Обзор подготовлен

версия для печати
Какие требования к антивирусам должны включатся в тендерную документацию?

Какие требования к антивирусам должны включатся в тендерную документацию?

Какие требования предъявляются сегодня к средствам антивирусной защиты, предназначенным для использования в государственных информационных системах? Какие требования к антивирусным продуктам подлежат включению в тендерную документацию? К сожалению, до сих пор однозначного ответа на эти вопросы нет.

Базовым документом, определяющим требования по защите информации ограниченного распространения в государственных информационных системах, является документ СТР-К. Совместно с рядом других правовых актов он определяет, что средства защиты информации в государственных информационных системах должны быть сертифицированы, а приказ ФСТЭК № 199 относит к ним и антивирусные программы.

Примечательно, что после издания этого приказа в 1995 г. в течение более чем шести лет средства антивирусной защиты на сертификацию не выставлялись, но выдавались аттестаты соответствия требованиям по безопасности информации на объекты информатизации, в которых применялись не сертифицированные средства антивирусной защиты.

Ядром процесса создания СЗИ в любой информационной системе, подготавливаемой к процедуре аттестационных испытаний на соответствие требованиям по безопасности информации, является внедрение системы защиты информации от несанкционированного доступа (НСД). С целью организации и упорядочения этого процесса Гостехкомиссией России, ныне – ФСТЭК России,  в 1991-1999г.г. разработана и введена в действие система руководящих документов по защите информации от несанкционированного доступа.

Центральное место в ней занимают принятые в 1992г. руководящие документы (РД) «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» (РД СВТ) и «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации» (РД АС), а также наиболее часто упоминаемый в контексте рассматриваемой проблематики документ «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия не декларированных возможностей» (РД НДВ), утвержденный приказом Гостехкомиссии России от 4 июня 1999г. № 114.

В системе аттестации объектов информатизации по требованиям безопасности информации каждая аттестуемая АС рассматривается как объект аттестации, расположенный на территории (в здании). Для него должен быть установлен особый режим доступа. Он обязан иметь четко очерченную контролируемую зону и охраняемый периметр, вместе с расположенными внутри контролируемой зоны объекта коммуникациями, системами теплового и энергоснабжения, охранной и пожарной сигнализации.

Определяющим для принятия решения о соответствии объекта информатизации всему комплексу требований и условий, необходимых для получения Аттестата соответствия, является выполнение следующих основных групп требований.

Во-первых, общих требований по наличию разрешительной системы доступа на объект, к техническим средствам и ресурсам АС, организации физической защиты и охраны периметра. Во-вторых, требований по защите информации от её утечки по техническим каналам. В-третьих, требований по защите информации от несанкционированного доступа.

Во всей системе руководящих документов ФСТЭК, и уж тем более ФСБ и других силовых ведомств, в настоящее время нет ни одного действующего документа, который регламентировал бы порядок применения средств антивирусной защиты, к процедуре их сертификации. Либо давал хоть какие-нибудь критерии применимости или неприменимости их в информационных системах, предназначенных для обработки информации ограниченного распространения (за исключением общих фраз о том, что они должны быть сертифицированы).

И, поскольку сертификация может проводиться только на соответствие техническим регламентам (а на средства антивирусной защиты регламентов до сих пор нет) в соответствие с ФЗ «О техническим регулировании» порядок применения средств антивирусной защиты определяется соответствующими федеральными органами исполнительной власти в пределах их компетенции.

Вследствие отсутствия РД и технических регламентов на средства АВЗ наблюдаются систематические попытки распространить действие руководящих документов по защите от несанкционированного доступа на средства антивирусной защиты. В частности, для предъявления требований по сертификации средств АВЗ на соответствие определенному классу СВТ и на отсутствие не декларированных возможностей при соответствующем уровне контроля.

Требования по применению антивирусных программ рассматриваются в контексте общих требований по защите информационных систем. И, ввиду отсутствия соответствующих специальных РД, проверка указанных требований проводится одновременно с проверкой выполнения мер по защите от НСД.

Имеет ли смысл сертификация антивирусов?

РД СВТ определяет характеристики СВТ, соответствующие требованиям по защите от несанкционированного доступа, предъявляемым к ним в зависимости от степени конфиденциальности обрабатываемой информации и особенностей технологического процесса. В зависимости от достигаемых показателей защищенности СВТ разбиты на классы, сгруппированные в 4 группы.

СВТ класса 4 и выше разрешается использовать для обработки информации, составляющей государственную тайну (см. РД АС, п. 2.18).

