В рубрику "В фокусе" | К списку рубрик | К списку авторов | К списку публикаций
С.А.Леденко
эксперт
А.С.Марков
эксперт,к.т.н., с.н.с, cissp
И.А.Чикалев
эксперт,к.т.н.,с.н.с.
Введение
Накануне вступления России в ВТО является актуальным анализ возможностей единого международного пространства в области сертификации средств защиты информации (СЗИ). Усилиями международного сообщества такое пространство создается с 1993 г. в рамках проекта "Общие критерии" (ОК) и соответствующего стандарта ISO 15408. Знаменательно, что в России более 4 лет ведется апробация ГОСТ ИСО/МЭК 15408-02, который является аутентичной копией ISO 15408-99. Это обусловлено потребностью страны в стандартизации сертификации СЗИ, признаваемой в других странах.
В настоящее время из-за богатства российской нормативной базы внедрение ОК является сложным и дискуссионным. В частности, в рамках многих министерств были проведены НИР, направленные на исследование потенциала стандарта в реальной жизни. В печати представлены как изыскательные, так и оппозиционные материалы.
В практической области в стране на сегодня накоплен небольшой опыт. В частности, за истекший период было сертифицировано 10 изделий в системе ФСТЭК России, конечно, все из них касались средств, обрабатывающих информацию уровня секретности не выше "конфиденциально". К примеру, с момента выхода вышеупомянутого ГОСТа только в системах сертификации Минобороны, ФСТЭК и ФСБ России было сертифицировано более полторы тысячи СЗИ на соответствие требованиям традиционных нормативных документов по защите информации. Можно упомянуть проблемные вопросы внедрения, такие как: до сих пор не сертифицирован ни один профиль защиты; положительный опыт сертификации получен только в одной лаборатории; сроки утверждения задания по безопасности и проведение сертификации желают быть лучшими; имеется недопонимание, в чем преимущество сертификата ОК по сравнению с традиционными. Чтобы сориентироваться в сложившейся ситуации, мы предлагаем обратиться к современному опыту передовых зарубежных стран.
Историческая ретроспектива ОК
Как известно, ОК задумывались как метастандарт, направленный на создание гибких и динамичных нормативных документов (профиль защиты, задание по безопасности), включающих как требования по безопасности, так и требования к качеству изделия.
Стандарт, кроме задач унификации систем сертификации и адекватности требований к объекту сертификации, должен был решить насущные задачи сертификации, в первую очередь: сократить время сертификации версий программ, снизить затраты вообще при заданной достоверности результата самой сертификации. Попытка разработать комплекс международных критериев для общего использования под эгидой ISO берет начало с 1990 г. Сам проект ОК был инициирован в 1993 г., но только в 1998 г. правительственные организации Великобритании, Германии, Канады, США и Франции подписали соглашение о взаимном признании сертификатов соответствия до оценочного уровня доверия EAL4. С 2000 г. Группа ответственных работников по информационной безопасности Европейской Комиссии (SOG-IS) расширила Соглашение о взаимном признании сертификатов (CCRA) вплоть до самого высшего уровня оценки EAL7. Сегодня 22 страны признают сертификаты, выданные одним из квалифицированных органов SOG-IS, например: BSI (Германия), SCSSI (Франция) и ВS (Великобритания). Заметим, что в каждом соглашении есть указание на то, что при наличии угрозы для национальной безопасности сертификаты, выданные другими странами, могут не признаваться. История развития ОК представлена в табл. 1.
Статистика использования ОК за рубежом
В целях объективного анализа процесса внедрения ОК была рассмотрена статистика по сертификации продуктов и систем (данные из открытых источников). Статистический анализ (с учетом типов продукции, стран, уровней доверия, степени признания и относительно других систем сертификаций) представлен на рис. 1 и в табл. 2-7.
Выводы по статистическому материалу
Складывается впечатление, что формирование ОК постепенно набирает обороты, и этот процесс, очевидно, необратим. Однако, учитывая динамику упрощения ОК от версии 1.0 к версии 3.0, есть предположение, что развитие будет идти по пути понижения сложности критериев.
Объемы сертифицированной продукции и признаваемых сертификатов, полученных за всю историю ОК, относительно невелики. Очевидное лидерство за США, где ОК определены в директивном порядке. В то же время достижения в этой области у ряда стран, даже инициаторов ОК (например, Франция), незначительны.
Сертификация по ОК касается в первую очередь систем, обрабатывающих конфиденциальную информацию (EAL 1.0-4.0). По уровням выше EAL4 сертифицированы в основном электронные устройства (71%). Нет ни одной программной системы, сертифицированной для обработки информации уровня secret ("совершенно секретно"). Фактически не апробированы критерии международной сертификации для продуктов и систем в сфере национальной безопасности.
В основном крупные производители программных продуктов и систем, и то не все, смогли переориентироваться на сертификацию по ОК. Подавляющее большинство сертификаций касается электронных устройств (структурная сложность которых в сотни и сотни тысячи раз ниже, чем программных изделий). Возможно, это связано с тем, что первичная сертификация систем по ОК из-за технологической сложности не снизила время и материальные затраты на сертификационные испытания по сравнению с традиционными подходами.Первичное сравнение между собой типовых изделий неочевидно, так как происходит на уровне EAL, в то время как задания по безопасности (security target) у всех разные и требуют детального изучения.
А вот какие аспекты опыта зарубежных стран могли бы нас насторожить?
1. Несмотря на директивные указания, число сертифицированных по ОК программных систем, особенно для госсектора, невелико. С признанием сертификатов между странами дело обстоит еще хуже! 15-летние изыскания пока не позволили привлечь к решительной деятельности большинство стран мирового сообщества.
2. Сертификация по ОК программных систем, обрабатывающих информацию уровня гостайны, не нашла еще своего применения. Важно, что именно такая сертификация для нашей страны является обязательной! Думается, использование ГОСТ 15408-02 исключительно при сертификации изделий, обрабатывающих конфиденциальную информацию, приведет к нарушению в России внутреннего единства защиты информации ограниченного доступа.Краткое заключение
Мировое сообщество не случайно уже более 15 лет исследует возможность разработки общих критериев оценки СЗИ и безопасных информационных технологий. Данный процесс носит международный характер, происходит постоянное совершенствование - игнорировать его невозможно. Однако еще рано говорить об исключительности данного направления, особенно в рамках национальной действительности. С другой стороны, наша страна обладает достаточными интеллектуальными ресурсами, чтобы участвовать в выполнении зарубежных заказов по проведению испытаний и исследований в рамках ОК.
В заключение следует отметить, что Россия еще не стала полноправным членом международного сообщества в области сертификации СЗИ, но объективный анализ опыта зарубежных стран позволяет ей более взвешенно принимать решения на пути перехода к новым стандартам и к единому сертификационному пространству.
Опубликовано: Журнал "Information Security/ Информационная безопасность" #1+2, 2006