О сертификации антивирусов

О сертификации антивирусов

В.Г. Грибунин
к.т.н., эксперт

А судьи кто? А что законы?

Уже более десяти лет в России действует система сертификации средств защиты информации (СЗИ). Сертификация СЗИ выполняется, как правило, на соответствие требованиям руководящих документов Гостехкомиссии - РД СВТ, РД НДВ, РД МСЭ. Как показывают результаты последних исследований, наиболее распространенными СЗИ являются программные средства защиты от вирусов -антивирусы. Они имеются в большинстве организаций, правда, не всегда законно приобретенные.

Как это ни парадоксально, но требования к этим средствам в России до сих пор не разработаны. Несмотря на это, сертификация выполняется, но выполняется "как бог на душу положит". Антивирусы сертифицируются, как правило, на соответствие техническим условиям и на отсутствие недекларированных возможностей (НДВ), а некоторые - так и вовсе только на отсутствие НДВ (например, Kaspersky Inspector 3.5.5, Stocona Antivirus 3.1 Professional), как это указано на сайте ФСТЭК. И при всем уважении к таким организациям, как "Марийский машиностроительный завод", вряд ли их можно признать экспертами в области антивирусов.

Ввиду сложившейся ситуации многие склонны скорее доверять результатам испытаний зарубежных лабораторий. Рассмотрим, как обстоят дела с сертификациями антивирусов в этих лабораториях, какие требования предъявляются в них к этим программным продуктам.

Сертификация в West Coast Labs

Вот уже свыше десяти лет функционирует система сертификации СЗИ Checkmark в независимой организации West Coast Labs. Все СЗИ разделены на две большие группы: средства защиты контента и периметровые СЗИ. К первой группе относятся антивирусы, средства фильтрации трафика и сообщений электронной почты, антишпионские и антиспамовые средства. Ко второй группе СЗИ относятся межсетевые экраны, средства предотвращения атак, организации виртуальных частных сетей и поиска уязвимостей.

Тестирование антивирусов является двухуровневым: тестирование функциональности обнаружения вирусов (Level 1) и функциональности лечения зараженных файлов (Level 2). Кроме того, в скором времени можно ожидать новой группы: тестирование работы антивируса с полиморфными вирусами.

Для тестирования используется список "диких" вирусов, распространяемый The Wildlist Organisation. Список должен быть создан не ранее, чем за два месяца до выхода тестируемого продукта.

При проверке "лечения" файлов обращается внимание на то, чтобы "излеченные" файлы сохраняли свою основную функциональность (для исполняемых модулей) или свое содержание (для документов), хотя вовсе не обязательно, чтобы все макросы сохранялись. Проверке на Level 2 подвергаются только антивирусы, прошедшие тестирование на Level 1.

Таким образом, при сертификации по системе Checkmark внимание уделяется только работе антивируса по основному назначению - борьба с вирусами.

Сертификация в ICSA Labs

Другим подразделением, осуществляющим сертификацию антивирусов, является ICSA Labs - подразделение фирмы Cybertrust. В данной лаборатории используется несколько иной, более комплексный подход к сертификации. Эта "комплексность" проявляется в том, что к антивирусам предъявляются не только требования по обнаружению вирусов и лечению зараженных файлов и областей диска, но и требования по административным функциям продукта, а также по содержанию регистрационной информации.

Тестирование выполняется и по вирусам из Wildlisfa, и по тестовым наборам самой лаборатории ("common infectors", "zoo" и полиморфные вирусы).

Лабораторией выделено шесть групп антивирусных продуктов:

1)индивидуальные, предназначенные для использования на рабочих станциях или серверах;

2)граничные, предназначенные для использования на сетевых шлюзах (в межсетевых экранах, маршрутизаторах, прокси-серверах и т.п.);

3)групповые, предназначенные для защиты коллективно используемых ресурсов (хранилищ данных);

4)осуществляющие онлайновую проверку;

5)централизованно администрируемые (например, администратором локальной сети);

6)для почтовых серверов.

К каждой группе продуктов предъявляемые требования различны. Различным должно быть и их реагирование на вирусы "по требованию" и "при доступе". В таблице приведены выполняющиеся при тестировании проверки.

Обязательными присутствующими административными функциями для большинства антивирусов является наличие интерфейса администратора, через который должны быть доступны все функции, в том числе:

• возможность включения/выключения режима обнаружения вирусов;
• получение обновлений баз сигнатур вирусов и самого программного обеспечения, в том числе через Интернет;
• возможность просмотра данных аудита.

Для централизованно администрируемых антивирусов актуальными являются функции распространения последних обновлений баз сигнатур и ПО на компьютеры сети, также внимание обращается на безопасное ведение записей аудита.

К ведению журнала аудита предъявляются такие требования, как полнота (должны регистрироваться все вирусы, а также принятые антивирусом действия) и его читабельность человеком. Антивирусы четвертой группы должны вести эти записи для каждого компьютера сети. Антивирусы для почтовых серверов должны фиксировать такие сведения, как:

• количество обработанных электронных писем;
• количество обнаруженных вирусов и их идентификация;
• для каждого зараженного письма - тип вируса, адрес отправителя, адрес получателя, причина блокировки письма;
• действия, принятые по отношению к заблокированным письмам.

Сертификация на соответствие ISO15408

Нам известен единственный, трехлетней давности, случай подобной сертификации антивируса. Для продукта InterScan VirusWall фирмы Trend Micro было подготовлено 44-страничное задание по безопасности и выполнена оценка продукта на ОУД4.

Анализ отчета об оценке позволяет сделать вывод о том, что "Общие критерии" вряд ли приспособлены для сертификации антивирусов.

Испытательная лаборатория внимательно изучила непротиворечивость и полноту всевозможных предположений безопасности о персонале и т.д., проверила, что продукт действительно инсталлируется, выполнила часть тестов, представленных разработчиком. А вот независимого тестирования работы антивируса по его прямому предназначению не было. Ну не предусмотрено это схемой сертификации, и в задании по безопасности нет никаких ссылок на Wildlist.

С другой стороны, можно было бы разработать профиль защиты для антивирусов, в котором был бы учтен этот нюанс. Если говорить о сертификации в России, то хотелось бы, чтобы и Wildlist был российским. Какие-то шаги в этом направлении уже делаются.

Итак, представляется своевременной разработка сертификационных требований к программным средствам антивирусной защиты. При этом необходимо учесть опыт зарубежных испытательных лабораторий, в особенности подход ICSA Labs. Также нельзя забывать и о российских особенностях, например, необходимости для некоторых пользователей сертификации на НДВ.