В соответствии с РД АС классификация АС проводится при их подготовке к аттестации по требованиям безопасности информации. Данный РД определяет конкретные требования по защите от НСД для каждого конкретного класса.

Всего же установлены девять классов АС, разбитые на три группы. Для обработки конфиденциальной информации, не составляющей государственную тайну, разрешается использовать АС любого из классов; при этом в АС низших классов каждой из трех групп (классы: 3Б, 2Б, 1Д и 1Г) обработка информации, составляющей государственную тайну, запрещена. Согласно требованиям РД АС для построения защищенных АС должны использоваться СВТ соответствующего класса.

Защищенным считается тот СВТ, в котором установлено программное или программно-аппаратное средство защиты информации от НСД (СЗИ НСД), обеспечивающее выполнение требований к СВТ определенного класса.

Сертификация СЗИ НСД на соответствие определенному классу СВТ подразумевает именно проверку возможности с его помощью обеспечить выполнение соответствующего набора требований к любому СВТ, в котором оно будет установлено.

Поскольку антивирусные программы по своему функционалу не способны обеспечить выполнение даже минимального набора требований к СВТ самого низкого класса, их сертификация на соответствие классу СВТ невозможна и бессмысленна.

Обновления антивирусных баз лишают сертификатов о НДВ

Сертификация на отсутствие не декларированных возможностей по соответствующему уровню контроля проводится в соответствии с РД НДВ. Данный РД устанавливает классификацию ПО средств защиты информации (СЗИ), в том числе и встроенных в общесистемное и прикладное ПО, по уровню контроля отсутствия в нем не декларированных возможностей. Действие документа не распространяется на программное обеспечение средств криптографической защиты информации.

Согласно п. 1.1 документа, классификация по уровню контроля отсутствия не декларированных возможностей распространяется на ПО, предназначенное для защиты информации ограниченного доступа.

Для программного обеспечения, используемого при  защите информации, отнесенной к государственной тайне, должен быть обеспечен уровень контроля не ниже третьего. Самый низкий уровень контроля - четвертый, достаточен для софта, используемого при защите конфиденциальной  информации.

Поскольку требования по контролю отсутствия не декларированных возможностей применимы в принципе к любому программному обеспечению, а другие РД, применимые к средствам антивирусной защиты отсутствуют, РД НДВ чаще всего используют в качестве источника требований к средствам АВЗ. При этом не учитывают элементарного условия идентичности используемого ПО тому, на которое был выдан сертификат.

Для того чтобы убедиться в идентичности применяемого в системе ПО исходному, используют метод контрольных сумм. При совпадении контрольной суммы, снятой с файлов оцениваемого ПО, контрольным суммам ПО подвергнутого сертификационным испытаниям, принимается положительное решение об их идентичности. При несовпадении контрольных сумм оцениваемое ПО считается не сертифицированным. Таким образом, с каждой новой версией сертифицированного ПО, с каждым новым обновлением, сертификат на ПО теряет силу.

Это делает бессмысленным выдачу сертификата соответствия требованиям по отсутствию не декларированных возможностей на средства антивирусной защиты, поскольку при первом же обновлении антивирусных баз данный сертификат теряет силу.

В этом находит отражение базовый принцип, исповедуемый при построении систем защиты информации в информационных системах любого уровня и назначения. О заключается в том, что определяющим является применение для защиты информации от НСД сертифицированных средств защиты информации, обеспечивающих выполнение требований к СВТ соответствующего класса. Обязательно должна быть гарантия отсутствия не декларированных возможностей при наличии подтверждающего это сертификата.

При этом уровень защиты системы, создаваемый сертифицированным СЗИ НСД, блокирует проявление любых не декларированных возможностей установленного в АС общесистемного и прикладного софта, способных вызвать нарушение информационной безопасности, в том числе и ПО антивирусной защиты.

Сертификации антивирусных средств на соответствие ТУ - лишь красивая упаковка

Де-факто требование сертификации в отношении к средствам антивирусной защиты означает необходимость документального подтверждения, что рассматриваемое ПО в действительности справляется с задачей антивирусного контроля. Функционал антивирусного ПО описывается в Технических условиях на ПО, предъявляемое на сертификационные испытания, которые хранятся в органе по сертификации (в отделе сертификации ФСТЭК России). Наличие сертификата на соответствие ТУ означает, что антивирусное ПО в действительности является таковым.

