Сертификация по требованиям безопасности

АО «НПО «Эшелон» выполняет услуги по сертификации программного обеспечения, средств защиты информации, автоматизированных систем и систем менеджмента информационной безопасности.

АО «НПО «Эшелон» аккредитовано в качестве органа по сертификации ФСТЭК России и испытательных лабораторий в системах обязательной сертификации Минобороны России, ФСБ России, ФСТЭК России и добровольной сертификации «АйТи-Сертифика».

Испытательная лаборатория АО «НПО «Эшелон» проводит полный перечень программного и программно-аппаратного обеспечения, в том числе:

  • на соответствие требованиям по защищенности от несанкционированного доступа к информации;
  • на соответствие требованиям по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий;
  • на соответствие требованиям профилей защиты
  • на отсутствие недекларированных возможностей;
  • на соответствие заданию безопасности (по требованиям ГОСТ Р ИСО/МЭК 15408);
  • на соответствие реальных и декларируемых в документации функциональных возможностей;
  • на соответствие криптографическим и инженерно-криптографическим требованиям (КИКТ) к программным датчикам случайных чисел (ПДСЧ);
  • на соответствие требованиям по безопасности технологий разработки;
  • на соответствие требованиям международных стандартов, стандартов предприятия и др.

За последние несколько лет сотрудники АО «НПО «Эшелон» участвовали в сертификации более 1000 продуктов и систем ведущих российских и зарубежных производителей:

  • антивирусных программ: Dr.Web, Stocona antivirus Professional, Антивирус Касперского, ESET Nod32;
  • межсетевых экранов: линейки «Континент», «ФПСУ-IP», «МЭ-023», CheckPoint Firewall-1/VPN-1, Check Point UTM-1 Edge, ESET NOD32Firewall, Nortel, Cisco PIX, Cisco ASA, Eudemon, TrustAccess и МЭ Huawei;
  • систем анализа защищенности системного и сетевого уровня: «Мобильный комплекс контроля защищенности», средства мониторинга событий NetForensis, сканеров безопасности линейки XSpider, средства мониторинга нарушений «Секретер», системы комплексного мониторинга информационной безопасности MaxPatrol;
  • комплексных средств защиты от несанкционированного доступа к информации: «Security Studio», линейки «Secret Net», специализированных СЗИ линейки «Ключ»;
  • операционных систем: «Эльбрус-3М1», МСВС, «Оливия», «Trustverse Linux XP Desktop 2008 Secure Edition», МСВС (для архитектуры MIPS), «Astra Linux Special Edition», ОС РВ;
  • систем управления базами данных: «Линтер-ВС», «Firebird», «Oracle», «Microsoft SQL Server», «Линтер-Бастион»;
  • программно-аппаратных устройств CRYPTOCard, RUTOKEN, «Соболь», «ОАЗИС-мульти»;
  • прикладных сред SAP NetWeaver, системы комплексного управления безопасностью «КУБ»;
  • систем электронного документооборота: «ЭЛАР Саперион», «iPension»;
  • систем генерации паролей: «Браслетка», «УСГП»;
  • более сотни распределенных автоматизированных систем специального назначения.

АО «НПО «Эшелон» неоднократно проводила успешные проекты по сертификации программного обеспечения за рубежом.

В рамках испытательной лаборатории АО «НПО «Эшелон» организован центр компетенции по применению стандартов и нормативных документов, основанных на методологии «Общие критерии» (ИСО/МЭК 15408, Common Criteria, РД Гостехкомиссии «Критерии оценки безопасности информационных технологий” и др.).

Центр специализируется на:

  • разработке профилей защиты и заданий по безопасности;
  • оказании консалтинговых услуг по подготовке средств защиты информации к сертификации в соответствии с методологией стандарта «Общие критерии»;
  • разработке документов разработчика, необходимых при проведении сертификационных испытаний (свидетельства оценщика);
  • консультировании испытательных лабораторий по проведению испытаний в соответствии с методологией стандарта «Общие критерии”;
  • независимой оценки средств защиты информации и документации;
  • организации и проведении учебных курсов для экспертов испытательных лабораторий и разработчиков.

