной безопасности. Сегодня каждый владелец ноутбука при покупке той или иной антивирусной программы или программного обеспечения не раз слышал такое выражение как сертификация ФСТЭК. Но мало кто знает, что же собой представляет сертификат ФСТЭК .

Сегодня вопрос защиты информации тесно переплетается с интересами общества, бизнеса и государства. Обычно каждое государство стремится контролировать информацию, которая связана с национальной безопасностью. Поэтому из года в год оно ставит основной задачей разработку, эксплуатацию хорошо защищенных информационных систем, баз персональных данных. В таких системах хранится, перерабатывается огромное количество информации связанной практически со всеми видами деятельности государства. Именно по этой причине производители программного обеспечения должны учитывать законодательные требования, налагаемые на информационные системы, которые участвуют в государственной деятельности. Процедура сертификации ФСТЭК осуществляется для проверки соответствия основным показателям безопасности.

Сертификат ФСТЭК выдается по итогам прохождения следующих этапов:

  • оформление заявления на осуществление процедуры проверки;
  • получение решения на проведение сертификации;
  • оформление договора на осуществление процесса сертификации;
  • утверждение программы испытаний;
  • проведение испытаний;
  • оформление протокола испытаний;
  • заключение договора с экспертной организацией;
  • экспертиза лабораторных испытаний;
  • оформление сертификата.

Система российской сертификации ПО коренным образом отличается от сертификации на западе. Во-первых, каждая копия программного обеспечения, претендующая на сертификат ФСТЭК , проходит ряд испытаний и экспертиз, которым подвергался первоначальный продукт. Во-вторых, каждая компания, которая приобрела сертифицированный продукт,имеет защищенный доступ к информационной базе данного программного обеспечения, откуда организация будет получать обновления.

С 2004 года федеральный орган исполнительной власти обладает следующими полномочиями:

  1. Обеспечение защиты и безопасности в ключевых системах инфраструктуры;
  2. Осуществление технической информации;
  3. Защита информации от иностранных технических разведок;
  4. Обеспечение экспортного контроля.

ФСТЭК не занимается сертификационной деятельностью, он является основным организатором сертификации. Львиную долю действий выполняют его лицензиары – испытательные лаборатории и экспертные центры. Лаборатории исследуют программное обеспечение, а экспертные организации проверяют качество проведенных испытаний. Безусловно, заявитель может оформить сертификат ФСТЭК по результатам испытаний сторонних организаций. Но в этом случае переде тем, как выдать сертификат,ФСТЭК оставляет за собой право назначить перепроверку результатов другой экспертной организации. По этой причине в системе ФСТЭКа работает институт заявителя. Они проводят сравнение копий продаваемых продуктов с программами, которые ранее получили сертификат ФСТЭК .

Во всем мире сегодня практикуется тестирование кода информационных систем по требованиям безопасности информации, однако, несмотря на расширение практики сертификации, вокруг нее сложился ряд мифов и заблуждений.

02.08.2011 Алексей Марков, Валентин Цирлов

Во всем мире сегодня практикуется тестирование кода информационных систем по требованиям безопасности информации. Например, за рубежом обязательную проверку проходят государственные и платежные программные системы, а в России преобладают директивные методы сертификации по требованиям безопасности информации. Однако, несмотря на расширение практики сертификации, вокруг нее сложился ряд мифов и заблуждений.

На Западе обязательные проверки предусмотрены для государственных и платежных программных систем, а банки, брокерские, инвестиционные, страховыеи сервисные компании, предоставляющие услуги в индустрии недвижимости и в Интернете, проходят добровольный аудит. В нашей стране традиционно преобладают директивные методы оценки соответствия, в частности программное обеспечение ряда информационных систем подлежит обязательной сертификации по требованиям безопасности информации.

Исторически система сертификации по требованиям безопасности информации в России возникла после распада СССР, когда появилась потребность в контроле безопасности зарубежного программного обеспечения, а также качества российских программных систем, связанных с обработкой и защитой государственной тайны. Активными участниками процесса сертификации стали Минобороны, ФСБ и ФСТЭК.

До недавнего времени сертификация главным образом касалась силовых министерств и предприятий промышленности, выполняющих государственные заказы, аосновная масса специалистов в области информационных технологий мало интересовалась данной проблемой. Ситуация значительно изменилась с принятием ФЗ-152 «О персональных данных» и последовавших за ним нормативно-методических документов. Оказалось, что сертификация программного обеспечения и аттестация объектов информатизации необходима большинству коммерческих компаний и всем государственным организациям, работающим в области медицины, образования, транспорта. Это немедленно породило множество вопросов и, как правило, негативных суждений, связанных в большинстве случаев с недопониманием сути и процессов сертификации.

