В мире существует множество систем сертификации программных продуктов, как международных, так и национальных. Они нужны любому государству, стремящемуся обеспечить контроль над информацией определенной категории, в первую очередь связанной с обеспечением национальной безопасности. Производители ПО обязаны учитывать требования, налагаемые международными и национальными законами на информационные системы, предназначенные для работы с такой информацией. О задачах и особенностях организации российских систем сертификации ПО для госсектора научный редактор PC Week/RE Валерий Васильев беседует с Владимиром Мамыкиным, директором по информационной безопасности Microsoft Россия и Павлом Ершовым, директором департамента по работе с государственными и общественными организациями Microsoft Россия.
PC Week: Каковы основные отличия системы сертификации ПО для госсектора, принятой в России, от систем других стран?
Владимир Мамыкин: Российская система сертификации коренным образом отличается от систем, принятых в других странах, причем в лучшую сторону. Каждая претендующая на сертификат копия ПО проверяется на соответствие той, которая непосредственно подвергалась испытаниям при сертификации, т. е. на бинарном уровне все сертифицированные копии полностью идентичны. Службы, отвечающие за целостность этих продуктов, могут в любое время проконтролировать у пользователя наличие всех необходимых сертифицированных патчей и обновлений, а также проверить продукты на отсутствие несертифицированных изменений.
А вот по условиям международной системы сертификации Common Сriteria сертифицированным считается любой лицензионный экземпляр ПО, прошедшего сертификацию, — идентичность каждого продаваемого экземпляра тому, который непосредственно проходил сертификацию, не проверяется. Но ведь регулярно выпускаются патчи и новые версии программ, и варианты ПО, поставляемого на рынок сегодня, просто могут отличаться от протестированного в свое время экземпляра, поданного для получения сертификата.
PC Week: Какова структура российской системы сертификации ПО?
В. М.: У нас в стране существует несколько систем сертификации — системы ФСБ, ФСТЭК, Минобороны и некоторые другие, ориентированные на определенные предметные области и условия использования ПО. Microsoft работает с теми из них, которые для рынка ПО являются основными, массовыми. Это системы сертификации ФСБ и ФСТЭК.
Сертификация ФСБ ориентирована на проверку криптографических алгоритмов. Кстати, по закону сертифицированные в России алгоритмы могут быть только российскими, поэтому модули криптографической защиты для продуктов Microsoft для тех организаций, где необходимо использование только сертифицированных криптографических алгоритмов, разрабатываются российскими партнерами Microsoft — компаниями “КриптоПро”, “СигналКом” и др. В ФСБ также есть система сертификации, направленная на оценку безопасности ИС в целом, а не только криптографических алгоритмов. Требования систем сертификации ФСБ не являются публичными, ознакомление с ними предполагает наличие специальных допусков.
Что касается системы сертификации ФСТЭК, то она исследует весь функционал ПО за исключением его криптографической части. Требования системы сертификации ФСТЭК являются открытыми и опубликованы на их официальном сайте.
PC Week: Известно, что ФСТЭК и ФСБ передоверяют процедуры тестирования ПО другим структурам? Корректно ли это?
В. М.: По своему статусу ФСТЭК является организатором системы сертификации, у нее есть довольно длинный список лицензиатов, имеющих право выполнять функции испытательных лабораторий и экспертных организаций (одни из них уполномочены проводить сертификационные работы, другие — проверять качество этих работ). В результате сформирована конкурентная среда, в которой заказчик хотя и имеет возможность выбора испытательной лаборатории (если с его выбором согласится ФСТЭК), но результаты работы которой будет проверять назначенная ФСТЭК экспертная организация. С одной стороны, испытательные лаборатории борются за заказчиков, стремясь предложить им минимальные цены и сроки проверок, а с другой — подвергаясь контролю независимых экспертов, они обязаны поддерживать надлежащее качество проверок. Проконтролировав результаты работы испытательной лаборатории и экспертной организации, ФСТЭК выдает сертификат.
Аналогичная структура создана и в системе сертификации ФСБ.