Фактически ПО, обладающее таким сертификатом, можно смело применять в государственных информационных системах, используемых для обработки информации вплоть до особой важности. Естественно,  при  применении всего остального комплекса обязательных мер по защите информации от несанкционированного доступа и от её утечки по техническим каналам. Этим и объясняется тот факт, что до марта 2002г. в реестре сертифицированных средств защиты информации отсутствовали средства антивирусной защиты: то, что применяемое антивирусное ПО действительно является таковым, считалось очевидным.

Первостепенное внимание уделялось другим аспектам обеспечения информационной безопасности АС, и документального подтверждения данного факта не требовалось. Гостехкомиссия, а потом и ФСТЭК России не возражала против выдачи аттестатов соответствия требованиям по безопасности информации на объекты информатизации, в которых использовались не сертифицированные антивирусные программы.

Таким образом, сертификацию антивирусных программ по требованиям отсутствия НДВ, а не на соответствие ТУ, следует воспринимать не как выполнение обязательных требований ФСТЭК России, а как разовый акт. Т.е. это к ни что иное, как изящная и дорогая упаковка предлагаемого на рынке товара, которая не только повышает привлекательность, но и увеличивает стоимость.

Можно ли использовать ЭЦП для обновлений в среде интернет?

В полемике часто используется аргумент наличия сертификата ФСБ на средства антивирусной защиты, как на средства защиты конфиденциальной информации. Данные аргументы не выдерживают элементарного критического анализа.

Во-первых, криптографические средства, по определению, предназначены для выполнения задач по защите конфиденциальной информации, обрабатываемой в АС и передаваемой по открытым каналам связи, методами её криптографического преобразования. Средства антивирусной защиты этого не делают. И тот, кто, используя неосведомленность оппонента, пытается доказывать обратное, как минимум, утаивает важнейшую информацию. Для того, чтобы расставить все точки над i, достаточно было бы взглянуть на ТУ, на соответствие которым проводились сертификационные испытания. Мы обнаружим в них не более чем описание алгоритма кодирования при трансляции обновлений, что не имеет ни малейшего отношения к защите информации ограниченного распространения криптографическими методами и, следовательно, не подпадает под действие требований ФСБ России по сертификации.

Во-вторых, технология использования ЭЦП для передачи обновлений означает подключение информационной системы, в которой обрабатывается информация ограниченного распространения, к открытым каналам передачи данных или сети интернет, что само по себе недопустимо. Любому специалисту в области информационной безопасности, знакомому с процедурой аттестации объектов информатизации по требованиям безопасности информации, абсолютно ясно, что такая информационная система, подключенная к сети интернет, аттестацию не пройдет. Очевидно, компании, организующие серию сертификаций своих продуктов как СКЗИ в системе ФСБ России, либо не знают основных требований ФСТЭК России и порядка аттестации объектов информатизации в системе сертификации № РОСС RU.0001.01БИ00, либо сознательно используют сертификацию в системе сертификации ФСБ России № РОСС RU.0003.01БИ00 как чисто маркетинговый ресурс.

В-третьих, для получения обновлений в любом учреждении может использоваться отдельный подключенный к интернет компьютер, не имеющий физической связи с защищенной информационной системой.  Обновления из него в закрытую систему могут поступать на сменных машинных носителях в соответствии с порядком, установленным в организации. Передача обновлений на автономный компьютер может использоваться любым способом, соответствующим требованиям ФСБ. Кроме того, может быть разработана процедура периодической доставки обновлений в обход открытых сетей типа интернет (курьером, спецпочтой). То же самое, только с еще более весомой аргументацией, соответствующей более высокой степени конфиденциальности защищаемой информации, можно отнести и к сертификации систем АВЗ в системе сертификации СЗИ-ГТ для использования в целях защиты ин формации, составляющей государственную тайну.

В-четвертых, средства антивирусной защиты, распространяемые открыто, не подлежат сертификации в системе сертификации ФСБ России в соответствии с руководящими документами самой же ФСБ. Существуют положения о лицензировании деятельности, связанной с использованием шифровальных средств, утвержденные постановлением Правительства Российской Федерации от 23 сентября 2002г. № 691. Их требования не распространяются на шифровальные (криптографические) средства, являющиеся компонентами доступных для продажи без ограничений программных операционных систем, криптографические возможности которых не могут быть изменены пользователями. Которые разработаны для установки пользователем самостоятельно без дальнейшей существенной поддержки поставщиком, и техническая документация (описание алгоритмов криптографических преобразований, протоколы взаимодействия, описание интерфейсов и т. д.) на которые является доступной, в том числе для проверки.