Компания неоднократно выполняла тематические НИР. Сотрудники компании являются авторами ряда публикаций в области сертификационных испытаний.

Сотрудники испытательной лабораторииАО «НПО «Эшелон» являются экспертами ряда федеральных, ведомственных и аккредитованных органов по сертификации СЗИ и лицензированию в области защиты информации.

Учебный центр АО «НПО «Эшелон» проводит авторские курсы по подготовке экспертов испытательных лабораторий.

Для оценки себестоимости работ по сертификации продуктов, систем и средств защиты информации просим присылать запрос на адрес: cert@npo-echelon.ru

Получить консультацию

Особенности сертификации СЗИ

Процесс создания средств защиты информации (СЗИ) всегда отличался высокой сложностью и трудоемкостью. Не завышены ли требования к СЗИ?Олег Беззубцев
советник генерального директора
ОАО «ЭЛВИС-ПЛЮС»

Для полноценного определения защитных свойств разрабатываемого изделия необходимо всесторонне оценить влияние предполагаемых угроз ИБ на надежность конкретной технической реализации СЗИ. Причем указанный анализ должен проводиться не только с учетом действительных на момент создания СЗИ угроз ИБ. Анализ должен учитывать и те угрозы, которые могут стать актуальными вследствие развития науки и техники в течение всего времени эксплуатации изделий или даже после снятия их с «вооружения» до тех пор, пока защищаемая информация не утратила для возможных нарушителей своей привлекательности.

Оценка защитных качеств любого СЗИ — триединый процесс:

  1. Определение перечня угроз и модели нарушителя ИБ, которым должно противостоять созданное изделие.
  2. Анализ результатов синтеза СЗИ и определение реальных технических показателей созданного изделия.
  3. Разработка и обоснование прогноза изменения защитных качеств созданного СЗИ с учетом возможных темпов развития науки и техники на период предполагаемой эксплуатации этого изделия или на время сохранения актуальности данных, которые будут защищаться с его помощью.

Понятно, что в общем случае качественное проведение всех указанных исследований является достаточно сложной научно-технической и, следовательно, дорогостоящей задачей, решение которой по плечу только высококвалифицированным группам специалистов.

В России полноценным набором требований кСЗИ в рамках установленной им компетенции обладают основные регуляторы в области информационной безопасности — ФСБ и ФСТЭК. Именно эти два ведомства являются ответственными за создание и поддержание системы защиты государственно значимой информации от зарубежных научно-технических разведок. На них в частности ст. 28 ФЗ РФ от 21.07.1993 г. №5485-1 «О государственной тайне» возлагается и ответственность за организацию сертификации средств защиты информации на соответствие требованиям по защите сведений соответствующей степени секретности.

Вместе с тем понятен и алгоритм, позволяющий удешевить и упростить процесс получения реальной оценки защитных свойств разрабатываемых или эксплуатируемых СЗИ. Это разбиение всего множества возможных СЗИ на подмножества изделий, оказывающих одинаковое защитное воздействие, то есть способных противостоять угрозам одного и того же типа (например, средства защиты конфиденциальности информации в канале связи, межсетевые экраны и т.д.), с последующей разработкой единого набора требований уже не к СЗИ вообще, а именно к изделиям данной группы. А также дальнейшей дифференциацией этих требований в зависимости от настоящих и прогнозируемых возможностей потенциальных нарушителей ИБ. Развитие подобной системы требований и формирование внутри подмножеств однотипных изделий стандартных классов СЗИ, обеспечивающих одинаковые защитные качества на протяжении заданного периода времени, позволяет в значительной мере избежать необходимости проведения для каждого вновь созданного изделия специальных исследований по указанным выше направлениям (1 и 3). Но создание подобной достаточно авторитетной системы требований к СЗИ под силу только очень мощной организации, обладающей квалифицированными кадрами и достаточным финансированием, например государственному ведомству или специальной службе.

