Проблеми атестації автоматизованих систем

Путівник по документам Гостехкомиссии РФ

У комерційній компанії всю відповідальність за безпеку інформаційної системи несе керівництво відділу захисту інформації. У багатьох організаціях розробляються власні внутрішні документи, що визначають, що і як необхідно захищати. Вибір заходів і засобів захисту інформації - внутрішня справа кожної компанії. Точно так само йде справа з перевіркою стану корпоративної мережі.

Однак існують організації, в яких автоматизовані системи (АС) обробляють дані, що представляють собою власність держави. Це може бути інформація, яка становить державну таємницю або є стратегічно важливою для країни (наприклад, АС управління екологічно небезпечними об'єктами).

При визначенні необхідних заходів захисту такі організації користуються керівними документами Гостехкомиссии Росії, а перевірка рівня захищеності АС проводиться спеціальними атестаційними органами. Називається така перевірка атестацією автоматизованої системи.

Атестація АС - це не примха чиновників: держава має право контролювати ступінь захисту інформації, яка є її власністю.

Що таке класи АС і групи АС?

При атестації АС атестаційний орган керується документом Гостехкомиссии Росії "Автоматизовані системи. Захист від несанкціонованого доступу до інформації. Класифікація автоматизованих систем і вимоги щодо захисту інформації "(РД для АС). У ньому наведено класифікацію АС і перелік вимог щодо захисту інформації для кожного класу автоматизованих систем. Вимоги ці є мінімальними. Класи поділяються на три групи, що відрізняються особливостями обробки інформації в АС (див. Табл. 1).

Таблиця 1. Ієрархія вимог до АС

У межах кожної групи дотримується ієрархія вимог щодо захисту в залежності від цінності (конфіденційності) інформації і, отже, ієрархія класів захищеності АС.

Розподіл АС на класи необхідно для того, щоб заходи та способи захисту інформації тією чи іншою мірою важливості були обґрунтованими.

Хотілося б застерегти читача від навмисного або ненавмисного завищення класу своєї автоматизованої системи. Справа в тому, що якщо завищити клас АС, яку необхідно атестувати, то витрати на захист інформації можуть досягти рівня, що перевищує цінність самої інформації.

Навіщо потрібна сертифікація засобів захисту інформації?

Розробники часто заявляють про унікальні можливості своїх програмних продуктів. Однак для доведення якості ПО і реалізації в ньому заявлених функцій необхідно висновок незалежного експерта.

Контроль з боку незалежної організації тим більш важливий, коли мова йде про засоби захисту інформації (СЗІ) - адже за допомогою цих програмно-апаратних комплексів буде забезпечуватися захист конфіденційних даних і державної таємниці. Тому в якості незалежного експерта, який досліджує можливості засоби захисту інформації, виступають лабораторії з відповідним атестатом акредитації Гостехкомиссии Росії.

Які засоби захисту інформації найкраще використовувати?

Засобів захисту багато хороших і різних - є міжмережеві екрани, засоби виявлення атак, антивірусні програми. Однак який засіб захисту найбільш оптимально для атестації АС? Необхідно вибрати засіб, що має якомога більше тих механізмів захисту, які повинні бути в аттестованной АС. Багато читачів знають, що оптимальним засобом захисту для атестації АС буде таке СЗІ, яке відповідає керівному документу (РД) Гостехкомиссии Росії "Засоби обчислювальної техніки. Захист від несанкціонованого доступу до інформації. Показники захищеності від несанкціонованого доступу до інформації "(РД для СВТ).

Справа в тому, що вимоги до системи захисту інформації, що пред'являються в даному документі, багато в чому збігаються з тими вимогами, які висуваються до автоматизованих систем (див. Табл. 2). Наприклад, керівні документи РД для СВТ і РД для АС передбачають наявність наступних можливостей як в засобі захисту інформації сертифікованої по 3-му класу захищеності (по РД для СВТ), так і в автоматизованій системі класу 1В.

Таблиця 2. Вимоги до системи захисту АС і СВТ

СЗІ, сертифіковані по РД для СВТ, є оптимальним вибором, якщо необхідно забезпечити захист інформації в мережі і одночасно з цим атестувати автоматизовану систему.

Класи захищеності оптимального засоби захисту

Як вже було сказано вище, сертифікуючи систему захисту від несанкціонованого доступу, Гостехкомиссией Росії користується РД для СВТ. Даний документ містить перелік усіх вимог до засобу захисту інформації.

Залежно від того, які вимоги виконує засіб захисту, воно може бути віднесено до одного з семи класів (1-й клас захищеності - найвищий, 7-й - найнижчий). Для сертифікації системи захисту, наприклад по 3-му класу захищеності, необхідно, щоб вона виконувала всі вимоги даного класу.

Наведені в РД набори вимог до показників кожного класу є мінімально необхідними, тому якщо в системі відсутній будь-який механізм захисту, визначений переліком вимог до цього класу, то вона буде сертифікована класом нижче.

Який зв'язок між атестацією АС і сертифікацією засоби захисту інформації?