В общем случае под сертификацией принято понимать независимое подтверждение соответствия тех или иных характеристик товаров или услуг некоторым требованиям. В нашем случае речь идет о программных средствах защиты или программ в защищенном исполнении – соответственно в качестве требований выступают нормативные документы и документация, касающаяся безопасности информации.

Как проводится сертификация?

Принципиальная особенность любых сертификационных испытаний - это независимость испытательной лаборатории, проводящей испытания, и сертифицирующей организации, осуществляющей независимый контроль результатов испытаний, проведенных лабораторией. В общем случае схема проведения сертификации выглядит следующим образом.

  1. Заявитель (разработчик либо другая компания, заинтересованная в проведении сертификации) подает в федеральный орган (ФСБ, ФСТЭК или Минобороны) по сертификации заявку на проведение сертификационных испытаний некоторого продукта.
  2. Федеральный орган определяет аккредитованную испытательную лабораторию и орган по сертификации.
  3. Испытательная лаборатория совместно с заявителем проводит сертификационные испытания. Если в процессе испытаний выявляются те или иные несоответствия заявленным требованиям, то они могут быть устранены заявителем в рабочем порядке, что и происходит в большинстве случаев, либо может быть принято решение об изменении требований к продукту, например о снижении класса защищенности. Возможен вариант, когда сертификационные испытания завершаются с отрицательным результатом. Наиболее нашумевшим в прессе примером можно назвать случай, когда испытательная лаборатория НИИ ВМФ после года проверок выдала отрицательное сертификационное заключение на программные изделия специального назначения. Известны как минимум пять случаев, когда определенные версии ОС и СУБД не смогли получить сертификат на отсутствие недекларированных возможностей по причине потери части исходного кода старых модулей. Если посмотреть реестр ФСТЭК, то можно заметить, что ряд программных систем защиты (например, СУБД Oracle и система безопасности приложений IBM Guardium) получили сертификаты лишь на соответствие ТУ, а не на соответствие руководящему документу Гостехкомиссии - это значит, что орган по сертификации посчитал, что не все требования руководящего документа подтверждены при испытаниях.
  4. Материалы испытаний передаются в орган по сертификации, который проводит их независимую экспертизу. Как правило, в экспертизе участвуют не менее двух экспертов, которые независимо друг от друга подтверждают корректность и полноту проведения испытаний.
  5. Федеральный орган по сертификации на основании заключения органа по сертификации оформляет сертификат соответствия. Надо сказать, что в случае выявления каких-либо несоответствий федеральный орган может провести дополнительную экспертизу с привлечением экспертов из различных аккредитованных лабораторий и органов.

В системах обязательной сертификации имеется практика отзыва и приостановления лицензий и аттестатов аккредитаций в случае выявления грубых нарушений в процессе сертификации. Были случаи, когда под сомнение на продолжение деятельности подпали три лаборатории и орган по сертификации, в результате чего две организации прекратили дальнейшую активность в области сертификации. Кроме того, в случае возникновения инцидентов на объектах информатизации, связанных с утечкой информации, регулирующие органы могут проинспектировать лабораторию, которая проводила испытания.

Системы сертификации и требования

Деятельность российских систем сертификации в РФ регламентируется Федеральным законом № 184 «О техническом регулировании». Сертификация средств защиты информации может быть добровольной или обязательной - проводимой главным образом в рамках Минобороны, ФСБ и ФСТЭК. Для большинства коммерческих компаний термин «сертификация» является синонимом понятий «сертификация в системе ФСБ» для криптографических средств защиты и «сертификация в системе ФСТЭК» для всех остальных продуктов. Однако необходимо иметь в виду, что, помимо криптографии, к компетенции ФСБ относятся средства защиты информации, применяемые в высших органах государственной власти. Система сертификации средств защиты информации Минобороны, в свою очередь, ориентирована на программные изделия, применяемые на объектах военного назначения.

Добровольные системы сертификации средств защиты информации на сегодняшний день пока еще не получили широкого распространения. Единственной сколь бы то ни было заметной из такого рода систем является «АйТи-Сертифика». К сожалению, несмотря на то что в добровольных системах можно получить сертификат на соответствие любому нормативному документу по защите конфиденциальной информации, при аттестации объектов информатизации такие сертификаты ФСТЭК России не признаются.

