Сертифікація фстека що. Сертифікація засобів захисту. Ключові системи інформаційної інфраструктури

Навіщо потрібна сертифікація

Навіщо потрібна сертифікація програмного забезпечення?

Питання захисту конфіденційної інформації тісно переплетені з інтересами суспільства, особистості, бізнесу та держави. В наш час, в умовах формування єдиного інформаційного простору, вони є найважливішою складовою завдань, що вирішуються державними органами, установами та організаціями при розробці, створенні, експлуатації інформаційних систем, баз та банку персональних даних інформаційних систем.

Будь-яка держава прагне забезпечити контроль за інформацією, пов'язаною із забезпеченням національної безпеки. І тому до програмного забезпечення, яке постачається на ринок та використовується для побудови ключових системінформаційної інфраструктури, пред'являються особливі вимоги.


Ключові системи інформаційної інфраструктури

До таких ключових систем можна віднести:

  • інформаційні системи органів державної влади, органів управління та правоохоронних структур;
  • інформаційні системи фінансово-кредитної та банківської діяльності;
  • інформаційно-телекомунікаційні системи спеціального призначення;
  • мережі зв'язку правоохоронних структур;
  • мережі зв'язку загального користування на ділянках, які не мають резервних чи альтернативних видів зв'язку;
  • автоматизовані системи керування енергопостачанням;
  • автоматизовані системи управління наземним та повітряним транспортом;
  • автоматизовані системи управління видобутком та транспортуванням нафти та газу;
  • автоматизовані системи попередження та ліквідації надзвичайних ситуацій;
  • автоматизовані системи управління екологічно небезпечними виробництвами;
  • автоматизовані системи керування водопостачанням;
  • географічні та навігаційні системи.

І це далеко не повний список. У зазначених системах накопичується, обробляється та передається інформація, пов'язана з виробничою, організаційно-економічною, науково-технічною, кредитно-фінансовою та іншою діяльністю держави. У ряді систем і мереж циркулює інформація оперативно-диспетчерського та технологічного управління, що визначає надійність і безпеку функціонування всього господарського комплексу Росії та істотно впливає на забезпечення її національної безпеки в інформаційній сфері. Саме тому ці системи є ключовими.

У зв'язку з цим, виробники програмного забезпечення зобов'язані враховувативимоги, що накладаються міжнародними та національними законами на інформаційні системи, призначені для роботи з такою інформацією.

Для перевірки відповідності програмного забезпечення цим вимогам та потрібні процедури сертифікації!

Хто має використовувати сертифіковані програмні засоби?

Усі державні організації, недержавні організації, які працюють із так званою «службовою інформацією державних органів», а також низку інших організацій відповідно до російського законодавства (наприклад, організації, які підпадають під відповідні вимоги «Закону про персональні дані»).

Нижче наведено витяги із законодавчих та регулюючих документів, з яких у сукупності випливає необхідність застосування сертифікованих засобів захисту інформації:

  • У Федеральному законі 149 (ФЗ) ст.14 п.8сказано про те, що «…технічні засоби, призначені для обробки інформації, що міститься в державних інформаційних системах, у тому числі програмно-технічні засоби та засоби захисту інформації, повинні відповідати вимогам законодавства України про технічне регулювання»
  • У ФЗ 184«Про технічне регулювання» у ст.4. «федеральні органи виконавчої влади мають право видавати у сфері технічного регулювання акти обов'язкового характеру, у випадках, встановлених статтею 5»
  • Стаття 5 ФЗ 184стосується, в тому числі, і продукції, що використовується з метою захисту відомостей, що відносяться до обмеженої доступу, що охороняється відповідно до законодавства Російської Федерації, до інформації обмеженого доступу (у тому числі «службова інформація держорганів»)
  • Уповноваженим органом, наділеним правом встановлювати обов'язкові вимоги щодо захисту інформації, у соотв. зі ст.15 ФЗ 149 є ФСТЕК Росії
  • Зокрема, у нормативному документі СТР-К(Спеціальні вимоги щодо захисту конфіденційної інформації) ФСТЕК Росії затверджується
    • п.2.3.«Вимоги та рекомендації цього документа поширюються на захист державних інформаційних ресурсів некриптографічними методами, спрямованими на запобігання витоку інформації, що захищається по технічних каналах, від несанкціонованого доступу до неї та від спеціальних впливів на інформацію з метою її знищення, спотворення та блокування».
    • п. 2.16. Для захисту конфіденційної інформації використовуються сертифіковані за вимогами безпеки інформації засоби захисту інформації. Порядок сертифікації визначається законодавством Російської Федерації».
    • п.2.17. «Об'єкти інформатизації мають бути атестовані за вимогами безпеки інформації відповідно до нормативних документів ФСТЕК Росії та вимог цього документа».
  • Закон РФ N 5485-1 від 21 липня 1993 р. («Закон про державну таємницю») визначає засоби захисту інформації як «складову частину інформаційних систем чи продуктів».

Відповідно до наведених законів відповідні організації (зокрема, державні) зобов'язані використовувати програмні та апаратні засоби із сертифікованими засобами захисту інформації.

Органи сертифікації

Ким здійснюється сертифікація ПЗ у Російській Федерації?

У нашій країні є кілька різних систем сертифікації, зорієнтовані різні типи програмного забезпечення (ФСТЭК, ФСБ, Міноборони та інших.).

Основними системами сертифікації для більшості ПЗ є системи сертифікації ФСБ та ФСТЕК.

  • Сертифікація ФСБ призначена для перевірки підсистем ПЗ, що використовують криптографічний захист (у нашій країні допускаються лише російські криптоалгоритми). Вимоги до систем сертифікації ФСБ не є публічними, ознайомлення з ними передбачає наявність спеціальних допусків
  • Сертифікація ФСТЕК призначена для перевірки забезпечення технічного захисту інформації некриптографічними методами. Вимоги системи сертифікації ФСТЕК є відкритими та опубліковані на офіційному сайті .

Поточні програмні продукти "1С-Бітрікс" не містять вбудованих інструментів криптографічного захисту, тому сертифікація ФСБ для них не потрібна. Далі за текстом йдеться лише про сертифікацію ФСТЕК.

Що таке сертифікований продукт у РФ?

