27 марта Гостехкомиссия РФ при участии Microsoft обнародовала результаты разработки и применения на практике нормативных документов, основанных на международном стандарте информационной безопасности Common Criteria (ISO 15408), а также план и информацию о состоянии работ по сертификации ПО Microsoft. В соответствии с этими планами новые правила сертификации программного обеспечения будут введены в нашей стране с 1 января 2004 г.

Руководитель отдела московского офиса

Microsoft Алексей Чубарь: “Microsoft активно

сотрудничает с организациями, отвечающими

за выработку стандартов”

Новый ГОСТ Р/МЭК 15408-2002, отвечающий Common Criteria и описывающий параметры и функции безопасной ИС, в отличие от действующего предполагает сертификацию безопасности использования самих программ, а не среды, в которой они работают. По действующему ГОСТу функционирование программ не считается безопасным, пока не проверены компьютеры, на которых они установлены, линии связи, производственные помещения и т. д. Однако самое главное отличие новых нормативов заключается в их совместимости с международным стандартом, из чего вытекает предположение о том, что российские сертификаты начнут признаваться и за рубежом. Некоторые эксперты полагают, что это благотворно скажется на российском софтверном рынке: западные компании будут сертифицировать свои продукты в России, а затем использовать сертификаты в других странах. Пока услуги наших специалистов стоят дешевле, чем западных, мы, помогая крупным корпорациям экономить деньги, будем развивать собственный рынок.

Однако более сдержанный взгляд на перспективу применения нового ГОСТа представляется и более обоснованным, ведь если говорить о национальной безопасности, то ни о каком автоматическом признании международных сертификатов не может быть и речи. Поэтому сертификат международного класса едва ли сильно улучшит продажи нашего ПО на Западе и западного у нас.

Для проведения сертификации с учетом новых российских требований по защите от несанкционированного доступа к информации свои операционные системы уже передала корпорация Microsoft. На соответствие не только текущим, но и новым ГОСТам в области обеспечения безопасности ИС будет сертифицироваться Windows Server 2003.

Советник председателя Гостехкомиссии Арнольд Каландин позитивно оценивает тот факт, что опробование новых ГОСТов, построенных на базе международных стандартов, проходит на серьезном коммерческом продукте Windows Server 2003. “Ранее сертификацию по Common Criteria на международном уровне прошла система Windows 2000, - сообщил г-н Каландин, - а мы делаем еще один шаг и проводим сертификацию следующего поколения серверных операционных систем Windows Server 2003, официальный выпуск которых состоится только через месяц”.

Доступ к исходным кодам Windows Server 2003 с целью сертификации продуктов Гостехкомиссией по ныне действующим правилам обеспечивается в рамках программы Microsoft Government Security Program - о ней PC Week/RE уже информировал своих читателей (см. PC Week/RE, N2/2003, с.1).

Версия для печати