Регуляторы

В России полноценным набором требований к СЗИ в рамках установленной им компетенции обладают основные регуляторы в области информационной безопасности — ФСБ и ФСТЭК. Именно эти два ведомства являются ответственными за создание и поддержание системы защиты государственно значимой информации от зарубежных научно-технических разведок. На них в частности ст. 28 ФЗ РФ от 21.07.1993 г. № 5485-1 «О государственной тайне» возлагается и ответственность за организацию сертификации средств защиты информации на соответствие требованиям по защите сведений соответствующей степени секретности. Тем самым за указанными ведомствами законодательно закрепляется ответственность за постоянное совершенствование системы требований к СЗИ (естественно, согласно с функциями, возложенными на каждое из этих ведомств российским законодательством), а следовательно, и проведение исследований по построению актуальных моделей угроз, нарушителей ИБ, а также по прогнозированию развития средств и методов научно-технической разведки на значительные периоды времени.

Полномасштабные исследования

Понятно, что наличие у названных ведомств развитой системы дифференцированных в зависимости от уровня секретности требований к СЗИ, а также действующих организационных структур сертификации изделий по требованиям безопасности информации позволяет им сертифицировать в рамках этих систем требований и силами соответствующих структур и изделия, предназначенные не для защиты грифованной информации, а иных сведений конфиденциального характера. Что успешно и делают оба ведомства по заявкам производителей СЗИ на основании действующих нормативных актов, изданных правительством или зарегистрированных в Министерстве юстиции России.

В настоящий момент в законодательстве Российской Федерации отсутствуют внятные законодательные нормы по защите служебной информации государственных органов и организаций, не содержащей сведения, составляющие государственную тайну. А те СЗИ, которые потребители трактуют как коммерческие, также могут использоваться для защиты подобной информации.

Вместе с тем само наличие системы требований к различным типам и классам СЗИ не отменяет необходимости проведения исследований нового изделия по направлению 2, указанному выше. Более того, данные работы, как правило, не могут быть сведены к простому тестированию полученной технической реализации. Поэтому в основе сертификационных испытаний средств защиты информации по требованиям информационной безопасности в рамках «Системы сертификации средств криптографической защиты информации (СКЗИ)» РОСС RU.0001.030001 ФСБ и «Системы сертификации средств защиты информации по требованиям безопасности информации» РОСС RU.0001.01БИ00 ФСТЭК лежат все-таки полномасштабные исследования специальных качеств разработанной аппаратуры и/или ПО. Необходимо отметить, что зачастую такие работы плохо поддаются формализации и автоматизации и могут быть проведены только квалифицированными исполнителями, так сказать, «в ручном режиме». Особенно это характерно для анализа СКЗИ.

Основные вопросы потребителей СЗИ

У потребителей СЗИ в связи с такой постановкой сертификационного процесса в области ИБ зачастую возникают вопросы, которые в целом можно свести к трем основным:

  • Не завышают ли регуляторы требования к СЗИ, предъявляемые к СЗИ так называемого коммерческого назначения (что, естественно, приводит к их удорожанию)?
  • Так ли необходимо использование сертифицированных средств защиты информации, как часто утверждается?
  • А вообще, зачем сертификация СЗИ коммерческого назначения осуществляется и почему государственными организациями (тем более специальными службами)?

Начну с последнего вопроса. В настоящий момент в законодательстве Российской Федерации отсутствуют внятные законодательные нормы по защите служебной информации государственных органов и организаций, не содержащей сведения, составляющие государственную тайну. А те СЗИ, которые потребители трактуют как коммерческие, также могут использоваться для защиты подобной информации. Тем более что п. 2 действующего по сию пору Указа Президента Российской Федерации от 03.04.1995 г. № 334 «О мерах по соблюдению законности в области разработки, производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации» напрямую запрещает государственным организациям и предприятиям использовать в своих ИТКС несертифицированные шифровальные средства, в том числе криптографические средства обеспечения подлинности информации (электронную подпись). Производители СЗИ (не только шифровальных средств), естественно, заинтересованы в получении в первую очередь сертификатов именно государственных регуляторов в области защиты информации (а именно ФСТЭК и ФСБ России) на свои изделия. Поскольку именно данные сертификаты открывают для них доступ к заказам государственных организаций.