Російська система сертифікації докорінно відрізняється від систем, прийнятих в інших країнах, причому в кращу сторону. Кожна претендує на сертифікат копія ПЗ перевіряється на відповідність тій, яка безпосередньо піддавалася випробуванням при сертифікації, тобто на бінарному рівні, всі сертифіковані копії повністю ідентичні. Служби, які відповідають за цілісність цих продуктів, можуть у будь-який час проконтролювати у користувача наявність усіх необхідних сертифікованих патчів та оновлень, а також перевірити продукти на відсутність несертифікованих змін.

А ось за умовами міжнародної системи сертифікації Common Сriteria сертифікованим вважається будь-який ліцензійний екземпляр ПЗ, що пройшло сертифікацію, - ідентичність кожного екземпляра тому, що безпосередньо проходив сертифікацію, не перевіряється. Але регулярно випускаються патчі і нові версії програм, і варіанти ПЗ, що поставляється на ринок сьогодні, просто можуть відрізнятися від протестованого свого часу екземпляра, поданого для отримання сертифіката.

Кожен екземпляр сертифікованого продукту «1С-Бітрікс» має пакет документів державного зразка, що підтверджують те, що цей продукт є сертифікованим. Крім того, є голографічний знак відповідності ФСТЕК з унікальним номером, який ідентифікує цей екземпляр у системі державного обліку сертифікованих продуктів.

Кожна організація, яка придбала сертифіковані продукти, має захищений доступ до персональної для цієї організації сторінки на спеціалізованому сайті, звідки ця організація отримуватиме сертифіковані оновлення та іншу інформацію.

Що таке ФСТЕК Росії та які його функції?

ФСТЕК Росії (до 2004 року - Держтехкомісія Росії) - це федеральний орган виконавчої влади, який має наступні повноваження:

  • забезпечення безпеки інформації у ключових системах інформаційної та телекомунікаційної інфраструктури;
  • протидія іноземним технічним розвідкам;
  • забезпечення технічного захисту інформації некриптографічними методами;
  • здійснення експортного контролю.

Відповідно до положення про ФСТЕК Росії однією з її основних завдань є організація діяльності державної системи протидії технічним розвідкам та технічного захисту інформації на федеральному, міжрегіональному, регіональному, галузевому та об'єктовому рівнях, а також керівництво зазначеною державною системою.

Усі нормативні правові акти та методичні документи, видані з питань діяльності ФСТЕК Росії, обов'язкові для виконанняапаратами федеральних органів державної влади та органів державної влади суб'єктів Російської Федерації, федеральними органами виконавчої влади, органами виконавчої влади суб'єктів Російської Федерації, органами місцевого самоврядування та організаціями.

Як здійснюється сертифікація ФСТЕК?

ФСТЕК є лише організатором сертифікації та службою контролю верхнього рівня. Безпосередні дії виконують ліцензіари ФСТЕК– випробувальні лабораторії та експертні організації. Перші безпосередньо проводять дослідження, а другі займаються перевіркою якості цих випробувань.

Замовник має право обирати випробувальну лабораторію (за згодою ФСТЕК), але ФСТЕК самостійно призначає експертну організацію на перевірку результатів.

Таким чином, з одного боку є конкурентне середовище, коли випробувальні лабораторії виборюють клієнта (вартістю перевірок, термінами тощо), з іншого – якість випробувань чітко перевіряється незалежними експертами.

За аналогією працює система сертифікації ФСБ.

Крім того, у системі сертифікації ФСТЕК існує ще інститут заявників. Ці компанії безпосередньо працюють з випробувальними лабораторіями та експертними організаціями, саме вони проводять порівняння копій продуктів, що продаються, на відповідність їх зразку, що пройшов сертифікацію. Вони ж видають документи встановленого зразка для кожної копії продуктів, що пройшли таке порівняння, ведуть облік таких продуктів.

Заявники несуть витрати на перевірку продукту, на виписку відповідних документів, на постійний облік сертифікованих продуктів (де і в якому стані ці продукти знаходяться), у ряді випадків, за домовленістю з власниками продукту, вони також власним коштом проводять сертифікацію всіх патчів.

Сертифікація продуктів 1С-Бітрікс

З якими організаціями співпрацює «1С-Бітрікс» у процесі сертифікації та у якому форматі?

На даний момент компанія «1С-Бітрікс» співпрацює з компанією . Ця компанія виступила в наступній ролі:

Заявник, Котрий

a. виконує всі організаційні заходи, пов'язані із сертифікацією;

b. несе витрати на постійний облік сертифікованих копій;

c. безпосередньо продає сертифіковані програмні продукти "1С-Бітрікс".

Чи достатньо використання сертифікованого продукту «1С-Бітрікс» для підсумкової атестації інформаційної системи?

Звичайно ж ні. Використання сертифікованого софту є необхідною, але недостатньою умовою для підсумкової атестації інформаційної системи замовника.

По-перше, як правило, сертифікований продукт працює в умовах ІТ-інфраструктури. Для продуктів "1С-Бітрікс" це операційна система веб-сервера та сервера бази даних, сервер СУБД, веб-сервер, інтерпретатор PHP, прекомпілятор PHP і т.п. Відповідно, безпека всієї системи може бути досягнута тільки при безпеці всіх її компонентів, що також визначається наявністю на них відповідних сертифікатів.

По-друге, на етапі впровадження у продукт можуть вноситися зміни, які також можуть знизити безпеку системи в цілому, і ці зміни необхідно також тестувати та атестувати.

По-третє, до комплекту сертифікованих версій продуктів входить список рекомендацій щодо їх інсталяції та використання. Ці рекомендації готуються у випробувальній лабораторії та їх дотримання гарантує найкращий та адекватний вимогам замовників рівень захисту. Ці рекомендації є обов'язковими до використання.

Таким чином, у будь-якому випадку необхідна підсумкова атестація інформаційної системи на відповідність вимогам ФСТЕК та (або) ФСБ.

Використання сертифікованих версійдозволяє суттєво економити на процедурі підсумкової атестації інформаційної системи та (або) робочих місць на їх відповідність вимогам захисту інформації певної категорії, хоч і не тягне за собою автоматичну атестацію. У випадку, якщо використовується несертифікований софт, потрібно закуповувати та впроваджувати додаткові сертифіковані інструменти захисту, що може дуже підвищити вартість атестації.

Як і в які терміни замовники одержують оновлення сертифікованих продуктів?

