Статья только в электронной версии журнала
Рекомендации партнерства США по кибербезопасности
Деннис Фишер
Как компьютерной отрасли, так и правительству США необходимо приложить значительные усилия, чтобы снизить уязвимость национальных сетей, связанную с аппаратным и программным обеспечением. Такое утверждение содержится в докладе, подготовленном рабочей группой NCSP (National Cyber Security Partnership - Национальное партнерство по кибербезопасности). В нем излагаются десятки рекомендаций, как производителям изменить процесс изготовления и продажи своих продуктов, а правительству США - порядок проверки на соответствие техническим стандартам.
Это пятый доклад рабочей группы NCSP, созданной в прошлом году из представителей правительства и компьютерной отрасли во исполнение директивы президента США "Национальная стратегия создания безопасного киберпространства" (National Strategy to Secure Cyberspace).
Основной упор в докладе делается на повышении качества и расширении правительственной проверки на соответствие "Общим критериям" ИТ-безопасности, превращении ее в более широко известную сертификацию, нечто вроде штампа "Одобрено".
Кроме того, рабочая группа обратилась к правительству с просьбой о финансировании сертификации, которая может стоить миллионы долларов, в форме налоговых кредитов для исследований и разработок или прямого взноса для покрытия части первоначальных расходов.
"Мы бы предпочли долевое финансирование, - сказала Мэри Энн Дэвидсон, директор по безопасности в Oracle и сопредседатель рабочей группы NCSP по техническим стандартам и общим критериям. - Это будет маркировка, которую покупатели смогут видеть и знать, что производитель выпустил защищенный продукт. Правительство будет учитывать такую маркировку в процессе закупок".
Надзор за программой сертификации на соответствие "Общим критериям" осуществляют Национальный институт стандартов и технологии (National Institute of Standards and Technology, NIST) и Национальное агентство безопасности (National Security Agency, NSA) под эгидой Национального информационного партнерства (National Information Assurance Partnership, NIAP). Существует несколько уровней сертификации, которую могут пройти большинство аппаратных и программных средств, а не только относящиеся к сфере обеспечения безопасности.
Рабочая группа рекомендует, в частности, чтобы NIAP предложило профили защиты для большого числа продуктов, дабы производители точно знали, как изготавливать продукцию, соответствующую стандартам NIAP. Пока имеется лишь несколько профилей защиты, многие из которых засекречены. В докладе содержится также адресованное правительству пожелание требовать от каждого проекта анализа уязвимостей даже на самом низком уровне сертификации, чтобы предотвратить появление новых ошибок в дальнейшем.
С той же целью рабочая группа просит правительство профинансировать исследования по созданию более совершенных инструментов сканирования программного кода, что поможет находить ошибки в коде до выпуска товаров на рынок.
Любые серьезные изменения в "Общих критериях" могут иметь далеко идущие последствия для производственного процесса, поскольку некоторые федеральные агентства начали применять их при проведении закупок, отдавая преимущество сертифицированным изделиям. Кроме того, если сертификация будет пользоваться большим доверием и пониманием у корпоративных клиентов, она может стать для компаний преимуществом в конкурентной борьбе.
"Это может превратиться в фактический аналог маркировки Underwriters Laboratories*. Идея состоит в том, чтобы гарантию давал каждый производитель, - подчеркнул Крис Клаус, директор по технологии в Internet Security Systems в Атланте и сопредседатель рабочей группы. - Люди всегда могут потребовать большего, но надо с чего-то начинать. Производители хотят, чтобы это получило широкое распространение".
"Я думаю, давно настала необходимость в отраслевом стандарте безопасности, - заявил Патрик Фленниган, администратор ИТ из CFS Mortgage в Фениксе. - Я бы сравнил это с маркировкой Underwriters Laboratories на электрических приборах. Я бы не купил изделие без такой маркировки. Правительство и фирмы-изготовители должны популяризировать такой подход среди пользователей ИТ и широких слоев покупателей. Его распространение послужит стимулом для производителей к тому, чтобы привести продукцию в соответствие с возможно более высоким стандартом, повышая средний уровень безопасности в компьютерной отрасли".
Рабочая группа выразила также пожелание, чтобы NIAP сделало процесс сертификации более простым и доступным, дабы этим могли воспользоваться мелкие предприятия с ограниченными ресурсами. Одна из главных проблем с тестированием - сравнительно небольшое количество лабораторий, сертифицированных на проведение проверки соответствия "Общим критериям".
"Это занимает слишком много времени и стоит слишком дорого, но у NIST нет средств для увеличения числа лабораторий, - отметил Дэвидсон из Oracle. - На это нужно направить больше денег".* Underwriters Laboratories Inc. - частная некоммерческая организация, проверяющая и сертифицирующая продаваемую в США продукцию на соответствие собственным стандартам электрической безопасности. Прошедшее проверку оборудование специальным образом маркируется. Страховые компании и местные органы, регулирующие использование электроэнергии, обычно требуют, чтобы устанавливаемое оборудование имело такую маркировку. - Прим. перев.