Особенности сертификации СЗИ

Олег Беззубцев
советник генерального директора
ОАО "ЭЛВИС-ПЛЮС"

Для полноценного определения защитных свойств разрабатываемого изделия необходимо всесторонне оценить влияние предполагаемых угроз ИБ на надежность конкретной технической реализации СЗИ. Причем указанный анализ должен проводиться не только с учетом действительных на момент создания СЗИ угроз ИБ. Анализ должен учитывать и те угрозы, которые могут стать актуальными вследствие развития науки и техники в течение всего времени эксплуатации изделий или даже после снятия их с "вооружения" до тех пор, пока защищаемая информация не утратила для возможных нарушителей своей привлекательности.

Оценка защитных качеств любого СЗИ - триединый процесс:

1. Определение перечня угроз и модели нарушителя ИБ, которым должно противостоять созданное изделие.
2. Анализ результатов синтеза СЗИ и определение реальных технических показателей созданного изделия.
3. Разработка и обоснование прогноза изменения защитных качеств созданного СЗИ с учетом возможных темпов развития науки и техники на период предполагаемой эксплуатации этого изделия или на время сохранения актуальности данных, которые будут защищаться с его помощью.

Понятно, что в общем случае качественное проведение всех указанных исследований является достаточно сложной научно-технической и, следовательно, дорогостоящей задачей, решение которой по плечу только высококвалифицированным группам специалистов.

Вместе с тем понятен и алгоритм, позволяющий удешевить и упростить процесс получения реальной оценки защитных свойств разрабатываемых или эксплуатируемых СЗИ. Это разбиение всего множества возможных СЗИ на подмножества изделий, оказывающих одинаковое защитное воздействие, то есть способных противостоять угрозам одного и того же типа (например, средства защиты конфиденциальности информации в канале связи, межсетевые экраны и т.д.), с последующей разработкой единого набора требований уже не к СЗИ вообще, а именно к изделиям данной группы. А также дальнейшей дифференциацией этих требований в зависимости от настоящих и прогнозируемых возможностей потенциальных нарушителей ИБ. Развитие подобной системы требований и формирование внутри подмножеств однотипных изделий стандартных классов СЗИ, обеспечивающих одинаковые защитные качества на протяжении заданного периода времени, позволяет в значительной мере избежать необходимости проведения для каждого вновь созданного изделия специальных исследований по указанным выше направлениям (1 и 3). Но создание подобной достаточно авторитетной системы требований к СЗИ под силу только очень мощной организации, обладающей квалифицированными кадрами и достаточным финансированием, например государственному ведомству или специальной службе.

Регуляторы

В России полноценным набором требований к СЗИ в рамках установленной им компетенции обладают основные регуляторы в области информационной безопасности - ФСБ и ФСТЭК. Именно эти два ведомства являются ответственными за создание и поддержание системы защиты государственно значимой информации от зарубежных научно-технических разведок. На них в частности ст. 28 ФЗ РФ от 21.07.1993 г. № 5485-1 "О государственной тайне" возлагается и ответственность за организацию сертификации средств защиты информации на соответствие требованиям по защите сведений соответствующей степени секретности. Тем самым за указанными ведомствами законодательно закрепляется ответственность за постоянное совершенствование системы требований к СЗИ (естественно, согласно с функциями, возложенными на каждое из этих ведомств российским законодательством), а следовательно, и проведение исследований по построению актуальных моделей угроз, нарушителей ИБ, а также по прогнозированию развития средств и методов научно-технической разведки на значительные периоды времени.

Полномасштабные исследования

Понятно, что наличие у названных ведомств развитой системы дифференцированных в зависимости от уровня секретности требований к СЗИ, а также действующих организационных структур сертификации изделий по требованиям безопасности информации позволяет им сертифицировать в рамках этих систем требований и силами соответствующих структур и изделия, предназначенные не для защиты грифованной информации, а иных сведений конфиденциального характера. Что успешно и делают оба ведомства по заявкам производителей СЗИ на основании действующих нормативных актов, изданных правительством или зарегистрированных в Министерстве юстиции России.

Вместе с тем само наличие системы требований к различным типам и классам СЗИ не отменяет необходимости проведения исследований нового изделия по направлению 2, указанному выше. Более того, данные работы, как правило, не могут быть сведены к простому тестированию полученной технической реализации. Поэтому в основе сертификационных испытаний средств защиты информации по требованиям информационной безопасности в рамках "Системы сертификации средств криптографической защиты информации (СКЗИ)" РОСС RU.0001.030001 ФСБ и "Системы сертификации средств защиты информации по требованиям безопасности информации" РОСС RU.0001.01БИ00 ФСТЭК лежат все-таки полномасштабные исследования специальных качеств разработанной аппаратуры и/или ПО. Необходимо отметить, что зачастую такие работы плохо поддаются формализации и автоматизации и могут быть проведены только квалифицированными исполнителями, так сказать, "в ручном режиме". Особенно это характерно для анализа СКЗИ.