При виході будь-якого оновлення продукту необхідна його сертифікація, інакше встановивши не сертифіковане оновлення, кінцевий користувач порушує цілісність СЗІ і СЗІ втрачає статус сертифікованого.

Усі оновлення проходять перевірку у випробувальній лабораторії. Далі всі сертифіковані оновлення стають доступними на Порталі сертифікованих оновлень компанії "СІС груп". Як правило, ця процедура займає від кількох днів до кількох тижнів.

Однак, як правило, враховуючи консерватизм замовників сертифікованих версій та їх внутрішні процедури узгодження, така затримка не є критичною, і сертифікація оновлень саме встигає на момент прийняття рішення.

У сертифікованих версіях продуктів «1С-Бітрікс» не використовується стандартна система оновленьSiteUpdate через Інтернет, оскільки ці оновлення не є сертифікованими. Сертифіковані оновлення можна отримати із захищеного розділу веб-сайту компанії «Сертифіковані інформаційні системи груп», на якому кожен покупець має особистий кабінет із доступними оновленнями.

Завантажуючи сертифіковані оновлення, замовник завантажує їх у вигляді файлів у спеціальному діалозі системи оновлень

Федеральна служба з технічного та експортного контролю - це федеральний орган виконавчої влади, який здійснює перевірку та контроль в галузі державної безпеки. Сьогодні кожен власник ноутбука при покупці тієї чи іншої антивірусної програми чи програмного забезпечення неодноразово чув такий вираз як сертифікація ФСТЕК. Але мало хто знає, що ж собою є сертифікат ФСТЕК.

Сьогодні питання захисту інформації тісно переплітається з інтересами суспільства, бізнесу та держави. Зазвичай, кожна держава прагне контролювати інформацію, пов'язану з національною безпекою. Тому рік у рік воно ставить основним завданням розробку, експлуатацію добре захищених інформаційних систем, баз персональних даних. У таких системах зберігається, переробляється величезна кількість інформації, пов'язаної практично з усіма видами діяльності держави. Саме тому виробники програмного забезпечення повинні враховувати законодавчі вимоги, що накладаються на інформаційні системи, які беруть участь у державній діяльності. Процедура сертифікації ФСТЕК здійснюється для перевірки відповідності основним показникам безпеки.

Сертифікат ФСТЕКвидається за підсумками проходження наступних етапів:

  • оформлення заяви на здійснення процедури перевірки;
  • отримання рішення щодо проведення сертифікації;
  • оформлення договору здійснення процесу сертифікації;
  • затвердження програми випробувань;
  • проведення випробувань;
  • оформлення протоколу випробувань;
  • укладання договору з експертною організацією;
  • експертиза лабораторних випробувань;
  • оформлення сертифіката.

Система російської сертифікації ПЗ докорінно відрізняється від сертифікації на заході. По-перше, кожна копія програмного забезпечення, яка претендує на сертифікат ФСТЕК, проходить ряд випробувань та експертиз, яким піддавався початковий продукт. По-друге, кожна компанія, яка придбала сертифікований продукт, має захищений доступ до інформаційної бази даного програмного забезпечення, звідки організація отримуватиме оновлення.

З 2004 року федеральний орган виконавчої влади має такі повноваження:

  1. Забезпечення захисту та безпеки у ключових системах інфраструктури;
  2. Здійснення технічної інформації;
  3. захист інформації від іноземних технічних розвідок;
  4. Забезпечення експортного контролю.

ФСТЕК не займається сертифікаційною діяльністю, він є основним організатором сертифікації. Левову частку дій виконують його ліцензіари – випробувальні лабораторії та експертні центри. Лабораторії досліджують програмне забезпечення, а експертні організації перевіряють якість випробувань. Безперечно, заявник може оформити сертифікат ФСТЕКза результатами випробувань сторонніх організацій. Але в цьому випадку перед тим, як видати сертифікат,ФСТЕКзалишає за собою право призначити повторну перевірку результатів іншої експертної організації. З цієї причини в системі ФСТЕК працює інститут заявника. Вони проводять порівняння копій продуктів, що продаються з програмами, які раніше отримали сертифікат ФСТЕК.

У всьому світі сьогодні практикується тестування коду інформаційних систем з вимог безпеки інформації, проте, незважаючи на розширення практики сертифікації, навколо неї склалася низка міфів і помилок.

02.08.2011 Олексій Марков, Валентин Цирлов

У всьому світі сьогодні практикується тестування коду інформаційних систем щодо вимог безпеки інформації. Наприклад, за кордоном обов'язкову перевірку проходять державні та платіжні програмні системи, а в Росії переважають директивні методи сертифікації щодо вимог безпеки інформації. Однак, незважаючи на розширення практики сертифікації, навколо неї склалася низка міфів та помилок.

На Заході обов'язкові перевірки передбачені для державних та платіжних програмних систем, а банки, брокерські, інвестиційні, страхові та сервісні компанії, що надають послуги в індустрії нерухомості та в Інтернеті, проходять добровільний аудит. У нашій країні традиційно переважають директивні методи оцінки відповідності, зокрема програмне забезпечення низки інформаційних систем підлягає обов'язковій сертифікації щодо вимог безпеки інформації.

Історично система сертифікації з вимог безпеки інформації в Росії виникла після розпаду СРСР, коли з'явилася потреба в контролі безпеки закордонного програмного забезпечення, а також якості російських програмних систем, пов'язаних з обробкою і захистом державної таємниці. Активними учасниками процесу сертифікації стали Міноборони, ФСБ та ФСТЕК.

Донедавна сертифікація головним чином стосувалася силових міністерств та підприємств промисловості, що виконують державні замовлення, аосновна маса фахівців у галузі інформаційних технологій мало цікавилася даною проблемою. Ситуація значно змінилася з прийняттям ФЗ-152 «Про персональні дані» і нормативно-методичних документів, що послідували за ним. Виявилося, що сертифікація програмного забезпечення та атестація об'єктів інформатизації необхідна більшості комерційних компаній та всім державним організаціям, які працюють у галузі медицини, освіти, транспорту. Це негайно породило безліч питань і, як правило, негативних суджень, пов'язаних здебільшого з непорозумінням суті та процесів сертифікації.

