Однако предпринимаемые меры защиты время от времени дают сбои. Когда корпоративную информационную систему губят просчеты в системе безопасности или пресловутый человеческий фактор, в этом нет ничего удивительного. Более неприятна другая ситуация, когда система защиты "рушится" из-за дырок и ошибок в операционной системе.
Конечно, современные операционные системы достаточно надежны. Тем не менее в любой из них достаточно много "дырок", вызванных самыми разными причинами, начиная от специально заложенных в систему потайных лазеек ("закладок") и заканчивая ошибками программистов и проектировщиков ОС. Возникают вопросы: насколько серьезно расценивают проблему безопасности операционных систем корпоративные пользователи? насколько высоки предъявляемые ими требования к операционным системам? Как показал проведенный нами опрос, мнения представителей компаний-разработчиков и заказчиков значительно различаются.
Безопасность ОС - это очень важно
Менеджер по продуктам российского представительства компании Novell Николай Исаков считает, что проблема безопасности операционных систем очень важна для корпоративных заказчиков.
В частности, нельзя недооценивать значение встроенных в ОС средств защиты от несанкционированного доступа. Гарантией их надежности может служить сертификат, выдаваемый Государственной технической комиссией при Президенте РФ. Этот же сертификат в значительной степени гарантирует и отсутствие в системе недекларированных возможностей, прежде всего потайных лазеек.
Проверка систем осуществляется по специальным методикам, разработанным отечественными учеными. По словам Исакова, российские специалисты в области тестирования программ оставили своих зарубежных коллег далеко позади. Их методология позволяет очень тщательно исследовать программные системы (и ОС в том числе), не требуя для анализа наличия исходных текстов и рассматривая ПО как "черный ящик". Так что результатам исследований наших специалистов-тестировщиков вполне можно доверять. Хотя, конечно, следует иметь в виду, что сертификат Гостехкомиссии получают, как правило, единичные экземпляры продукта. Что конкретно попадет в распоряжение пользователя, сказать трудно, поэтому наличие у продукта государственного сертификата следует считать скорее маркетинговым шагом, дающим пользователю шанс, что в его руках окажется версия, аналогичная той, что прошла сертификацию.
Важный аспект безопасности операционных систем - наличие в ОС средств криптографической защиты. Как правило, средства шифрования поставляются в виде отдельных программных продуктов. Однако если в ОС предусмотрена возможность встраивания криптомодулей (в частности, в NetWare она имеется), то можно ею воспользоваться и создать специальную версию операционной системы, снабженную средствами шифрования. С технической точки зрения никаких особых проблем в этом случае нет, однако возникают проблемы юридического плана. Как известно, вся деятельность, касающаяся шифрования, контролируется Федеральным агентством правительственной связи и информации (ФАПСИ). Следовательно, чтобы начать продажи ОС со встроенными средствами шифрования, необходимо получить сертификат ФАПСИ. Компании Novell, решившей создать, помимо обычной, еще и защищенную версию, также придется пройти этот путь и сертифицировать свою ОС в соответствии с российской нормативно-правовой базой.
Еще одна грань проблемы - неприятности, связанные с переходом к следующему тысячелетию. И главная беда здесь не столько в том, что 1 января 2000 года операционные системы перестанут загружаться. Нет, скорее всего, этого не произойдет, так как разработчики ОС наверняка позаботятся о том, чтобы системы работали правильно. Главная опасность в том, что сетевое ПО начнет работать не совсем обычно. Может оказаться так, что на каких-то узлах сети перестанут обновляться таблицы, используемые при маршрутизации трафика (например, таблицы DNS в Internet). Немало проблем может возникнуть и с системами электронной почты. Самое печальное во всей этой ситуации состоит в том, что администратор сети может не сразу выявить наличие подобных неполадок, обнаружив их слишком поздно, когда последствия станут необратимыми.
Безопасность - это не самое главное свойство ОС
Несколько иной точки зрения придерживаются специалисты, ответственные за обеспечение информационной безопасности компаний - пользователей ОС. В частности, сотрудники банков в один голос заявили о том, что наличие у операционных систем сертификатов Гостехкомиссии не имеет решающего значения при выборе ОС. По мнению Андрея Кудряшова, начальника отдела компьютерной безопасности Русского славянского банка, сертификат Гостехкомиссии дает определенное успокоение, но не более того. Тем не менее к сертификату ФАПСИ Кудряшов относится с большим уважением. Что касается потайных лазеек и "закладок", то Кудряшов считает, что широкораспространенные ОС вряд ли содержат специально встроенные потайные лазейки, так как в случае их обнаружения последствия скандала могут стать просто катастрофическими для компании-производителя - вряд ли кто-либо решится на столь рискованный шаг.
Для Евгения Соколова, ведущего сотрудника отдела защиты информации Национального резервного банка, вопросы наличия в ОС развитых средств защиты от несанкционированного доступа находятся на одном из последних мест, поскольку практически все, что необходимо для обеспечения информационной безопасности, достигается с помощью дополнительных программных продуктов, а перегружать различными встроенными средствами ОС, по мнению Соколова, не следует. Гораздо важнее для специалистов банка возможности управления сетевой ОС.
Владимир Папков, ведущий специалист банка "КредитИмпекс", не придает значения государственным сертификатам, выданным на операционные системы. Однако проблема защиты от несанкционированного доступа тревожит Папкова достаточно сильно. Она решается путем применения дополнительных продуктов в сочетании с развертыванием ряда организационных мер. В возможном наличии в ОС потайных лазеек Папков весьма сомневается.
Александр Ничипоренко, начальник отдела маркетинга компании R-Style Software Lab., которая в числе прочего занимается разработкой ПО для банков, сославшись на свой опыт общения с банками, сообщил, что эти структуры ориентируются в первую очередь на стандарты де-факто, а не на сертификаты. Кроме того, банковские системы, как правило, рассчитаны на то, чтобы предоставлять пользователям доступ не к данным, а к бизнес-процедурам. В этом случае все операции пользователя с данными ограничены его собственными правами по работе с теми или иными функциями банковских систем. Безусловно, ОС является частью системы информационной безопасности в целом, тем не менее все, чего не обеспечивает ОС, достигается дополнительными мерами, начиная от распределения прав доступа внутри прикладных банковских систем и заканчивая использованием средств шифрования.