Кроме того, в соответствии с Положением ПКЗ-2005 (приказ ФСБ России от 9 февраля 2005г. № 66), при разработке, производстве, реализации и эксплуатации средств ЭЦП, предназначаемых для использования в электронном документообороте, информация которого не относится к информации конфиденциального характера, его требования носят рекомендательный характер. А пунктом 5 того же Положения прямо установлено, что оно не регулирует отношения, связанные с экспортом и импортом СКЗИ, и не распространяется на использование шифровальных (криптографических) средств иностранного производства.

Именно аттестация должна быть целью расходования бюджетных средств, а не закупка лицензий как таковая

При проведении тендеров, как правило, в соответствии с Федеральным законодательством, организуется открытый конкурс, целью которого является поставка антивирусного программного обеспечения с ограниченным сроком действия лицензий. Проводят тендеры не подразделения защиты информации, ставящие во главу угла требования ФСТЭК и ФСБ, а ИТ службы.  Которые зачастую недостаточно ориентируются в нюансах Федерального законодательства в области информационной безопасности.

Владельцам государственных информационных систем следует знать, что при принятии решений о формировании требований к поставляемому продукту организация, эксплуатирующая государственную информационную систему, должна разработать технологический процесс обработки информации в защищаемой системе, исключающий возможность её подключения к информационным сетям общего пользования, включая сеть интернет.

Затем определить структуру и топологию сети. После этого определить состав технических средств, предназначенных для обработки конфиденциальной информации, а также  состав используемого общесистемного и прикладного ПО и выполнить его установку и настройку в системе.

Далее определяется режим и права доступа пользователей к ресурсам системы, высшую степень конфиденциальности обрабатываемой информации, оформить акт о классификации АС.

После этого - разработать систему защиты информации  от НСД в системе, определить состав применяемых организационно-технических мер защиты информации и технических средств защиты информации, выполнить установку и настройку системы защиты информации от НСД, а также прочие требования ФСТЭК России по защите информации в системе.

Завершающий этап  - представление системы в целом к аттестационным испытаниям на соответствие требованиям по защите информации. Именно аттестация должна быть целью расходования бюджетных средств, а не закупка лицензий как таковая.

Полностью порядок создания и требования к автоматизированным системам в защищенном исполнении см. ГОСТ Р 51583-2000 «Защита информации. Порядок создания автоматизированных систем в защищённом исполнении. Общие положения» и ГОСТ Р 51624-2000 «Защита информации. Автоматизированные системы в защищённом исполнении. Общие требования».

При невозможности в полном объёме выполнить эти и прочие процедуры, привлекаются сторонние организации, на которые можно возложить ответственность за выбор и применение средств защиты информации, включая средства антивирусной защиты.

Таким образом, во главу угла в государственных структурах, расходующих на построение своей системы информационной безопасности бюджетные деньги, должно ставиться конечной целью только получение разрешения на обработку конфиденциальной информации посредством процедуры аттестации в системе сертификации средств защиты информации ФСТЭК России № РОСС RU.0001.01БИ00.

При этом могут быть предложены следующие формулировки для включения в тендерную документацию:

Во-первых, применяемые средства защиты от НСД должны иметь сертификаты соответствия требованиям по безопасности информации в системе сертификации средств защиты информации ФСТЭК России № РОСС RU.0001.01БИ00, подтверждающие их соответствие классу СВТ не ниже «X» и отсутствие в них не декларированных возможностей по уровню контроля не ниже «Y».

Во-вторых, применяемые средства антивирусной защиты должны иметь сертификаты соответствия требованиям по безопасности информации в системе сертификации средств защиты информации ФСТЭК России № РОСС RU.0001.01БИ00, подтверждающие их соответствие техническим условиям на средства антивирусной защиты.

В-третьих, применяемые для защиты конфиденциальной информации при её передаче по открытым каналам связи между элементами системы криптографические средства должны быть сертифицированы в системе сертификации средств защиты информации ФСБ России № РОСС RU.0001.03БИ00.

При таком подходе к формулировке требований в тендерной документации, предъявление кем бы то ни было к заказчику предвзятых требований, не укладывающихся в рамки процитированных выше правовых актов, было бы незаконным, неуместным и невозможным.

Николай Конопкин

Техноблог | Форумы | ТВ | Архив
Toolbar | КПК-версия | Подписка на новости  | RSS