Что касается документов, на соответствие которым проводятся сертификационные испытания, то они практически идентичны во всех системах сертификации. Существуют два основных подхода к сертификации – и соответственно два типа нормативных документов.

  1. Функциональное тестирование средств защиты информации, позволяющее убедиться в том, что продукт действительно реализует заявленные функции. Это тестирование чаще всего проводится на соответствие конкретному нормативному документу – например, одному из руководящих документов Гостехкомиссии России. Такие документы установлены, например, для межсетевых экранов и средств защиты от несанкционированного доступа. Если же не существует документа, которому сертифицируемый продукт соответствовал бы в полной мере, то функциональные требования могут быть сформулированы в явном виде – например, в технических условиях, или в виде задания по безопасности (в соответствии с положениями стандарта ГОСТ Р 15408).
  2. Структурное тестирование программного кода на отсутствие недекларированных возможностей. Классическим примером недекларированных возможностей являются программные закладки, которые при возникновении определенных условий инициируют выполнение не описанных в документации функций, позволяющих осуществлять несанкционированные воздействия на информацию (по ГОСТ Р 51275-99). Выявление недекларированных возможностей предполагает проведение серии тестов исходных текстов программ, предоставление которых является необходимым условием для возможности проведения сертификационных испытаний.

В большинстве случаев средство защиты информации должно быть сертифицировано как в части основного функционала, так и на предмет отсутствия недекларированных возможностей. Делается исключение для систем обработки персональных данных второго и третьего класса с целью снижения затрат на защиту информации для небольших частных организаций. Если программное средство не имеет каких-либо механизмов защиты информации, оно может быть сертифицировано только на предмет отсутствия недекларированных возможностей.

Мифология вокруг сертификации

Процесс организации и проведения испытаний в любой системе сертификации жестко формализован, однако отсутствие у большинства ИТ-специалистов опыта участия в таких испытаниях, а также взаимодействия с регуляторами рождает ряд мифов и заблуждений, касающихся вопросов сертификации.

Миф №1: сертификация – это торговля. К сожалению, часть потребителей искренне считает любую сертификацию формальной процедурой получения разрешительной документации, естественно, коррумпированной и абсолютно бесполезной. Поэтому для многих заявителей становится шоком тот факт, что предъявляемые для сертификации средства защиты действительно серьезно проверяются, причем результат проверки может быть отрицательным. Независимый контроль органов по сертификации над испытательными лабораториями гарантирует отсутствие сговора между заявителем и лабораторией.

Миф №2: сертификацию проводят государственные органы. Безусловно, федеральные органы всех обязательных систем сертификации являются государственными, однако испытательные лаборатории и органы по сертификации могут иметь любую форму собственности, и на практике большинство из них – коммерческие организации.

Миф № 3: сертификация нужна только для средств защиты гостайны. На сегодняшний день более 80% средств защиты информации сертифицируются для использования исключительно в автоматизированных системах, не содержащих сведений, составляющих государственную тайну.

Миф № 4: сертификация нужна только госструктурам. На самом деле конечного заказчика интересует аттестация объекта информатизации – формальное подтверждение того, что автоматизированная система является защищенной. В большинстве случаев для успешного прохождения аттестации система должна строиться с использованием исключительно сертифицированных средств защиты – это справедливо не только для систем, относящихся к государственному информационному ресурсу, но и для систем, связанных с обработкой персональных данных. Можно встретить требования по обязательной сертификации программной продукции даже независимо от вида защищаемых тайн; например, такие требования имеются для систем, работающих с кредитными историями граждан, игровых систем в случаях предоставлении доступа к ресурсам из сетей международного обмена и др.

Миф № 5: зарубежный продукт нельзя сертифицировать. В действительности продукты таких разработчиков, как Microsoft, IBM, SAP, Symantec, Trend Micro и т. д., успешно проходят сертификационные испытания, в том числе и на отсутствие недекларированных возможностей.