У випадку під сертифікацією прийнято розуміти незалежне підтвердження відповідності тих чи інших характеристик товарів чи послуг деяким вимогам. У нашому випадку йдеться про програмні засоби захисту або програм у захищеному виконанні – відповідно як вимоги виступають нормативні документи та документація, що стосується безпеки інформації.

Як проводиться сертифікація?

p align="justify"> Принципова особливість будь-яких сертифікаційних випробувань - це незалежність випробувальної лабораторії, що проводить випробування, і сертифікуючої організації, що здійснює незалежний контроль результатів випробувань, проведених лабораторією. У випадку схема проведення сертифікації виглядає так.

  1. Заявник (розробник або інша компанія, зацікавлена ​​у проведенні сертифікації) подає до федерального органу (ФСБ, ФСТЕК або Міноборони) по сертифікації заявку на проведення сертифікаційних випробувань певного продукту.
  2. Федеральний орган визначає акредитовану випробувальну лабораторію та орган із сертифікації.
  3. Випробувальна лабораторія разом із заявником проводить сертифікаційні випробування. Якщо в процесі випробувань виявляються ті чи інші невідповідності заявленим вимогам, то вони можуть бути усунуті заявником у робочому порядку, що відбувається в більшості випадків, або може бути прийняте рішення про зміну вимог до продукту, наприклад, про зниження класу захищеності. Можливий варіант, коли сертифікаційні випробування завершуються негативним результатом. Найбільш гучним прикладом можна назвати випадок, коли випробувальна лабораторія НДІ ВМФ після року перевірок видала негативний сертифікаційний висновок на програмні вироби спеціального призначення. Відомі щонайменше п'ять випадків, коли певні версії ОС та СУБД не змогли отримати сертифікат на відсутність недекларованих можливостей через втрату частини вихідного коду старих модулів. Якщо подивитися реєстр ФСТЕК, то можна помітити, що ряд програмних систем захисту (наприклад, СУБД Oracle і система безпеки додатків IBM Guardium) отримали сертифікати лише на відповідність ТУ, а не на відповідність керівному документу Держтехкомісії - це означає, що орган з сертифікації вважав, що не всі вимоги керівного документа підтверджені під час випробувань.
  4. Матеріали випробувань передаються до органу сертифікації, який проводить їх незалежну експертизу. Як правило, в експертизі беруть участь не менше двох експертів, які незалежно один від одного підтверджують коректність та повноту проведення випробувань.
  5. Федеральний орган із сертифікації виходячи з висновку органу із сертифікації оформляє сертифікат відповідності. Треба сказати, що у разі виявлення будь-яких невідповідностей федеральний орган може провести додаткову експертизу із залученням експертів із різних акредитованих лабораторій та органів.

У системах обов'язкової сертифікації є практика відкликання та призупинення ліцензій та атестатів акредитацій у разі виявлення грубих порушень у процесі сертифікації. Були випадки, коли під сумнів на продовження діяльності підпали три лабораторії та орган із сертифікації, внаслідок чого дві організації припинили подальшу активність у сфері сертифікації. Крім того, у разі виникнення інцидентів на об'єктах інформатизації, пов'язаних із витоком інформації, регулюючі органи можуть проінспектувати лабораторію, яка проводила випробування.

Системи сертифікації та вимоги

Діяльність російських систем сертифікації до регламентується Федеральним законом № 184 «Про технічне регулювання». Сертифікація засобів захисту може бути добровільної чи обов'язкової - проведеної переважно у межах Міноборони, ФСБ і ФСТЭК. Для більшості комерційних компаній термін «сертифікація» є синонімом понять «сертифікація у системі ФСБ» для криптографічних засобів захисту та «сертифікація у системі ФСТЭК» всім інших товарів. Однак необхідно мати на увазі, що, крім криптографії, до компетенції ФСБ належать засоби захисту інформації, які застосовуються у вищих органах державної влади. Система сертифікації засобів захисту інформації Міноборони, у свою чергу, орієнтована на програмні вироби, що застосовуються на об'єктах військового призначення.

Добровільні системи сертифікації засобів захисту інформації на сьогоднішній день поки що не набули широкого поширення. Єдиною як би там не було помітною з таких систем є «АйТи-Сертифіка». На жаль, незважаючи на те, що в добровільних системах можна отримати сертифікат на відповідність будь-якому нормативному документу захисту конфіденційної інформації, при атестації об'єктів інформатизації такі сертифікати ФСТЕК Росії не визнаються.

Щодо документів, на відповідність яким проводяться сертифікаційні випробування, то вони практично ідентичні у всіх системах сертифікації. Існують два основні підходи до сертифікації – і, відповідно, два типи нормативних документів.

  1. p align="justify"> Функціональне тестування засобів захисту інформації, що дозволяє переконатися в тому, що продукт дійсно реалізує заявлені функції. Це тестування найчастіше проводиться відповідність конкретному нормативному документу – наприклад, одному з керівних документів Держтехкомісії Росії. Такі документи встановлені, наприклад, для міжмережевих екранів та засобів захисту від несанкціонованого доступу. Якщо ж не існує документа, якому сертифікований продукт відповідав би повною мірою, то функціональні вимоги можуть бути сформульовані у явному вигляді – наприклад, у технічних умовах, або у вигляді завдання безпеки (відповідно до положень стандарту ГОСТ Р 15408).
  2. Структурне тестування програмного коду відсутність недекларованих можливостей. Класичним прикладом недекларованих можливостей є програмні закладки, які у разі певних умов ініціюють виконання не описаних у документації функцій, дозволяють здійснювати несанкціоновані на інформацію (за ГОСТ Р 51275-99). Виявлення недекларованих можливостей передбачає проведення серії тестів вихідних текстів програм, надання яких є необхідною умовою для проведення сертифікаційних випробувань.

У більшості випадків засіб захисту інформації повинен бути сертифікований як у частині основного функціоналу, так і щодо відсутності недекларованих можливостей. Робиться виняток для систем обробки персональних даних другого та третього класу з метою зниження витрат на захист інформації для невеликих приватних організацій. Якщо програмний засіб не має жодних механізмів захисту інформації, він може бути сертифікований лише на предмет відсутності недекларованих можливостей.

Міфологія навколо сертифікації

Процес організації та проведення випробувань у будь-якій системі сертифікації жорстко формалізований, проте відсутність у більшості ІТ-фахівців досвіду участі у таких випробуваннях, а також взаємодії з регуляторами породжує низку міфів та оман, що стосуються питань сертифікації.

