E-mail:
Пароль:
Забыли пароль?

«Общие критерии» не отменили других руководящих документов Гостехкомиссии

Softline

Виктор Борисов

В последнее время всё больше ОС и СУБД (другими словами – средств вычислительной техники или СВТ) получают сертификаты ФСТЭК согласно российскому аналогу Common Criteria . Чтобы сопоставить эти сертификаты с теми, которые выдаются по другим руководящим документам Гостехкомиссии нужно посмотреть на класс защиты автоматизированных систем, которые можно построить с использованием тех и других СВТ.

В сертификате ФСТЭК нужно обращать внимание на класс защиты АС

Если в новостях, пресс-релизах и других публикациях говорится, что некоторое средство вычислительной техники (СВТ) получило сертификат ФСТЭК, подтверждающий высокий уровень защищенности, это ещё не значит, что его можно использовать в Вашей автоматизированной системе (АС).

Современные сертификаты на зарубежные и Open Source продукты выдаются в соответствии с «Общими критериями» (руководящим документом «Безопасность информационных технологий. Критерии оценки безопасности информационных технологий») – российским аналогом стандарта Common Criteria. Но в рекламе его достоинства приводятся без сравнения с практикой, существовавшей в России ранее. Например, нельзя назвать преимуществом Common Criteria «более простую оценку необходимого уровня защиты», т.к. такая оценка для госучреждений по-прежнему делается по документам, не имеющим ничего общего с Common Criteria. Испытания продукта, необходимые для получения сертификата ФСТЭК, всегда проводились и проводятся в лаборатории, независимой от компании-разработчика продукта, и «тестирование в независимой лаборатории» не может быть преимуществом Common Criteria. Заблуждением также является мнение, что при сертификации по «Общим критериям» будут «удовлетворены требования безопасности в зарубежных филиалах», т.к. сертификаты ФСТЭК не признаются за рубежом.

Единственным достоинством данного стандарта можно считать то, что потребителям проще сравнить продукты, сертифицированные ФСТЭК, и продукты, сертифицированные в соответствующих организациях других стран. Да, это удобно, но бесполезно, т.к. сертификаты других стран в России силы не имеют.

Не надо верить рекламе. Лучше взять сертификат и почитать его. Если он выдан на соответствие некоторому ОУД (оценочному уровню доверия, принятому в «Общих критериях»), то там обязательно указано в АС какого класса защищенности этот продукт может использоваться. В настоящее время нет продуктов, сертифицированных выше ОУД4 (усиленного), в выданных сертификатах указано, что соответствующие продукты могут использоваться «при создании АС класса защищенности до 1Г включительно».

Выше 1Г есть ещё 1В, 1Б и 1А. Чтобы правильно определить требуемый Вам класс защищенности АС от несанкционированного доступа (НСД) обратитесь к специалистам по защите информации, которые, например, работают в организациях, проводящих аттестацию объектов информатизации. Перечень таких органов по аттестации размещен на сайте ФСТЭК России.

Кроме того, нельзя забывать про недекларированные возможности (НДВ). «Общие критерии» рассматривают только защиту от НСД, а по отсутствию НДВ нужно руководствоваться другим документом Гостехкомиссии, что обычно и отражается в сертификатах ФСТЭК. Среди зарубежных и продуктов с открытым исходным кодом максимальный уровень отсутствия НДВ, который пока достигнут – это четвёртый, что часто обозначают как НДВ4.

Что отсутствует в классе 1Г

Согласно руководящему документу Гостехкомиссии России «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации» в АС класса защищенности 1Г отсутствует:

  • управление потоками информации с помощью меток конфиденциальности;
  • регистрация и учет изменений полномочий субъектов доступа;
  • регистрация и учет создаваемых защищаемых объектов доступа;
  • сигнализация попыток нарушения защиты;
  • шифрование конфиденциальной информации;
  • шифрование информации, принадлежащей различным субъектам доступа (группам субъектов) на разных ключах;
  • использование аттестованных (сертифицированных) криптографических средств
  • администратор (служба) защиты информации в АС;
  • использование сертифицированных средств защиты.

Что отсутствует в уровне НДВ4

Согласно руководящему документу Гостехкомиссии России «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей», самый низкий уровень контроля – четвертый, достаточный для защиты конфиденциальной информации, и не достаточный для защиты информации, например, с грифом «С» (секретно) или «СС» (совершенно секретно). НДВ4 не требует динамического анализа исходных текстов, а при статистическом анализе исходных текстов программ отсутствует:

  • контроль связей функциональных объектов по управлению;
  • контроль связей функциональных объектов по информации;
  • контроль информационных объектов;
  • контроль наличия заданных конструкций в исходных текстах;
  • формирование перечня маршрутов выполнения функциональных объектов;
  • анализ критических маршрутов выполнения функциональных объектов;
  • анализ алгоритма работы функциональных объектов на основе блок-схем, диаграмм и т.п., построенных по исходным текстам контролируемого ПО.

Кроме того, для сертификации на НДВ4 не требуется «Пояснительная записка», содержащая основные сведения о назначении компонентов, входящих в состав ПО, параметрах обрабатываемых наборов данных, формируемых кодах возврата, описание используемых переменных, алгоритмов функционирования и т.п.

Какие СВТ необходимо использовать

Средства вычислительной техники (СВТ) сертифицируются согласно руководящему документу «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации». При создании АС необходимо использовать сертифицированные СВТ:

  • не ниже 4 класса – для класса защищенности АС 1В;
  • не ниже 3 класса – для класса защищенности АС 1Б;
  • не ниже 2 класса – для класса защищенности АС 1А.

Пример: сертификат на СУБД ЛИНТЕР

Российская СУБД ЛИНТЕР имеет действующий сертификат о соответствии требованиям руководящих документов, которые были приняты до введения «Общих критериев». Тем не менее, эта СУБД позволяет создавать АС, защищенные от НСД, до класса 1А включительно.

Кроме того, СУБД ЛИНТЕР сертифицирована по 2 уровню контроля недекларированных возможностей (НДВ2), что достаточно для ПО, используемого при защите информации с грифом «CC».


Возврат к списку

ѕрокрутить вверх