Как правило, зарубежные компании не передают исходные тексты в Россию, поэтому испытания проводятся с выездом к разработчику. Разумеется, программные коды предоставляются под абсолютным контролем служб безопасности разработчиков, исключающих какую-либо утечку. Проведение работ в таком режиме является довольно сложным и требует высокой квалификации специалистов, поэтому не каждая испытательная лаборатория готова предложить такие услуги. Однако число зарубежных продуктов, проходящих сертификацию в России, с каждым годом увеличивается. Сегодня около 20 зарубежных компаний, в том числе Microsoft, IBM, Oracle и SAP, предоставили исходные коды своих продуктов для сертификационных испытаний. В этом отношении примечательна инициатива корпорации Microsoft - Government Security Program, согласно которой базовый код всех продуктов компании передан на территорию России для исследования. За последние пять лет почти 40 зарубежных продуктов получили сертификаты на отсутствие недекларированных возможностей.

Миф № 6: сертифицирован – значит защищен. Это не совсем так. Правильной была бы формулировка: продукт сертифицирован – значит соответствует тем или иным требованиям. При этом потребитель должен четко понимать, на соответствие чему именно сертифицировано средство защиты, чтобы убедиться, действительно ли в ходе проведения испытаний проверялись характеристики продукта, которые интересуют заказчика.

Если испытания продукта проводились на соответствие техническим условиям, то в сертификате это соответствие будет зафиксировано, но при этом потребитель, не прочитав технические условия на продукт, в принципе не может определить, какие характеристики проверялись, что создает предпосылки для обмана неквалифицированного потребителя. Аналогичным образом наличие сертификата на отсутствие недекларированных возможностей ничего не говорит о функциональных возможностях продукта.

Очень важно ознакомиться с ограничениями на использование продукта, которые указаны в технических условиях: конкретные операционные среды и платформы, режимы работы, конфигурации, применение дополнительных средств защиты и др. Например, сертификат на некоторые версии операционных систем Windows и МСВС действителен только с модулем доверенной загрузки. Почти все сертификаты на внешние средства защиты действительны только для конкретных версий ОС, а в ограничениях на использование ряда средств доверенной загрузки указывается, что должна быть обеспечена физическая защита компьютера. Известен курьезный случай, когда в ограничениях одного устаревшего средства защиты было указано, что Windows должна работать только в командном режиме.

Миф № 7: при сертификации ничего не находят. Независимо от требований нормативных документов, сегодня сложилось негласное правило, по которому в рамках сертификационных испытаний эксперты тщательно инспектируют исходный код (в случае его предоставления), а также проводят различные варианты нагрузочного тестирования. Кроме того, эксперты изучают различные бюллетени по безопасности продуктов и сред их функционирования. В результате этого опытная лаборатория получает список критических уязвимостей, которые заявитель должен исправить или описать в документации. Например, при сертификации выявляются такие уязвимости, как встроенные пароли и алгоритмы их генерации, архитектурные ошибки (некорректная реализация дискретного и мандатного принципов доступа и т. п.), некорректности программирования (уязвимости к переполнению буфера, ошибки операторов логики и времени, гонки, возможность загрузки недоверенных файлов и др.), а также ошибки обработки данных приложений (SQL-инъекции, кросс-сайтовый скриптинг), реализация которых может существенно снизить уровень безопасности системы. Согласно нашей практике, в 70% проверенного коммуникационного оборудования обнаруживались встроенные мастер-пароли, а почти в 30% проверяемых операционных систем были выявлены ошибки реализации системы разграничения доступом. Зафиксированы также случаи, когда в продуктах присутствовали даже логические временные бомбы.

Миф № 8: продукт сертифицирован на отсутствие недекларированных возможностей – значит в нем нет уязвимостей. На сегодняшний день нет методов гарантированного выявления всех возможных уязвимостей программного обеспечения - успешное прохождение сертификации на отсутствие недекларированных возможностей гарантирует обнаружение лишь определенного класса уязвимостей, выявляемых с использованием конкретных методов. С другой стороны, прохождение сертификации на отсутствие недекларированных возможностей гарантирует наличие у разработчика системы качества производства программ, то есть найдены и зафиксированы все реальные исходные тексты и компиляционная среда, компиляция и сборка могут быть гарантировано повторены, а также имеется русскоязычная документация.

Миф № 9: требования по анализу исходного кода существуют только в нашей стране. Часто можно столкнуться с критикой строгости отечественной сертификации, связанной с предоставлением исходных текстов программ. Действительно, в международной системе сертификации Common Criteria допускается проведение испытаний продукции, обрабатывающей информацию, не отнесенную к гостайне, без предоставления исходных кодов, однако в этом случае должны быть обоснованы проверки на отсутствие скрытых каналов и уязвимостей. Для систем обработки гостайны и платежных систем предусмотрен структурный анализ безопасности исходного кода. Требования по аудиту безопасности исходного кода коммерческих программных продуктов можно найти в международных стандартах PCI DSS, PA DSS и NISTIR 4909.