Міф №1: сертифікація – це торгівля.На жаль, частина споживачів щиро вважає будь-яку сертифікацію формальною процедурою отримання дозвільної документації, природно корумпованою і абсолютно марною. Тому для багатьох заявників стає шоком той факт, що засоби захисту, що пред'являються для сертифікації, дійсно серйозно перевіряються, причому результат перевірки може бути негативним. Незалежний контроль органів сертифікації над випробувальними лабораторіями гарантує відсутність змови між заявником та лабораторією.

Міф №2: сертифікацію проводять державні органи.Безумовно, федеральні органи всіх обов'язкових систем сертифікації є державними, однак випробувальні лабораторії та органи сертифікації можуть мати будь-яку форму власності, і на практиці більшість з них – комерційні організації.

Міф №3: сертифікація потрібна лише для засобів захисту держтаємниці.На сьогоднішній день більше 80% засобів захисту сертифікуються для використання виключно в автоматизованих системах, що не містять відомостей, що становлять державну таємницю.

Міф №4: сертифікація потрібна лише держструктурам.Насправді кінцевого замовника цікавить атестація об'єкта інформатизації – формальне підтвердження того, що автоматизована система захищена. У більшості випадків для успішного проходження атестації система повинна будуватися з використанням виключно сертифікованих засобів захисту – це справедливо не лише для систем, що належать до державного інформаційного ресурсу, а й для систем, пов'язаних із обробкою персональних даних. Можна зустріти вимоги щодо обов'язкової сертифікації програмної продукції навіть незалежно від виду таємниць, що захищаються; наприклад, такі вимоги є для систем, що працюють з кредитними історіями громадян, ігрових систем у випадках надання доступу до ресурсів із мереж міжнародного обміну та ін.

Міф №5: зарубіжний продукт не можна сертифікувати.Насправді продукти таких розробників, як Microsoft, IBM, SAP, Symantec, Trend Micro і т. д. успішно проходять сертифікаційні випробування, в тому числі і на відсутність недекларованих можливостей.

Як правило, закордонні компанії не передають вихідні тексти до Росії, тому випробування проводяться з виїздом до розробника. Зрозуміло, програмні коди надаються під абсолютним контролем служб безпеки розробників, які виключають будь-який витік. Проведення робіт у такому режимі є досить складним і потребує високої кваліфікації спеціалістів, тому не кожна випробувальна лабораторія готова запропонувати такі послуги. Однак кількість зарубіжних продуктів, що проходять сертифікацію в Росії, з кожним роком зростає. Сьогодні близько 20 зарубіжних компаній, у тому числі Microsoft, IBM, Oracle та SAP, надали вихідні коди своїх продуктів для сертифікаційних випробувань. У цьому плані примітна ініціатива корпорації Microsoft - Government Security Program, за якою базовий код всіх продуктів компанії передано територію Росії на дослідження. Протягом останніх п'яти років майже 40 зарубіжних продуктів отримали сертифікати на відсутність недекларованих можливостей.

Міф №6: сертифікований – отже захищений.Це не зовсім так. Правильним було б формулювання: продукт сертифікований – отже відповідає тим чи іншим вимогам. При цьому споживач повинен чітко розуміти, на відповідність чому саме сертифіковано засіб захисту, щоб переконатися, чи дійсно під час проведення випробувань перевірялися характеристики продукту, які цікавлять замовника.

Якщо випробування продукту проводилися відповідність технічним умовам, то сертифікаті це відповідність буде зафіксовано, але у своїй споживач, не прочитавши технічні умови на продукт, у принципі неспроможна визначити, які характеристики перевірялися, що створює передумови для обману некваліфікованого споживача. Аналогічним чином наявність сертифіката на відсутність недекларованих можливостей нічого не говорить про функціональні можливості продукту.

Дуже важливо ознайомитися з обмеженнями на використання продукту, які вказані в технічних умовах: конкретні операційні середовища та платформи, режими роботи, конфігурації, застосування додаткових засобів захисту та ін. . Майже всі сертифікати на зовнішні засоби захисту дійсні лише для конкретних версій ОС, а в обмеженнях на використання ряду засобів довіреного завантаження вказується, що має бути забезпечений фізичний захист комп'ютера. Відомий курйозний випадок, коли в обмеженнях одного застарілого засобу захисту було зазначено, що Windows має працювати лише у командному режимі.

Міф № 7: за сертифікації нічого не знаходять.Незалежно від вимог нормативних документів, сьогодні склалося негласне правило, за яким у рамках сертифікаційних випробувань експерти ретельно перевіряють вихідний код (у разі його надання), а також проводять різні варіанти тесту навантаження. Крім того, експерти вивчають різні бюлетені з безпеки продуктів та середовищ їхнього функціонування. Внаслідок цього дослідна лабораторія отримує список критичних уразливостей, які заявник повинен виправити чи описати у документації. Наприклад, при сертифікації виявляються такі вразливості, як вбудовані паролі та алгоритми їх генерації, архітектурні помилки (некоректна реалізація дискретного та мандатного принципів доступу тощо), некоректності програмування (уразливості до переповнення буфера, помилки операторів логіки та часу, перегони, можливість завантаження недовірених файлів та ін), а також помилки обробки даних додатків (SQL-ін'єкції, крос-сайтовий скриптинг), реалізація яких може суттєво знизити рівень безпеки системи. Згідно з нашою практикою, у 70% перевіреного комунікаційного обладнання виявлялися вбудовані майстер-паролі, а майже у 30% операційних систем, що перевіряються, були виявлені помилки реалізації системи розмежування доступом. Зафіксовано також випадки, коли в продуктах були навіть логічні тимчасові бомби.

Міф № 8: продукт сертифікований на відсутність недекларованих можливостей – отже, в ньому немає вразливостей. На сьогоднішній день немає методів гарантованого виявлення всіх можливих уразливостей програмного забезпечення – успішне проходження сертифікації на відсутність недекларованих можливостей гарантує виявлення лише певного класу вразливостей, які виявляються з використанням конкретних методів. З іншого боку, проходження сертифікації на відсутність недекларованих можливостей гарантує наявність у розробника системи якості виробництва програм, тобто знайдено та зафіксовано всі реальні вихідні тексти та компіляційне середовище, компіляція та складання можуть бути гарантовано повторені, а також є російськомовна документація.

