 О сертификации средств защиты информации (СЗИ) пишут нечасто, потому что именно в этой области как никогда верна поговорка "сколько людей, столько и мнений". Эта статья является кратким экскурсом в данную тематику, поскольку трудно рассказать обо всех ее аспектах в рамках небольшой журнальной статьи. Что же такое сертификация средств защиты информации? Это комплекс мероприятий по проверке соответствия сертифицируемых средств формальным требованиям по обеспечению безопасности, описанным в нормативных документах. Если не касаться российской специфики, то сертификация несет следующие преимущества:Определенная гарантия качества СЗИ (подтвержденная сертификатом) со стороны государства с точки зрения выполняемых функций по защите.
Однако надо понимать, что в случае взлома сертифицированной СЗИ, вы вряд ли сможете предъявить претензии к сертифицирующей организации. Точнее предъявить-то вы сможете, но получить компенсацию - вряд ли. Возможность аттестации информационной системы, в которой используются сертифицированные средства защиты. Гарантия отсутствия программных закладок, заложенных производителем с целью несанкционированного доступа к защищаемым системам. Маркетинговый ход, призванный увеличить привлекательность программного продукта и поднять престиж компании-заявителя, а также повысить доверие потребителя к сертифицируемому продукту. Я не буду говорить о сертификации средств защиты информации, применяемых для обработки сведений, составляющих государственную тайну - эта область достаточно хорошо изучена и описана. Поговорим о сертификации средств защиты конфиденциальной информации, т. е. той информации, которая согласно Указу Президента РФ №188 от 6 марта 1997 г., циркулирует практически в любой информационной системе независимо от формы собственности предприятия-владельца этой системы. Федеральный Закон "Об информации, информатизации и защите информации" гласит, что "информационные системы органов государственной власти Российской Федерации и органов государственной власти субъектов Российской Федерации, других государственных органов, организаций, которые обрабатывают документированную информацию с ограниченным доступом, а также средства защиты этих систем подлежат обязательной сертификации" (ст.19.2). Кроме того, согласно утвержденному 26 июля 1995 года Правительством РФ Положению о сертификации средств защиты информации №608 "Указанные средства подлежат обязательной сертификации, которая проводится в рамках систем сертификации средств защиты информации" (ст.1). На сегодняшний день таких систем 5 (у Гостехкомиссии, ФАПСИ, Министерства Обороны, ФСБ и Службы Внешней Разведки), а утверждены в Госстандарте и реально действуют только три из них - системы сертификации СЗИ Гостехкомиссии России, ФАПСИ и МО РФ. Однако, несмотря на данные положения, которые трудно интерпретировать как-то иначе, в последнее время стали появляться замечания о том, что необходимо создавать другие системы сертификации средств защиты, которые будут лучше, чем существующие. При этом предлагается два варианта развития событий. Первый создать систему добровольной сертификации (согласно ст.17 Закона "О сертификации продуктов и услуг"), которая заменит существующие системы сертификации ФАПСИ, Гостехкомиссии и т. д., что, на мой взгляд, полностью противоречит действующему законодательству. Второй вариант - более интересен. На одном из заседаний комитета "Информационная безопасность" Ассоциации Документальной Электросвязи (АДЭ) было предложено создать под эгидой АДЭ систему добровольной сертификации СЗИ по их потребительским свойствам. Т. е. в отличие от уже названных федеральных органов, проверяющих соответствие формальным требованиям по обеспечению безопасности (на что выдается сертификат соответствия), проверять соответствия требованиям, выдвигаемым пользователями средств защиты. Данное предложение очень интересно и оно имело бы смысл, но... То, как предлагается реализовывать эту систему сертификации наводит меня на мысль, что эта очередная попытка раскрутки какого-то одного продукта в ущерб другим. Потребительские качества, которые должны оцениваться в такой системе сертификации, должны вырабатываться потребителем - только он может определить те параметры, которые для него важны в системе защиты. Однако предлагаемая одной из российских компаний система сертификации потребительских свойств основана на том, что оцениваемые свойства вырабатываются разработчиками средств защиты, что является нонсенсом - грош цена системе сертификации, в которой требования вырабатываются самим заявителем. Почему же стали возникать предложения о создании альтернативных систем сертификации? Попробую ответить на этот вопрос. Первое, что приходит на ум, это слишком уж большое число систем сертификации средств защиты информации - целых пять. Если разработчик желает, чтобы его система использовалась и в коммерческих структурах, и в государственных, и в военных ведомствах и т. п., то он должен подать свой продукт сразу в несколько систем сертификации, что существенно увеличит время на его выход на рынок и, разумеется, увеличит цену.
|