Миф № 10: сертификация стоит дорого. Сертификация программного обеспечения по требованиям безопасности информации – это довольно длительный и трудоемкий процесс, который не может быть бесплатным. В то же время наличие сертификата соответствия значительно расширяет рынок сбыта продукта заявителя и увеличивает количество продаж, и тогда стоимость сертификации по отношению к прочим затратам оказывается небольшой.

Будущее сертификации

Сертификация не является универсальным способом решения всех существующих проблем в области информационной безопасности, однако сегодня это единственный реально функционирующий механизм, который обеспечивает независимый контроль качества средств защиты информации, и пользы от него больше, чем вреда. При грамотном применении механизм сертификации позволяет вполне успешно решать задачу достижения гарантированного уровня защищенности автоматизированных систем.

Заглядывая вперед, можно предположить, что сертификация как инструмент регулятора будет изменяться в направлении совершенствования нормативных документов, отражающих разумные требования по защите от актуальных угроз, с одной стороны, и в направлении улучшения методов проверки критических компонентов по критерию «эффективность/время» - с другой.

Алексей Марков ([email protected]), Валентин Цирлов - сотрудники НПО «Эшелон» (Москва).



Сертифицированные программные продукты, процедура сертификации программного обеспечения, требования безопасности, задачи ФСТЭК и ФСБ.

Согласно требования Федерального закона (Ф3) №781 и Постановления правительства РФ 17.11.07г., все вопросы в сфере защиты персональных данных возложены на ФСТЭК России и ФСБ России . Так же есть ряд уполномоченных представителей * , которые могут сертифицировать программное обеспечение (ПО). Согласно требованиям нормативных документов, использование сертифицированных средств защиты информации обязательно во всех информационных системах обработки персональных данных с 1-го по 3-й класс включительно (все рабочие станции и серверы по обработке персональных данных).

Процедура сертификациии программного обеспечения

Процедура сертификации ПО необходима в двух случаях:
  1. сертификация разработчиками по собственному желанию (цели сертификации могут быть различными);
  2. обязательная сертификация программного обеспечения (если ПО обрабатывает данные, потеря/утечка которых может причинить вред/ущерб частным лицам, компаниям, государственным и иным структурам).
Уведомление об обработке персональных данных и, соответственно, использование сертифицированных средств защиты информации не обязательно в случае :
  • защиты персональных данных субъектов, с которыми у оператора имеются трудовые отношения (например, кадровый отдел в рамках одного юридического лица);
  • данные используются для выполнения договора с Субъектом персональных данных (например, Договора оказания услуг и др.);
  • персональные данные являются обезличенными (то есть отсутствует возможность точно идентифицировать субъекта персональных данных, например вес, рост, дата рождения и др. параметры, не привязанные к каким-либо уникальным идентификаторам (паспорт, ИНН и др.));
  • персональные данные являются общедоступными (то есть данные, которые определены общедоступными данным или другими законами, например данные о кандидатах на выборные должности и др.).

Сертифицированное ПО (требования по безопасности)

  • ПО, прошедшее проверку соответствия в Системе сертификации средств защиты информации по требованиям государственных стандартов и нормативных документов по защите информации ФСТЭК России и ФСБ России, что подтверждается Сертификатом соответствия.
  • Копия сертификата соответствия(заверенная печатью заявителя) должна входить в комплект поставки сертифицированного ПО ;
ПО, дистрибутив, которого соответствует эталонному экземпляру, подвергавшемуся сертификационным испытаниям, что подтверждается соответствующими записями в сопроводительной документации на сертифицированное ПО (формуляре), и специальным голографическим знаком соответствия с уникальным номером, который идентифицирует данный экземпляр в системе государственного учета сертифицированных продуктов.
  • Верифицированный дистрибутив ПО, формуляр с указанием контрольной суммы дистрибутива и специальный голографический знак соответствия должны входить в комплект поставки сертифицированного ПО ;
ПО, механизмы защиты развернутой версии которого настроены в соответствии с сертифицированными параметрами. ПО сертифицируется на соответствие техническим документам (РД, ТУ или ЗБ) и с параметрами, указанными в этой документации.
  • Комплект поставки сертифицированного ПО должен включать в себя документацию и материалы для настройки ПО в соответствии с сертифицированными параметрами, приведенными в технической документации ;
ПО, все доработки (обновления) которого, критичные для безопасности, подвергаются сертификационным испытаниям, и доводятся до конечного пользователя. При выпуске обновлений и исправлений в системе безопасности сертифицированного продукта производитель обязан предоставить обновления на сертификацию и довести информацию до потребителя.
  • Комплект поставки сертифицированного ПО должен включать в себя всё необходимые инструменты для получение потребителем обновлений безопасности ;
ПО, контролируемое в процессе эксплуатации. ПО должно иметь средства контроля целостности, учета событий внедрения в ПО обновлений безопасности, контроля защищенности в процессе эксплуатации. У потребителя должны быть механизмы проверки целостности обновлений средств защиты с использованием контрольных сумм.
  • Комплект поставки сертифицированного ПО должен включать в себя необходимые программные средства (встроенные или наложенные), предназначенные для выполнения данных требований ;
ПО, каждый сертифицированный экземпляр, которого учтен в реестре сертифицированных продуктов. Производитель обязан маркировать средства защиты и обеспечивать беспрепятственный доступ должностных лиц органов, осуществляющих контроль за сертифицированными средствами защиты к учетной информации.
  • Каждый экземпляр сертифицированного ПО сопровождается уникальными номерами, идентифицирующими средство защиты в соответствии с порядками, установленными для данной системы сертификации ** .

Задачи ФСТЭК и ФСБ

Основными задачами ФСТЭК в сфере сертификации ПО являются:
  • реализация в пределах своей компетенции государственной политики в области обеспечения безопасности информации в ключевых системах информационной инфраструктуры, противодействия техническим разведкам и технической защиты информации;
  • осуществление самостоятельного нормативно-правового регулирования вопросов:
  1. обеспечения безопасности информации в ключевых системах информационной инфраструктуры;
  2. противодействия техническим разведкам;
  3. технической защиты информации.
  • осуществление в пределах своей компетенции контроля деятельности по обеспечению безопасности информации в ключевых системах информационной инфраструктуры, по противодействию техническим разведкам и по технической защите информации в аппаратах федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации, в федеральных органах исполнительной власти, органах исполнительной власти субъектов Российской Федерации, органах местного самоуправления и организациях *** ;

Лицензирование ПО ФСБ России

Лицензированию, осуществляемому центром ФСБ России, подлежат:
  • деятельность, связанная с использованием сведений, составляющих государственную тайну;
  • деятельность по осуществлению мероприятий и (или) оказанию услуг в области защиты государственной тайны;
  • деятельность, связанная с созданием средств защиты информации **** ;

Сведения о системе сертификации программного обеспечения

Все данные о системе сертификации средств защиты информации по требованиям безопасности можно найти на официальном сайте ФСТЭК ***** .

Сертифицированные продукты

На данный момент количество сертифицированных продуктов насчитывает 3154 позиции ****** . Практически все эти продукты вы можете найти на нашем сайте в разделе «

Продукты Microsoft, сертифицированные ФСТЭК , с точки зрения программного кода ничем не отличаются от обычных лицензионных легальных продуктов Microsoft, поскольку программная реализация продуктов Microsoft позволяет получать соответствующие сертификаты ФСТЭК без изменений программного кода. Однако в соответствии с законодательством России сертифицированные продукты ФСТЭК имеют ряд других важных отличий от несертифицированных продуктов, а именно:

  • каждый экземпляр сертифицированного продукта, находящегося у заказчика, должен пройти процедуру проверки соответствия этого экземпляра тому экземпляру, который прошел сертификацию;
  • каждый экземпляр сертифицированного продукта, находящегося у заказчика, в случае положительной проверки его соответствия экземпляру, прошедшему сертификацию, получает пакет сертификационных документов государственного образца, включая голографический знак соответствия ФСТЭК с уникальным номером на каждую копию (если у заказчика 1000 компьютеров с сертифицированным продуктом, то ему выдается 1000 голограмм), который идентифицирует данный экземпляр в системе государственного учета сертифицированных продуктов;
  • каждая организация, купившая сертифицированный продукт, получает защищенный доступ к персональной странице для получения сертифицированных обновлений.

Продукты Microsoft, сертифицированные другими уполномоченными органами , содержат дополнительное программное обеспечение, а именно сервисные пакеты, разработанные российскими организациями, которые позволяют этим продуктам Microsoft удовлетворять требованиям. Эти сервисные пакеты ‘Secure Pack Rus’ содержат в себе прежде всего российскую сертифицированную криптографию, которую Microsoft не производит.