СВТ є лише однією з частин автоматизованої системи. АС крім СВТ включає в себе персонал організації, що забезпечує її функціонування, приміщення, паперові документи і т. Д. (Див. Малюнок). Тому, як вже було сказано вище, при атестації АС розглядаються питання не тільки захисту засобів обчислювальної техніки від несанкціонованого доступу, а й організаційні заходи захисту, питання фізичного доступу і т. Д. Однак якщо в АС використовується сертифіковане засіб захисту від несанкціонованого доступу, то більшість питань , пов'язаних із захистом СВТ, може бути вирішено. Пов'язано це з тим, що вимоги, які пред'являє документ РД для АС саме до захисту СВТ, повторюються у вимогах РД для СВТ. Зокрема, система захисту інформації Secret Net, сертифікована по 3-го класу захищеності, підходить для використання в АС класів 3А, 2Б, 1В.

Якщо в АС планується обробляти державну таємницю, то АС повинна бути не нижче класу 3А, 2А або 1В. При цьому необхідно використовувати сертифіковані засоби захисту (по РД для СВТ) не нижче наступних класів:

- 4-го - для класу захищеності АС 1В;

- 3-го - для класу захищеності АС 1Б;

- 2-го - для класу захищеності АС 1А.

Трохи історії +

Чим же викликане схожість двох документів Держтехкомісії Росії? Ці документи розроблялися одночасно і спільно, про це сказано в "Концепції захисту ЗОТ і АС від несанкціонованого доступу до інформації". У відповідності з цією концепцією РД для АС - це документ, що описує вимоги щодо захисту інформації в автоматизованій системі. У той же час РД для СВТ описує вимоги щодо захисту окремого СВТ - елемент автоматизованої системи.

РД для СВТ покликаний чітко визначити вимоги до СЗІ. Фактично РД для СВТ є керівництвом розробника засобів захисту інформації.

Що таке перевірка на НДВ?

Захист державної таємниці - дуже серйозна справа. Тому Гостехкомиссией Росії встановила додаткові вимоги до перевірки програмного і апаратного забезпечення, що реалізує функції захисту інформації.

Крім перевірки на відповідність вимогам документа РД для СВТ, система захисту інформації (яку планується використовувати для захисту державної таємниці) повинна також пройти перевірку на відсутність декларованих можливостей (Стройтрест). Це не що інше, як дослідження вихідного тексту програми на предмет відсутності в ньому "програмних закладок", "троянських коней" та інших неприємних речей подібного роду. При цій перевірці Гостехкомиссией Росії користується керівним документом "Захист від несанкціонованого доступу до інформації. Частина 1. Програмне забезпечення засобів захисту інформації. Класифікація за рівнем контролю відсутності недекларованих можливостей ".

Даний документ також дозволяє класифікувати систему захисту по чотирьох рівнях контролю НДВ. Кожен рівень характеризується певною мінімальної сукупністю вимог. Найвищий рівень контролю - перший, найнижчий - четвертий.

Засіб захисту інформації, яке буде застосовуватися для захисту інформації, що становить державну таємницю, має пройти перевірку за рівнем контролю не нижче третього.

Чому деякі продукти мають сертифікат по РД для АС?

Не завжди засіб захисту має сертифікат Гостехкомиссии Росії по РД для СВТ, іноді в сертифікаті зазначено: "Може використовуватися при розробці систем захисту для автоматизованих систем до класу захищеності 1В включно відповідно до вимог РД для АС".

Це означає одне з двох:

- або продукт має такі можливості, які відсутні в РД для СВТ, але при цьому наявність таких можливостей передбачено в РД для АС;

- або продукт виконує не всі функції, які необхідні для його сертифікації по РД для СВТ, але має можливості, які необхідні для атестації АС по РД для АС.

Таким чином, незважаючи на те що засіб захисту сертифіковане і його можна застосовувати для розробки автоматизованої системи, воно частіше менш функціонально, ніж будь-який інший засіб захисту, сертифіковане по РД для СВТ.

Що робити, якщо для атестації АС потрібне використання криптографічних засобів захисту?

Документ РД для СВТ не містить вимог до криптографічного захисту інформації, проте в РД для АС такі вимоги пред'являються. Зокрема, серед вимог до класу 2А, 1А або 1Б є і таке: "Повинно здійснюватися шифрування всієї конфіденційної інформації, що записується на спільно використовуються різними суб'єктами доступу (колективні) носії даних, в каналах зв'язку, а також на знімні носії даних (дискети, мікрокасети і т. п.) довготривалої зовнішньої пам'яті для зберігання за межами сеансів роботи санкціонованих суб'єктів доступу ". При цьому необхідно використовувати сертифіковані засоби криптографічного захисту інформації.

Що відбувається, коли закінчується термін дії сертифіката?

Сертифікати по РД для СВТ на засоби захисту інформації видаються на три роки. Після закінчення терміну дії сертифіката постачальник СЗІ зобов'язаний припинити поставки. Засіб захисту, для якого цей термін уже минув, ще може експлуатуватися в автоматизованій системі. А атестат на АС теж не вічний, його термін рано чи пізно закінчується, і Хто має прийти переатестація АС. Якщо в будь-якої організації захист АС забезпечена за допомогою засобу з простроченим сертифікатом, то необхідно звернутися в Гостехкомиссии Росії із запитом на продовження терміну дії атестата даної АС. Тому при придбанні засоби захисту інформації звертайте увагу на термін дії сертифіката.

висновок

Дана стаття не претендує на детальний опис всіх положень керівних документів Держтехкомісії Росії, проте в ній порушені ключові моменти, на які слід звернути увагу при атестації автоматизованої системи.

З автором статті можна зв'язатися за адресою: [email protected].

Версія для друку

Тільки зареєстровані користувачі можуть залишати коментарі.