Міф № 9: вимоги щодо аналізу вихідного коду існують лише в нашій країні.Часто можна зіткнутися із критикою суворості вітчизняної сертифікації, пов'язаної з наданням вихідних текстів програм. Дійсно, у міжнародній системі сертифікації Common Criteria допускається проведення випробувань продукції, що обробляє інформацію, не віднесену до держтаємниці, без надання вихідних кодів, однак у цьому випадку мають бути обґрунтовані перевірки на відсутність прихованих каналів та вразливостей. Для систем обробки держтаємниці та платіжних систем передбачено структурний аналіз безпеки вихідного коду. Вимоги щодо аудиту безпеки вихідного коду комерційних програмних продуктів можна знайти у міжнародних стандартах PCI DSS, PA DSS та NISTIR 4909.

Міф №10: сертифікація коштує дорого.Сертифікація програмного забезпечення з вимог безпеки інформації – це досить тривалий і трудомісткий процес, який не може бути безкоштовним. У той же час, наявність сертифіката відповідності значно розширює ринок збуту продукту заявника і збільшує кількість продажів, і тоді вартість сертифікації по відношенню до інших витрат виявляється невеликою.

Майбутнє сертифікації

Сертифікація не є універсальним способом вирішення всіх існуючих проблем у галузі інформаційної безпеки, проте сьогодні це єдиний реально функціонуючий механізм, який забезпечує незалежний контроль якості засобів захисту інформації, та користі від нього більше, ніж шкоди. При грамотному застосуванні механізм сертифікації дозволяє успішно вирішувати завдання досягнення гарантованого рівня захищеності автоматизованих систем.

Заглядаючи вперед, можна припустити, що сертифікація як інструмент регулятора буде змінюватися у напрямку вдосконалення нормативних документів, що відображають розумні вимоги щодо захисту від актуальних загроз, з одного боку, та в напрямку покращення методів перевірки критичних компонентів за критерієм «ефективність/час» - з іншого .

Олексій Марков([email protected]), Валентин Цирлов- Співробітники НВО «Ешелон» (Москва).



Сертифіковані програмні продукти, процедура сертифікації програмного забезпечення, вимоги безпеки, завдання ФСТЕК та ФСБ.

Відповідно до вимоги Федерального закону (Ф3) №781 та Постанови уряду РФ 17.11.07г., всі питання у сфері захисту персональних даних покладено на ФСТЕК Росіїі ФСБ Росії. Також є ряд уповноважених представників * , які можуть сертифікувати програмне забезпечення (ПЗ). Відповідно до вимог нормативних документів, використання сертифікованих засобів захисту інформації обов'язково у всіх інформаційних системах обробки персональних даних з 1-го до 3-го класу включно(Всі робочі станції та сервери з обробки персональних даних).

Процедура сертифікації програмного забезпечення

Процедура сертифікації необхідна у двох випадках:
  1. сертифікація розробниками за власним бажанням(мети сертифікації можуть бути різними);
  2. обов'язкова сертифікація програмного забезпечення(якщо ПЗ обробляє дані, втрата/витік яких може завдати шкоди/шкоди приватним особам, компаніям, державним та іншим структурам).
Повідомлення про обробку персональних даних та, відповідно, використання сертифікованих засобів захисту не обов'язково у разі:
  • захисту персональних даних суб'єктів, з якими оператор має трудові відносини (наприклад, кадровий відділ у рамках однієї юридичної особи);
  • дані використовуються для виконання договору із Суб'єктом персональних даних (наприклад, Договору надання послуг та ін.);
  • персональні дані є знеособленими (тобто відсутня можливість точно ідентифікувати суб'єкта персональних даних, наприклад вага, зростання, дата народження та ін. параметри, які не прив'язані до будь-яких унікальних ідентифікаторів (паспорт, ІПН та ін.));
  • персональні дані є загальнодоступними (тобто дані, визначені загальнодоступними даними чи іншими законами, наприклад, дані про кандидатів на виборні посади та ін.).

Сертифіковане ПЗ (вимоги щодо безпеки)

  • ПЗ, що пройшло перевірку відповідності в Системі сертифікації засобів захисту інформації за вимогами державних стандартів та нормативних документів щодо захисту інформації ФСТЕК Росії та ФСБ Росії, що підтверджується Сертифікатом відповідності.
  • Копія сертифіката відповідності (завірена печаткою заявника) повинна входити до комплекту поставки сертифікованого ПЗ;
ПЗ, дистрибутив, якого відповідає еталонному екземпляру, що піддавався сертифікаційним випробуванням, що підтверджується відповідними записами в супровідній документації на сертифіковане ПЗ (формулярі), і спеціальним голографічним знаком відповідності з унікальним номером, який ідентифікує.
  • Верифікований дистрибутив ПЗ, формуляр із зазначенням контрольної суми дистрибутива та спеціальний голографічний знак відповідності повинні входити до комплекту поставки сертифікованого ПЗ;
ПЗ, механізми захисту розгорнутої версії якого налаштовані відповідно до сертифікованих параметрів. ПЗ сертифікується на відповідність технічним документам (РД, ТУ або ЗБ) та з параметрами, зазначеними в цій документації.
  • Комплект поставки сертифікованого ПЗ повинен включати документацію та матеріали для налаштування ПЗ відповідно до сертифікованих параметрів, наведених у технічній документації;
ПЗ, всі доробки (оновлення) якого, критичні для безпеки, піддаються сертифікаційним випробуванням, і доводяться до кінцевого користувача. При випуску оновлень та виправлень у системі безпеки сертифікованого продукту виробник зобов'язаний надати оновлення на сертифікацію та довести інформацію до споживача.
  • Комплект поставки сертифікованого ПЗ повинен включати всі необхідні інструменти для отримання споживачем оновлень безпеки;
ПЗ, що контролюється в процесі експлуатації. ПЗ повинно мати засоби контролю цілісності, обліку подій впровадження у ПЗ оновлень безпеки, контролю захищеності у процесі експлуатації. У споживача мають бути механізми перевірки цілісності оновлень засобів захисту із використанням контрольних сум.
  • Комплект поставки сертифікованого ПЗ повинен включати необхідні програмні засоби (вбудовані або накладені), призначені для виконання даних вимог;
ПЗ, кожен сертифікований екземпляр , якого враховано у реєстрі сертифікованих продуктів. Виробник зобов'язаний маркувати засоби захисту та забезпечувати безперешкодний доступ посадових осіб органів, які здійснюють контроль за сертифікованими засобами захисту до облікової інформації.
  • Кожен екземпляр сертифікованого ПЗ супроводжується унікальними номерами, що ідентифікують засіб захисту відповідно до порядків, встановлених для цієї системи сертифікації. ** .