Использование сертифицированных продуктов

Если организация хочет использовать программный продукт, который еще не сертифицирован, то с этим продуктом она должна использовать «наложенное» (стороннее) средство защиты информации, прошедшее сертификацию, и предназначенное для работы с этим продуктом. Использование наложенных средств защиты информации существенно удорожает продукт и зачастую резко снижает возможность взаимодействия этого продукта с другими программными и аппаратными средствами. Поэтому Microsoft сертифицирует свои программные продукты со встроенными средствами защиты информации – так удобнее и дешевле для заказчиков.

В России организовано массовое производство всех сертифицированных версий продуктов Microsoft. Это позволяет заказчикам приобретать любые количества сертифицированных продуктов. Непрерывная сертификация ежемесячно выходящих обновлений к продуктам позволяет покупателям иметь сертифицированную версию не только с самыми последними обновлениями системы безопасности, но и соответствующую при этом требованиям регулятора.

КАКИЕ ПРОДУКТЫ MICROSOFT СЕРТИФИЦИРОВАНЫ ФСТЭК

В настоящее время ФСТЭК сертифицированы следующие продукты Microsoft:

  • клиентская операционная система Microsoft Windows XP Professional, русская версия (включая ОЕМ-производство);
  • клиентская операционная система Microsoft Windows Vista (Business, Enterprise, Ultimate), русская версия (включая ОЕМ производство);
  • серверная операционная система Microsoft Windows Server 2003 (Standard Edition и Enterprise Edition), русские версии;
  • серверная операционная система Microsoft Windows Server 2003 R2 (Standard Edition и Enterprise Edition), русские версии;
  • система управления базами данных Microsoft SQL Server 2005 (Standard Edition и Enterprise Edition), русские версии;
  • платформа офисных приложений Microsoft Office 2003 Professional, русская версия, включая встроенную технологию управления цифровыми правами документов, работающую с серверной технологией RMS, встроенную в Microsoft Windows Server 2003;
  • платформа офисных приложений Microsoft Office 2007 Professional, русская версия, включая встроенную технологию управления цифровыми правами документов, работающую с серверной технологией RMS, встроенную в Windows Server 2003;
  • межсетевой экран Microsoft ISA Server 2006 (Standard Edition), русская версия - на соответствие как общим критериям, так и руководящим документам «СВТ. Межсетевые экраны…» по третьему классу защищенности;
  • антивирусные продукты Microsoft Forefront для серверов и рабочих станций (Forefront для Exchange Server, Forefront для SharePoint Server, и Forefront Client);
  • сервер управления почтовыми сообщениями Microsoft Exchange Server 2007;
  • сервер для управления бизнес-процессами Microsoft BizTalk Server 2006 R2;
  • серверная операционная система Microsoft Windows Server 2008 (все издания), включая сервер виртуализации Hyper-V, русские версии;
  • система управления базами данных Microsoft SQL Server 2008 (все издания), русские версии;
  • платформа офисных приложений Microsoft Office Professional Plus 2007, русская версия;
  • система управления операциями в информационных системах Microsoft System Center Operations Manager 2007;
  • система управления конфигурациями в информационных системах Microsoft System Center Configuration Manager 2007;
  • система управления защитой данных в информационных системах Microsoft System Center Data Protection Manager 2007;
  • система управления виртуальными машинами в информационных системах Microsoft System Center Virtual Machine Manager 2008;
  • система управления отношениями с клиентами Microsoft Dynamics CRM 4.0;
  • система управления предприятием Microsoft Dynamics AX 2009;
  • система управления предприятием Microsoft Dynamics AX 4.0;
  • система управления предприятием Microsoft Dynamics NAV 5.0;
  • клиентская операционная система Windows 7 (все издания), русская и английская версии;
  • серверная операционная система Windows Server 2008 R2 (все издания), русская и английская версии;
  • сервер для управления бизнес процессами Microsoft BizTalk Server 2009 (все издания), русская версия;
  • сервер управления идентификацией в гетерогенных системах Microsoft Forefront Identity Manager 2010, русская и английская версии;
  • сервер управления почтовыми сообщениями Microsoft Exchange Server 2010 (все издания), русская и английская версии;
  • система управления сервисами в информационных системах Microsoft System Center Service Manager 2010, русская и английская версии;
  • система управления отношениями с клиентами Microsoft Dynamics CRM 2011, русская версия;
  • система управления предприятием Microsoft Dynamics NAV 2009 R2, русская версия;
  • платформа офисных приложений Microsoft Office Professional Plus 2010, русская и английская версии;
  • система антивирусной защиты Microsoft Forefront Endpoint Protection 2010, русская и английская версии;
  • сервер документооборота Microsoft SharePoint Server 2010 (все издания), русская и английская версии;
  • сервер коммуникаций Microsoft Lync Server 2010 Enterprise, русская и английская версии;
  • система управления предприятием Microsoft Dynamics AX 2012 R2;
  • клиентская операционная система Microsoft Windows 8 (версии Windows 8, Windows 8 Профессиональная, Windows 8 Корпоративная);
  • серверная операционная система Microsoft Windows Server 2012 (версии Windows Server Standard 2012, Windows Server Datacenter 2012, Windows Storage Server 2012 Standard, Windows Storage Server 2012 Workgroup, Windows server Essentials 2012, Windows Server Foundation 2012);
  • система управления информационной структурой Microsoft System Center 2012 (версии Standard и Datacenter);
  • система управления базами данных Microsoft SQL Server 2012 (версии Standard, Enterprise, Business Intelligence, Web);
  • платформа офисных приложений Office Professional Plus 2013;
  • сервер управления виртуальными структурами Microsoft Hyper-V Server 2012;
  • система управления информационной структурой Microsoft System Center 2012 R2 (версии Standard и Datacenter);
  • система управления отношениями с клиентами Microsoft Dynamics CRM 2013;
  • сервер управления почтовыми сообщениями Microsoft Exchange Server 2013 (версии Standard и Enterprise);
  • сервер документооборота Microsoft SharePoint Server 2013;
  • системы управления базами данных Microsoft SQL Server 2014 в редакциях Enterprise Edition (EE), Business Intelligence (BI), Standard (Std), Web, Express, Express with tools;
  • система управления отношениями с клиентами Microsoft Dynamics CRM Server 2015.