Опыт США

Что касается использования сертифицированных СЗИ, то внимательное и непредвзятое изучение нормативной базы Российской Федерации показывает: обязательность присутствует только там, где присутствуют интересы государства и/или защита информации гарантируется законами государства. Ничего удивительного, что это самое государство в указанных случаях требует применения таких средств защиты информации, за качество которых ручаются уполномоченные государственные органы.

Необходимо отметить, что в большинстве научно и технически развитых стран мира существует аналогичная практика допуска СЗИ для защиты информации, в безопасности которой заинтересовано государство или общество в целом. Достаточно вспомнить закон Соединенных Штатов «О компьютерной безопасности» (Computer Security Act 1987 г. HR 145, Public Law 100-235, January 8, 1988). Например, данный акт декларирует, что требования государственных органов по обеспечению необходимого уровня защиты информации могут быть распространены на любую важную информацию, потеря которой, неправильное использование, несанкционированное изменение которой или доступ к которой могут привести к нежелательным воздействиям на национальные интересы. К данной категории отнесена практически вся несекретная информация правительственных ведомств, а также большая часть сведений, циркулирующих или обрабатываемых в ИС частных фирм и корпораций, работающих по правительственным заказам. Национальная инструкция об обеспечении безопасности связи США № 6002, принятая в июне 1984 г., устанавливает, что потребности в обеспечении безопасности связи государственных подрядчиков определяются компетентными государственными органами. Эти же органы обеспечивают контроль за соблюдением требований по безопасности связи. Инструкция разрешает использовать государственным подрядчикам шифровальные средства, либо изготовленные по заказу АНБ, либо рекомендованные этим агентством. Таким образом, оценка качества СЗИ уполномоченным государственным органом (а конкретнее, государственной спецслужбой) все равно присутствует в той или иной форме, хотя формально термин «сертификация» не применяется.

Использование сертифицированных СЗИ в России

Что касается использования сертифицированных СЗИ, то внимательное и непредвзятое изучение нормативной базы Российской Федерации показывает: обязательность присутствует только там, где присутствуют интересы государства и/или защита информации гарантируется законами государства. Ничего удивительного, что это самое государство в указанных случаях требует применения таких средств защиты информации, за качество которых ручаются уполномоченные государственные органы.

Завышены ли требования?

Очень интересен вопрос о том, завышают ли регуляторы требования к СЗИ коммерческого назначения и приводит ли это к значимому повышению цены сертифицированных изделий. Очевидного ответа здесь не существует. В качестве примера сошлюсь на историю известного американского стандарта криптографической защиты информации, DES-алгоритма. Данный алгоритм был разработан в начале 70-х гг. прошлого века (дата публикации окончательного варианта — 1977 г.). И как представлялось тогда, имел достаточную для обеспечения защиты коммерческой информации длину криптографического ключа в 56 бит. Но уже в 1998 г. специалисты RSA Laboratory, используя компьютер стоимостью $250 тыс., взломали этот алгоритм методом тотального перебора ключей менее чем за три дня. (О возможности дешифрования DES в сети с использованием тысяч компьютеров в течении 39 дней было объявлено еще раньше!) Несмотря на то что к настоящему времени разработаны как другие реализации самого DES, так и другие методы шифрования со значительно более длинными ключами, данный алгоритм по-прежнему широко используется для закрытия информации во многих ИС по всему миру. Просто единовременная замена шифровальных средств, выполненных в соответствии с указанным алгоритмом, в реально работающих ИТКС представляет собой достаточно сложную инженерную проблему, чреватую возможными перерывами в связи и даже потерей важных данных.

Данный пример показывает, что иногда проще «перезаложиться» и задать более высокую планку требований, чем потом лихорадочно искать выход из сложной технической ситуации. Что касается стоимости реализации рассматриваемого алгоритма, то за 20 лет, прошедших с момента принятия алгоритма «на вооружение» до момента его морального устаревания стоимость байта памяти упала не менее чем в 1000 раз. Поэтому и мнение о том, что, понизив требования к СЗИ, можно получить существенное снижение затрат на защиту информации, вряд ли можно считать однозначно верным.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *