Елена Покатаева
8 - 9 июля в Москве прошел семинар “Обсуждение стратегии и тактики обеспечения информационной безопасности в корпоративных сетях на базе продукции компании Novell”, организованный научно-техническим центром Ассоциации российских банков (АРБ) и московским офисом Novell (www.novell.ru).
Борис Скородумов, научный руководитель проекта НТЦ АРБ, отметил, что подходы к обеспечению информационной безопасности в автоматизированных банковских системах (АБС) коренным образом отличаются от принятой в государственных учреждениях практики защиты информации, составляющей государственную тайну. Финансовые потери, связанные с нарушениями безопасности АБС, имеют прямое отношение к банковским операционным рискам, т. е. различным вариантам нарушения основных свойств информации при ее обработке техническими средствами. Таким образом, при создании любой АБС необходимо проанализировать с экономической точки зрения, какие последствия могут иметь нарушения данных при использовании различных средств защиты.
Эндрю Сэдлер-Смит: “Впервые в мире именно в России
Novell проводит сертификацию своих продуктов на отсутствие
недекларированных возможностей”
Фирма Novell традиционно поставляет средства обеспечения высокой работоспособности автоматизированной системы (на базе своих технологий NetWare 3.11 SFT III, NetWare 4.11 SFT III, а также кластерной технологии Orion, которая будет работать под управлением новой версии NetWare 5.0) и защиты от несанкционированного доступа (НСД).
На базе продуктов Novell российскими разработчиками создано немало программно-аппаратных комплексов защиты информации, например семейства средств защиты “АккордСеть” (компания “Инфокрипт”, Москва) Secret Net (фирмы “Информзащиты”, Москва), комплексная система защиты информации для ПК, объединенных в ЛВС (НПО “Марс”, Ульяновск), средства усиленной аутентификации пользователей (ОКБ САПР, Москва), антивирусное ПО (“Лаборатория Касперского”, Москва).
Уже около двух лет продукты Novell используются в разработках МО ПНИЭИ, ведущей организации России, имеющей сертификат ФАПСИ на создание средств криптографической защиты информации. По словам Игоря Дмитриева, заместителя генерального директора этого института, разработан механизм применения электронной цифровой подписи в системе групповой работы Novell GroupWise на основе средств, сертифицированных ФАПСИ. Ведутся работы и по использованию Службы NDS в качестве места хранения открытых ключей шифрования. Такой подход означает не надстраивание средств криптозащиты над ОС, а встраивание их внутрь, то есть фактически замену американской инфраструктуры криптографии российскими средствами.
В работе семинара принял участие Эндрю Сэдлер-Смит, новый вице-президент Novell по региону Северной Европы, ранее занимавший пост исполнительного директора компании в Великобритании. Визит в Москву стал одним из первых его шагов на новом поприще, сразу погрузив его в проблемы информационной безопасности и особенности российской сертификации. Дело в том, что одним из поводов проведения семинара именно в эти дни стало завершение очередного этапа сертификации ПО фирмы Novell в соответствующих российских организациях.
Начальник отдела Гостехкомиссии РФ Александр Ефимов сообщил, что в январе начата программа сертификационных испытаний единичного экземпляра ОС IntranetWare с целью последующей аттестации производства этого ПО на одном из российских предприятий. Проведение испытаний поручено лаборатории “Бинтех” (центральный офис компании расположен в Воронеже, филиал - в Москве).
Как рассказал Владимир Сенькин, директор московского филиала “Бинтех”, эти работы, очевидно, продлятся до конца года. Фактически это первые крупномасштабные испытания большой системы зарубежного производителя на отсутствие недекларированных возможностей (нечто подобное было лишь с сертификацией СУБД Oracle, однако в том случае испытывалась не сама СУБД как таковая, а комплекс защиты SVINKA).
Владимир Сенькин из “Бинтех”: “Продуктам Novell присуща внутренняя
согласованность и логичность, поэтому мы с удовольствием занялись
сертификационными испытаниями ОС IntranetWare”
ОС IntranetWare проходит тестирование на соответствие техническим условиям, так как пока не создано типовой методики испытаний продуктов такого класса и не издан соответствующий руководящий документ (РД). Всего же Гостехкомиссия РФ уже разработала девять РД, шесть из них - для защиты от НСД, для межсетевых экранов, для защитных знаков и контрольно-кассовых аппаратов. Близка к завершению работа над РД по антивирусным продуктам: проект документа, принятый на совещании специалистов испытательных лабораторий в июне, передан на утверждение в Гостехкомиссию. Очевидно, для сложных систем, в частности сетевых ОС, будет постепенно разработан еще один РД, регламентирующий методику сертификации на отсутствие недекларированных возможностей.
Поскольку данные испытания больше всего напоминают научно-исследовательскую работу, специалисты “Бинтех” применяют пошаговую методику: начав с минимального набора программных модулей, постепенно увеличивают их количество и параллельно модифицируют саму методику испытаний. В качестве минимального набора модулей по соглашению со штаб-квартирой Novell в “Бинтех” должны быть предоставлены исходные коды ядра ОС, а также NLM-модули, относящиеся к Службе глобального каталога NDS и протоколам IP/IPX. Помимо кодов программных модулей предоставляются блок-схемы алгоритмов, документация, инструментальные средства для получения загрузочного кода и запуска ПО и т. д.
Проблема испытаний заключается еще и в оптимальных сроках. В категорию недекларированных возможностей попадают два типа событий: преднамеренные “закладки” и непреднамеренные ошибки в коде. С одной стороны, известно, что преднамеренные “закладки” с большой вероятностью отлавливаются на этапе анализа исходного кода, а непреднамеренные выявляются уже в ходе эксплуатации. С другой стороны, время коммерческой жизни продуктов сегодня так невелико, что слишком тщательные испытания могут привести к тому, что будет сертифицирован морально устаревший продукт.
Телефон московского офиса Novell: (095) 941-8073.