В соответствии с полученными сертификатами ФСТЭК, указанные сертифицированные продукты позволяют строить автоматизированные системы до класса защищенности 1Г включительно. Кроме того, те из них которые вышли поcле принятия ФЗ-152 «О персональных данных», сертифицированы и на соответствие законодательству о персональных данных.

В настоящее время во ФСТЭК закончена сертификация следующих продуктов, все отчетные документы находятся в органах по сертификации:

  • Lync Server 2013;
  • Windows 8.1;
  • Windows Server 2012 R2.

КАКИЕ ПРОДУКТЫ MICROSOFT СЕРТИФИЦИРОВАНЫ другими уполномоченными органами

Следующие продукты Microsoft сертифицированы ФСБ:

  • клиентская операционная система Microsoft Windows XP Professional, русская версия;
  • серверная операционная система Microsoft Windows Server 2003 Enterprise Edition, русская версия;
  • сервер документооборота Microsoft SharePoint Server 2007;
  • система управления базами данных Microsoft SQL Server 2008;
  • Microsoft Windows 7 Professional, Enterprise и Максимальная все с SP1;
  • Microsoft Windows 8 Professional и Enterprise;
  • Microsoft Windows 8.1 Professional и Enterprise;
  • Microsoft Windows Server 2008 Standard R2 и Enterprise R2 обе c SP1;
  • Microsoft Windows Server 2012 Standard c SP1;
  • Microsoft Windows Server 2012 R2 c SP1.

Сертификаты удостоверяют, что указанные продукты соответствуют требованиям уполномоченных органов России к

  • защите информации, не содержащей сведений, составляющих государственную тайну,
  • защите от несанкционированного доступа в автоматизированных информационных системах класса АК2 (некоторые продукты сертифицированы и на уровень АК3).

Кроме того, уполномоченные органы сделали положительное заключение по результатам сертификационных испытаний удостоверяющего центра, входящего в состав Windows Server 2003, на соответствие его уровню КС2 в соответствии с национальными требованиями.

Недавно получены положительные заключения по результатам проведенных сертификационных испытаний следующих продуктов:

  • Microsoft Exchange Server 2010.

Как указано в документах, эти продукты могут использоваться для защиты конфиденциальной информации и персональных данных.

Полученные результаты сертификации позволяют создавать системы защищенного документооборота для органов государственной власти и системы «электронного правительства», построенные на платформе Microsoft.



СХОЖИЕ СТАТЬИ