Завдання ФСТЕК та ФСБ

Основними завданнями ФСТЕК у сфері сертифікації ПЗ є:
  • реалізація в межах своєї компетенції державної політики у сфері забезпечення безпеки інформації у ключових системах інформаційної інфраструктури, протидії технічним розвідкам та технічному захисту інформації;
  • здійснення самостійного нормативно-правового регулювання питань:
  1. забезпечення безпеки інформації у ключових системах інформаційної інфраструктури;
  2. протидії технічним розвідкам;
  3. технічного захисту інформації.
  • здійснення в межах своєї компетенції контролю діяльності щодо забезпечення безпеки інформації в ключових системах інформаційної інфраструктури, щодо протидії технічним розвідкам та з технічного захисту інформації в апаратах федеральних органів державної влади та органів державної влади суб'єктів Російської Федерації, у федеральних органах виконавчої влади, органах виконавчої влади суб'єктів Російської Федерації, органах місцевого самоврядування та організаціях ***;

Ліцензування ПЗ ФСБ Росії

Ліцензування, яке здійснюється центром ФСБ Росії, підлягають:
  • діяльність, пов'язана з використанням відомостей, що становлять державну таємницю;
  • діяльність щодо здійснення заходів та (або) надання послуг у галузі захисту державної таємниці;
  • діяльність, пов'язана із створенням засобів захисту інформації ****;

Відомості про систему сертифікації програмного забезпечення

Усі дані про систему сертифікації засобів захисту інформації з вимог безпеки можна знайти на офіційному сайті ФСТЕК ***** .

Сертифіковані продукти

На даний момент кількість сертифікованих продуктів налічує 3154 позиції ******. Практично всі ці продукти можна знайти на нашому сайті в розділі «

Продукти Microsoft, сертифіковані ФСТЕК, З точки зору програмного коду нічим не відрізняються від звичайних ліцензійних легальних продуктів Microsoft, оскільки програмна реалізація продуктів Microsoft дозволяє отримувати відповідні сертифікати ФСТЕК без змін програмного коду. Однак відповідно до законодавства Росії сертифіковані продукти ФСТЕК мають низку інших важливих відмінностей від несертифікованих продуктів, а саме:

  • кожен примірник сертифікованого продукту, що знаходиться у замовника, повинен пройти процедуру перевірки відповідності цього примірника тому примірнику, який пройшов сертифікацію;
  • кожен екземпляр сертифікованого продукту, що знаходиться у замовника, у разі позитивної перевірки його відповідності екземпляру, що пройшов сертифікацію, отримує пакет сертифікаційних документів державного зразка, включаючи голографічний знак відповідності ФСТЕК з унікальним номером на кожну копію (якщо у замовника видається 1000 голограм), який ідентифікує даний екземпляр у системі державного обліку сертифікованих продуктів;
  • кожна організація, яка купила сертифікований продукт, отримує захищений доступ до персональної сторінки для отримання сертифікованих оновлень.

Продукти Microsoft сертифіковані іншими уповноваженими органами, містять додаткове програмне забезпечення, саме сервісні пакети, розроблені російськими організаціями, які дозволяють цим продуктам Microsoft задовольняти вимогам. Ці сервісні пакети 'Secure Pack Rus' містять передусім російську сертифіковану криптографію, яку Microsoft не виробляє.

Використання сертифікованих продуктів

Якщо організація хоче використовувати програмний продукт, який ще не сертифікований, то з цим продуктом вона повинна використовувати «накладений» (сторонній) засіб захисту інформації, що пройшов сертифікацію, і призначений для роботи з цим продуктом. Використання накладених засобів захисту значно подорожчає продукт і часто різко знижує можливість взаємодії цього продукту з іншими програмними та апаратними засобами. Тому Microsoft сертифікує свої програмні продукти із вбудованими засобами захисту інформації – так зручніше та дешевше для замовників.

У Росії організовано масове виробництво всіх сертифікованих версій продуктів Microsoft. Це дозволяє замовникам купувати будь-які кількості сертифікованих продуктів. Безперервна сертифікація оновлень, що щомісяця виходять до продуктів, дозволяє покупцям мати сертифіковану версію не тільки з останніми оновленнями системи безпеки, але і відповідну при цьому вимогам регулятора.

ЯКІ ПРОДУКТИ MICROSOFT СЕРТИФІКОВАНІ ФСТЕК

В даний час ФСТЕК сертифіковано такі продукти Microsoft:

