Комментарий к особенностям российской стемы сертификации сетевого обеспечения
Cтатья о сертификации Гостехкомиссией России программно-аппаратного комплекса “Аккорд-Сеть”, работающего в среде InternetWare фирмы Novell (см. PC Week/RE, № 35/97, c.15), вызвала целую серию откликов читателей. Высказал свои замечания и Леонид Осовецкий, директор НТЦ “Критические информационные технологии” из С.-Петербурга, руководитель одного из органов по сертификации, аккредитованных Гостехкомиссией России. Видимо, нужно еще раз пояснить, что именно получило сертификат соответствия российским требованиям информационной безопасности: только комплекс “Аккорд-Сеть” или ОС InternetWare тоже (как это поняли некоторые читатели).
Сертификация аппаратуры и ПО на соответствие отечественным нормативам информационной безопасности сейчас переживает период становления, равно как и соответствующая законодательная база. Поскольку сегодня на нашем рынке действует множество зарубежных поставщиков, важно четко представлять себе особенности сертификации этих продуктов. Яркий пример - сертификация средств информационной безопасности, созданных нашими разработчиками, но функционирующими под управлением таких ОС, как, например, Windows NT или NetWare/IntranetWare. Сертификат, выданный на такой продукт, удостоверяет соответствие отечественным нормативам только лишь средств защиты российской разработки. Что же касается используемой ОС, то она должна проходить отдельную сертификацию.
Сергей Вихорев, заместитель начальника отдела Гостехкомиссии РФ, пояснил, что в соответствии с пунктом
19 “Закона об информации”, действующего в нашей стране, все программные средства, используемые в государственных органах, должны пройти обязательную сертификацию на предмет отсутствия в них так называемых “недекларированных элементов”. По его словам, сейчас лишь одна ОС - Unix-подобная система МСВС, разработанная ВНИИНС (Москва), - прошла такую сертификацию.
Дело в том, что для проведения соответствующего исследования органы сертификации должны иметь в своем распоряжении исходный код ПО. Понятно, что зарубежные компании, владеющие каким-либо популярным коммерческим продуктом, не спешат предоставлять исходные коды российским специалистам. Фирма Novell, например, по словам Константина Стоволосова, главы российского представительства Novell, “работая в России, всегда ориентировалась на партнеров”. Поэтому в списках сертифицированных Гостехкомиссией России продуктов значится немало комплексов информационной безопасности, созданных для сред операционных систем этой фирмы (“Аккорд-Сеть”, Secret Net, Dallas Lock и др.). Интересно, что сертификаты с номерами 1 и 2 получили в 1993 г. комплексы “Снег” и “Снег-ЛВС”, предназначенные для среды NetWare. Г-н Стоволосов сообщил, что на уровне высшего руководства фирмы обсуждается вопрос проведения в российских органах сертификации всех основных ее продуктов, который, по-видимому, вскоре будет решен положительно.
Другие поставщики ПО уже приняли такое решение: скажем, крупнейшие производители СУБД - Oracle и Informix - предоставили свои продукты для сертификации в Гостехкомиссии. Кстати, вместе с ОС МСВС сертификацию успешно прошли российские СУБД “Линтер” (фирма “Релэкс” из Воронежа) и “Линтер-ВС” (ВНИИНС), работающие как в этой среде, так и под Windows NT. Фирма Ericsson уже получила сертификат (пока на партию из 30 изделий МД 110) на свое ПО для телефонных станций. По словам г-на Вихорева, ведутся переговоры с фирмой Sun.
В рамках крупномасштабного “Атомного проекта”, выполняемого в рамках деятельности комиссии Гора - Черномырдина и ориентированного на решение проблем контроля за ядерными материалами, начата работа по сертификации ОС Windows NT версии 4.0. Г-н Вихорев считает, что этот процесс, который будет включать также решение вопросов реализации продукта в России, продлится до конца 1998 г.
Продолжается совершенствование руководящих документов (РД), необходимых для проведения сертификации. Так, например, помимо средств сетевой защиты, о которых говорилось выше, определена классификация межсетевых экранов, которые действуют на стыке локальных и глобальных сетей. Окончательная редакция РД на средства этого класса была принята в конце июля 1997 г., хотя сертификация таких средств (в частности, комплексов “Пандора” фирмы “Релком-Альфа”, SKIP фирмы “Элвис+”) проводилась и раньше в соответствии с процедурой сертификации на соответствие ТУ (техническим условиям). А вот сертификация межсетевого экрана “Застава” (“Элвис+”) уже проводится по официально принятым РД. 4
Елена Покатаева
Российские требования к сертификации представляют собой пять руководящих документов, описывающих пятиуровневую систему безопасности. Аналогии с американским стандартом можно провести лишь условно. “По ряду требований у нас более жесткие стандарты, - пояснил г-н Вихорев. - Различия в их конкретном содержании связаны с различными факторами. Например, по-разному описывается применение принципа мандатного доступа. Это связано, в частности, с тем, что у американцев вообще редко применяются многоуровневые информационные системы со сложной структурой доступа, для нас же это очень характерно”.
Сертификация по высшим классам безопасности предполагает применение средств криптозащиты информации. “Требования США ориентируются на национальный стандарт DES, у нас же приняты другие механизмы шифрования”, - сказал г-н Вихорев.