Основные вопросы потребителей СЗИ

У потребителей СЗИ в связи с такой постановкой сертификационного процесса в области ИБ зачастую возникают вопросы, которые в целом можно свести к трем основным:

• Не завышают ли регуляторы требования к СЗИ, предъявляемые к СЗИ так называемого коммерческого назначения (что, естественно, приводит к их удорожанию)?
• Так ли необходимо использование сертифицированных средств защиты информации, как часто утверждается?
• А вообще, зачем сертификация СЗИ коммерческого назначения осуществляется и почему государственными организациями (тем более специальными службами)?

Начну с последнего вопроса. В настоящий момент в законодательстве Российской Федерации отсутствуют внятные законодательные нормы по защите служебной информации государственных органов и организаций, не содержащей сведения, составляющие государственную тайну. А те СЗИ, которые потребители трактуют как коммерческие, также могут использоваться для защиты подобной информации. Тем более что п. 2 действующего по сию пору Указа Президента Российской Федерации от 03.04.1995 г. № 334 "О мерах по соблюдению законности в области разработки, производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации" напрямую запрещает государственным организациям и предприятиям использовать в своих ИТКС несертифицированные шифровальные средства, в том числе криптографические средства обеспечения подлинности информации (электронную подпись). Производители СЗИ (не только шифровальных средств), естественно, заинтересованы в получении в первую очередь сертификатов именно государственных регуляторов в области защиты информации (а именно ФСТЭК и ФСБ России) на свои изделия. Поскольку именно данные сертификаты открывают для них доступ к заказам государственных организаций.

Опыт США

Необходимо отметить, что в большинстве научно и технически развитых стран мира существует аналогичная практика допуска СЗИ для защиты информации, в безопасности которой заинтересовано государство или общество в целом. Достаточно вспомнить закон Соединенных Штатов "О компьютерной безопасности" (Computer Security Act 1987 г. HR 145, Public Law 100-235, January 8, 1988). Например, данный акт декларирует, что требования государственных органов по обеспечению необходимого уровня защиты информации могут быть распространены на любую важную информацию, потеря которой, неправильное использование, несанкционированное изменение которой или доступ к которой могут привести к нежелательным воздействиям на национальные интересы. К данной категории отнесена практически вся несекретная информация правительственных ведомств, а также большая часть сведений, циркулирующих или обрабатываемых в ИС частных фирм и корпораций, работающих по правительственным заказам. Национальная инструкция об обеспечении безопасности связи США № 6002, принятая в июне 1984 г., устанавливает, что потребности в обеспечении безопасности связи государственных подрядчиков определяются компетентными государственными органами. Эти же органы обеспечивают контроль за соблюдением требований по безопасности связи. Инструкция разрешает использовать государственным подрядчикам шифровальные средства, либо изготовленные по заказу АНБ, либо рекомендованные этим агентством. Таким образом, оценка качества СЗИ уполномоченным государственным органом (а конкретнее, государственной спецслужбой) все равно присутствует в той или иной форме, хотя формально термин "сертификация" не применяется.

Использование сертифицированных СЗИ в России

Что касается использования сертифицированных СЗИ, то внимательное и непредвзятое изучение нормативной базы Российской Федерации показывает: обязательность присутствует только там, где присутствуют интересы государства и/или защита информации гарантируется законами государства. Ничего удивительного, что это самое государство в указанных случаях требует применения таких средств защиты информации, за качество которых ручаются уполномоченные государственные органы.

Завышены ли требования?

Очень интересен вопрос о том, завышают ли регуляторы требования к СЗИ коммерческого назначения и приводит ли это к значимому повышению цены сертифицированных изделий. Очевидного ответа здесь не существует. В качестве примера сошлюсь на историю известного американского стандарта криптографической защиты информации, DES-алгоритма. Данный алгоритм был разработан в начале 70-х гг. прошлого века (дата публикации окончательного варианта - 1977 г.). И как представлялось тогда, имел достаточную для обеспечения защиты коммерческой информации длину криптографического ключа в 56 бит. Но уже в 1998 г. специалисты RSA Laboratory, используя компьютер стоимостью $250 тыс., взломали этот алгоритм методом тотального перебора ключей менее чем за три дня. (О возможности дешифрования DES в сети с использованием тысяч компьютеров в течении 39 дней было объявлено еще раньше!) Несмотря на то что к настоящему времени разработаны как другие реализации самого DES, так и другие методы шифрования со значительно более длинными ключами, данный алгоритм по-прежнему широко используется для закрытия информации во многих ИС по всему миру. Просто единовременная замена шифровальных средств, выполненных в соответствии с указанным алгоритмом, в реально работающих ИТКС представляет собой достаточно сложную инженерную проблему, чреватую возможными перерывами в связи и даже потерей важных данных.

Данный пример показывает, что иногда проще "перезаложиться" и задать более высокую планку требований, чем потом лихорадочно искать выход из сложной технической ситуации. Что касается стоимости реализации рассматриваемого алгоритма, то за 20 лет, прошедших с момента принятия алгоритма "на вооружение" до момента его морального устаревания стоимость байта памяти упала не менее чем в 1000 раз. Поэтому и мнение о том, что, понизив требования к СЗИ, можно получить существенное снижение затрат на защиту информации, вряд ли можно считать однозначно верным.