  • клієнтська операційна система Microsoft Windows XP Professional, російська версія (включаючи ОЕМ-виробництво);
  • клієнтська операційна система Microsoft Windows Vista (Business, Enterprise, Ultimate), російська версія (включаючи виробництво ОЕМ);
  • серверна операційна система Microsoft Windows Server 2003 (Standard Edition та Enterprise Edition), російські версії;
  • серверна операційна система Microsoft Windows Server 2003 R2 (Standard Edition та Enterprise Edition), російські версії;
  • система управління базами даних Microsoft SQL Server 2005 (Standard Edition та Enterprise Edition), російські версії;
  • платформа офісних програм Microsoft Office 2003 Professional, російська версія, включаючи вбудовану технологію управління цифровими правами документів, що працює з серверною технологією RMS, вбудовану в Microsoft Windows Server 2003;
  • платформа офісних програм Microsoft Office 2007 Professional, російська версія, включаючи вбудовану технологію управління цифровими правами документів, що працює з серверною технологією RMS, вбудовану в Windows Server 2003;
  • міжмережевий екран Microsoft ISA Server 2006 (Standard Edition), російська версія - на відповідність як загальним критеріям, і керівним документам «СВТ. Міжмережеві екрани…» за третім класом захищеності;
  • антивірусні продукти Microsoft Forefront для серверів та робочих станцій (Forefront для Exchange Server, Forefront для SharePoint Server та Forefront Client);
  • сервер керування поштовими повідомленнями Microsoft Exchange Server 2007;
  • сервер для керування бізнес-процесами Microsoft BizTalk Server 2006 R2;
  • серверна операційна система Microsoft Windows Server 2008 (всі видання), включаючи сервер віртуалізації Hyper-V; російські версії;
  • система управління базами даних Microsoft SQL Server 2008 (всі видання), російські версії;
  • платформа офісних програм Microsoft Office Professional Plus 2007, російська версія;
  • система керування операціями в інформаційних системах Microsoft System Center Operations Manager 2007;
  • система керування конфігураціями в інформаційних системах Microsoft System Center Configuration Manager 2007;
  • система керування захистом даних в інформаційних системах Microsoft System Center Data Protection Manager 2007;
  • система керування віртуальними машинами в інформаційних системах Microsoft System Center Virtual Machine Manager 2008;
  • система управління відносинами із клієнтами Microsoft Dynamics CRM 4.0;
  • система керування підприємством Microsoft Dynamics AX 2009;
  • система керування підприємством Microsoft Dynamics AX 4.0;
  • система керування підприємством Microsoft Dynamics NAV 5.0;
  • клієнтська операційна система Windows 7 (всі видання), російська та англійська версії;
  • серверна операційна система Windows Server 2008 R2 (всі видання), російська та англійська версії;
  • сервер для управління бізнес-процесами Microsoft BizTalk Server 2009 (всі видання), російська версія;
  • сервер управління ідентифікацією у гетерогенних системах Microsoft Forefront Identity Manager 2010, російська та англійська версії;
  • сервер керування поштовими повідомленнями Microsoft Exchange Server 2010 (всі видання), російська та англійська версії;
  • система управління сервісами в інформаційних системах Microsoft System Center Service Manager 2010, російська та англійська версії;
  • система управління відносинами із клієнтами Microsoft Dynamics CRM 2011, російська версія;
  • система керування підприємством Microsoft Dynamics NAV 2009 R2, російська версія;
  • платформа офісних програм Microsoft Office Professional Plus 2010, російська та англійська версії;
  • система антивірусного захисту Microsoft Forefront Endpoint Protection 2010, російська та англійська версії;
  • сервер документообігу Microsoft SharePoint Server 2010 (всі видання), російська та англійська версії;
  • сервер комунікацій Microsoft Lync Server 2010 Enterprise, російська та англійська версії;
  • система керування підприємством Microsoft Dynamics AX 2012 R2;
  • клієнтська операційна система Microsoft Windows 8 (версія Windows 8, Windows 8 Професійна, Windows 8 Корпоративна);
  • серверна операційна система Microsoft Windows Server 2012 (Windows Server Standard 2012, Windows Server Datacenter 2012, Windows Storage Server 2012 Standard, Windows Storage Server 2012 Workgroup, Windows Server Essentials 2012, Windows Server Foundation 2012);
  • система управління інформаційною структурою Microsoft System Center 2012 (версії Standard та Datacenter);
  • система управління базами даних Microsoft SQL Server 2012 (версії Standard, Enterprise, Business Intelligence, Web);
  • платформа офісних програм Office Professional Plus 2013;
  • сервер керування віртуальними структурами Microsoft Hyper-V Server 2012;
  • система управління інформаційною структурою Microsoft System Center 2012 R2 (версії Standard та Datacenter);
  • система управління відносинами із клієнтами Microsoft Dynamics CRM 2013;
  • сервер керування поштовими повідомленнями Microsoft Exchange Server 2013 (версії Standard та Enterprise);
  • сервер документообігу Microsoft SharePoint Server 2013;
  • системи управління базами даних Microsoft SQL Server 2014 у редакціях Enterprise Edition (EE), Business Intelligence (BI), Standard (Std), Web, Express, Express with tools;
  • система керування відносинами з клієнтами Microsoft Dynamics CRM Server 2015

Відповідно до отриманих сертифікатів ФСТЕК, зазначені сертифіковані продукти дозволяють будувати автоматизовані системи до класу захищеності 1Г включно. Крім того, ті з них, що вийшли після прийняття ФЗ-152 «Про персональні дані», сертифіковані і на відповідність законодавству про персональні дані.

В даний час у ФСТЕК закінчено сертифікацію наступних продуктів, всі звітні документи знаходяться в органах сертифікації:

  • Lync Server 2013;
  • Windows 8.1;
  • Windows Server 2012 R2.

ЯКІ ПРОДУКТИ MICROSOFT СЕРТИФІКУВАНІ іншими уповноваженими органами

ФСБ сертифіковано наступними продуктами Microsoft:

  • клієнтська операційна система Microsoft Windows XP Professional, російська версія;
  • серверна операційна система Microsoft Windows Server 2003 Enterprise Edition, російська версія;
  • сервер документообігу Microsoft SharePoint Server 2007;
  • система керування базами даних Microsoft SQL Server 2008;
  • Microsoft Windows 7 Professional, Enterprise та Максимальна все з SP1;
  • Microsoft Windows 8 Professional та Enterprise;
  • Microsoft Windows 8.1 Professional та Enterprise;
  • Microsoft Windows Server 2008 Standard R2 і Enterprise R2 обидві c SP1;
  • Microsoft Windows Server 2012 Standard c SP1;
  • Microsoft Windows Server 2012 R2 з SP1.

Сертифікати засвідчують, що ці продукти відповідають вимогам уповноважених органів Росії до

  • захист інформації, що не містить відомостей, що становлять державну таємницю,
  • захист від несанкціонованого доступу в автоматизованих інформаційних системах класу АК2 (деякі продукти сертифіковані і на рівень АК3).

Крім того, уповноважені органи зробили позитивний висновок за результатами сертифікаційних випробувань центру, що входить до складу Windows Server 2003, на відповідність його рівню КС2 відповідно до національних вимог.

Нещодавно одержано позитивні висновки за результатами проведених сертифікаційних випробувань наступних продуктів:

  • Microsoft Exchange Server 2010

Як зазначено у документах, ці продукти можуть використовуватись для захисту конфіденційної інформації та персональних даних.

Отримані результати сертифікації дозволяють створювати системи захищеного документообігу для органів державної влади та системи електронного уряду, побудовані на платформі Microsoft.



ПОХОДЖЕННЯ СТАТТІ