В системе сертификации ФСТЭК помимо названных выше институтов испытательных лабораторий и экспертных организаций, есть еще институт заявителей. Эти компании непосредственно работают с испытательными лабораториями и экспертными организациями, именно они проводят сравнение продаваемых копий продуктов на соответствие их образцу, прошедшему сертификацию. Они же издают документы установленного образца для каждой копии прошедших такое сравнение продуктов, ведут учет таких продуктов. Заявители несут затраты на проверку продукта, на выписку соответствующих документов, на постоянный учет сертифицированных продуктов (где и в каком состоянии эти продукты находятся), в ряде случаев, по договоренности с владельцами продукта, они также за свой счет проводят сертификацию всех патчей. Во всяком случае, так работают заявители Microsoft: сама компания оплачивает сертификацию только исходного продукта (например, ОС Windows Vista), а сертификацию всех последующих патчей к нему оплачивают заявители. Кстати, в соответствии с российским законодательством Microsoft не может быть заявителем на сертификацию своих продуктов. Это связано с тем, что Microsoft не продает своих продуктов, а по требованиям закона именно заявитель должен продавать сертифицированный продукт пользователям.
PC Week: Сколько заявителей у вашей компании?
В. М.: Для выбора заявителей Microsoft недавно начала проводить тендеры. Возможно, они не так строго регламентированы, как у государственных организаций. Мы их стали проводить для того, чтобы процедура выбора была более конкурентной. Последние основные тендеры выиграли ФГУП “Предприятие по поставкам продукции при Управлении делами Президента РФ” (ППП) и ООО “Сертифицированные информационные системы” (СИС). Они выступают совместным заявителем на наши новые продукты. Это хороший тандем коммерческой и государственной структур, которому сложно найти альтернативу. Другие заявители не смогли составить им конкуренции. Роли в этом тандеме четко разделены: ППП в основном тиражирует сертифицированные версии, ведет их учет и контролирует их использование, а СИС занимается поставками сертифицированного ПО.
Наши последние тендеры на работы по тестированию выиграли две лаборатории (не буду называть их). Мы выбирали их тоже на максимально конкурентной основе (некоторые лаборатории, участвовавшие в тендере, не получили ни одного заказа). Понимая, что далеко не все лицензиаты ФСТЭК в состоянии проверять такие наши продукты, как, например, Windows Server 2008, перед рассылкой заявок мы консультировались с этой организацией.
PC Week: Не подменяют ли заказчики процесс обеспечения защиты информации формальным использованием сертифицированных продуктов?
В. М.: Категорически нет. Все специалисты-безопасники наших заказчиков отдают себе отчет в том, что наличие сертифицированной версии ПО не означает его оптимальную для пользователя (с позиций безопасности) настройку. Недостаточно, например, просто установить сертифицированную версию Windows Vista — к ней издается специальный, согласованный с Microsoft список шаблонов настроек, которые испытательные лаборатории готовят в процессе сертификации, чтобы гарантировать адекватную требованиям заказчика работу средств защиты, встроенных в эту ОС.
Важно также, что использование сертифицированного ПО позволяет экономить значительные средства заказчиков. Сертификация упрощает и удешевляет процедуру аттестации рабочих мест на их соответствие требованиям защиты информации определенной категории. Аттестацию проводят организации, лицензированные для этого ФСТЭК. Например, заказчик хочет использовать Windows Vista на месте работы с конфиденциальной информацией. По закону он должен использовать сертифицированные средства защиты. Если он установит несертифицированную версия Vista, то ему придется применять дополнительные сертифицированные средства защиты, работающие именно с этим ПО. Например, сертифицированные платы доверенной загрузки ОС стоимостью 250—400 долл. на рабочее место. Сама сертифицированная версия стоит примерно на 15—20% дороже несертифицированной. Заказчик также может приобрести программу автоматической настройки по требуемым шаблонам. Это важно, если у заказчика нет своих специалистов нужной квалификации. Налицо экономия около 200 долл. на каждом рабочем месте.
PC Week: Насколько сертификация замедляет поставку ПО потребителям, прежде всего новых патчей?
Павел Ершов: Действительно сертификация занимает немало времени. Например, для Windows Vista эта процедура заняла около восьми месяцев, а у наших “тяжелых” серверов — и того больше. Но информационные системы, в которых требуется использование сертифицированного ПО, как правило, консервативны к обновлениям — реальные сценарии их эксплуатации не подразумевают переходов на новые версии сразу по факту их выхода, и потому процесс сертификации успевает завершиться к этапу обновлений версий ПО в таких ИС.
Стандартный срок сертификации наших патчей — от трех дней до недели. И опять сошлюсь на практику: реально за это время далеко не все пользователи несертифицированных версий устанавливают у себя новые патчи (кстати, такая неоперативность является известной причиной уязвимостей в их системах). Поэтому с учетом жизненных реалий выпуск сертифицированных патчей тоже оказывается приемлемо оперативен.
В. М.: Те, кому нужно поскорее запустить в эксплуатацию новые версии ПО, покупают несертифицированные экземпляры и сразу заказывают сертификационную услугу. Это дает возможность работать с продуктом в течение процесса сертификации. Для проверяющих органов в этой ситуации аргументом законности использования ПО может являться запущенная процедура проверки.
PC Week: Можно ли в разумные сроки убедиться в надлежащем качестве ПО, например в отсутствии недекларированных возможностей, если многие из них состоят из сотен тысяч строк кода?
В. М.: Нужно иметь в виду, что существуют различные уровни сертификации. Наиболее сложные из них, аналогичные четвертому уровню Common Criteria, реально требуют от лабораторий трех — четырех лет напряженной работы. Но на такие уровни в России Microsoft свое ПО не сертифицирует. Как я уже сказал, сертификация в России ориентирована на массовый рынок. Согласно большинству регламентирующих документов государственных структур и крупных коммерческих компаний, основным в нашей стране является уровень информационных систем класса защищенности 1Г. Это серьезный класс защищенности, но проверка продукта на соответствие ему, как правило, укладывается в 1 год.
PC Week: Какое ПО проще сертифицировать — проприетарное или распространяемое свободно?
П. Е.: Это миф, что доступность кодов ПО упрощает его сертификацию. Что же касается Microsoft, то компания действует максимально открыто (для коммерческой структуры) по отношению к заказчикам и партнерам, дает им возможность убедиться в том, что ее ПО безопасно и может быть использовано в информационных системах в том числе и госструктур.
PC Week: Как влияют на сертификацию такие концепции Microsoft, как Trustworthy Computing, Security Development Lifecycle (SDL)?
П. Е.: Естественно, чем безопаснее, надежнее передаваемый на сертификацию код, тем легче его проверять. Принятое в начале века соглашение Government Security Program, в рамках которого проводится сертификация ПО Microsoft в России для заказчиков из госсектора, является логическим следствием концепции Trustworthy Computing, позволяющим пользователям из этого сегмента убедиться в безопасности наших продуктов.
В. М.: Вне сомнения, фундаментальные сдвиги в подходах к разработке кода в виде концепции Trustworthy Computing и SDL резко сказались на безопасности ПО Microsoft — уязвимостей в них стало гораздо меньше. Так, согласно последним данным сайта компании Secunia, наше ПО в своих сегментах лидирует по безопасности, обнаруживая минимальное количество уязвимостей. Вместе с тем это никак не влияет ни на сроки, ни на стоимость сертификации нашего ПО.
PC Week: Готова ли Microsoft к юридическим искам со стороны российских пользователей о компенсации ущерба, связанного с уязвимостями ее ПО?
В. М.: Если говорить о России, то Microsoft точно к этому готова. Дело в том, что уровень правовой грамотности и законодательная база в ряде других стран, таких как Англия, Германия, США, Япония, где мы работаем в течение многих лет, существенно выше, чем в России, и там мы не испытываем никаких проблем с действующей формой лицензионных соглашений. Если же такие иски начнут поступать, мы будем этому рады: чем выше правовое сознание пользователей ПО (без чего появление таких исков просто невозможно), тем комфортнее работать производителям ПО, которые правильно подходят к разработке своей продукции. По крайней мере, производители ПО понимают, что их клиенты ведут себя адекватно правовой обстановке.
Источник: http://www.pcweek.ru/themes/detail.php?ID=117529