Сертификат соответствия новому ГОСТу, вступающему в силу с нового года, уже получила компания «Инфосистемы Джет»
За месяц до официального вступления в действие стандарта ГОСТ/ИСО МЭК 15408-2002 «Общие критерии оценки безопасности информационных технологий» Гостехкомиссия РФ объявила о начале его практического применения. Первым сертификатом соответствия требованиям нового российского стандарта был отмечен межсетевой экран компании «Инфосистемы Джет», которая является одним из авторов «Общих критериев».
ИЛЬЯ ТРИФАЛЕНКОВ: «Унаследованная от Советского Союза нормативно-правовая база в области ИТ-безопасности недостаточно четко регламентирует процедурные вопросы сертификации средств защиты данных» |
В целом эксперты положительно оценивают грядущее обновление правового поля. По мнению директора Центра информационной безопасности «Инфосистемы Джет» Ильи Трифаленкова, унаследованная от Советского Союза нормативно-правовая база в области ИТ-безопасности недостаточно четко регламентирует процедурные вопросы сертификации средств защиты данных. Чтобы заполнить пробелы в отечественном законодательстве, с 1 января 2004 года планируется начать поэтапное введение в действие стандарта ГОСТ/ИСО МЭК 15408-2002, представляющего собой адаптированный к российским условиям международный стандарт ISO 15408 (Common Criteria).
Менеджер по маркетингу продукции Check Point корпорации ЮНИ Наталья Базаренко считает, что требования устаревших российских ГОСТов к определенным компонентам системы защиты являются своеобразным «бутылочным горлышком» для продуктов западных производителей. Внутреннее законодательство выступает, таким образом, в роли искусственного ограничителя рынка. Введение нового стандарта, безусловно, позволит расширить рынок решений в области ИБ и повысить экономическую эффективность внедрения защитных систем. Благодаря корреляции российской версии ГОСТ с положениями международного стандарта в ЮНИ усматривают хорошие перспективы для продвижения на отечественном рынке решений, уже получивших сертификат соответствия международным требованиям ISO 15408. В свою очередь, отечественным производителям средств защиты информации будет открыт доступ на мировые рынки.
ГОСТ/ИСО МЭК 15408-2002 состоит из трех основных разделов. В первом постулированы ключевые идеологические и методологические аспекты его применения. Второй содержит общие требования к системам защиты информации и набор параметров, которыми может быть описан каждый тип таких средств. Из этих параметров формируются специальные документы — профили защиты. Они содержат детализированные наборы функциональных требований к средствам защиты различных классов и к процедуре их испытаний.
Третий раздел описывает применение так называемых ОУД — оценочных уровней доверия (в международной версии — Evaluation Assurance Level, EAL). Стандартом предусмотрено семь классов ОУД, самым высоким из которых является седьмой. Все страны — участницы «клуба ISO 15408» гарантируют признание сертификатов на продукты, имеющие уровень доверия с первого по четвертый. Наивысшие ОУД (с пятого по седьмой) ориентированы на внутреннее применение с учетом особенностей местного законодательства. Для поставки таких средств защиты на рынок другой страны необходима их повторная проверка национальными органами сертификации.
Как сообщил начальник управления Гостехкомиссии России Юрий Лаврухин, формирование отечественной версии стандарта проходило в два этапа. Сначала были разработаны профили на основные средства защиты. Уже готовы к применению 15 таких профилей: по два — на межсетевые экраны, по одному — на системы VLAN, VPN, СУБД, биллинговые системы и т. д. Они разрабатывались при участии ряда российских фирм, специализирующихся в области ИТ-безопасности. Например, к разработке профилей по межсетевым экранам корпоративного и провайдерского уровня была привлечена компания «Инфосистемы Джет», а в создании профиля средств защиты от несанкционированного доступа принимало участие НИП «Информзащита».
Вторым этапом в становлении стандарта ГОСТ/ИСО МЭК 15408-2002 стали испытания межсетевого экрана Z-2 производства «Инфосистемы Джет» на соответствие профилю. Экспериментальная проверка проводилась в компании «Центр информационной безопасности» (ЦБИ), созданной в 1995 году на базе структурного подразделения одного из институтов Министерства обороны РФ. В разработке методики испытаний приняли участие и специалисты «Инфосистемы Джет». По словам начальника испытательной лаборатории ЦБИ Игоря Егоркина, в ходе работ требовалось создать универсальные методики оценки и отработать процедуры испытаний по новому стандарту. Начинать пришлось «с нуля», поэтому для Z-2 экзамен продлился несколько месяцев. В сентябре сетевой экран был передан на сертификацию в Гостехкомиссию РФ, где в течение еще двух месяцев оттачивалась процедура оформления сертификата.
На этом следовало бы поставить точку, но… Директор по маркетингу компании «Информзащита» Андрей Степаненко полагает, что реальной отдачи от внедрения стандарта следует ожидать только после разработки профилей на большинство современных средств и систем защиты. Поэтому, несмотря на прогрессивность нового документа, он будет вступать в силу медленно и болезненно.
Беда еще и в том, что Россия не спешит с ратификацией соглашения о вступлении в сообщество государств, признавших действие международного стандарта ISO 15408. А внедрение его отечественной версии «для внутреннего использования» выхолащивает практический смысл сделанной работы. Это означает, что в нашей стране по-прежнему требуется повторное подтверждение надежности сертифицированных за границей средств информационной безопасности. Аналогичная участь уготована российским разработкам, сертифицированным по ГОСТ/ИСО МЭК 15408-2002, в случае их применения иностранными компаниями.
Механизмы реализации российского варианта «Общих требований» подверглись критике со стороны некоторых игроков рынка ИБ. То, что сертификат на Z-2 выдан Гостехкомиссией, а не уполномоченной ею организацией, как то предписывает новый закон «О техническом регулировании», объяснить еще можно. Ведь отдельные положения закона вводятся в действие поэтапно. Однако в ЮНИ обращают внимание на способ получения сертификата «Инфосистемами Джет». «Согласитесь, было бы странным, если бы компания, принимающая участие в разработке профилей по межсетевым экранам, не смогла сертифицировать собственные продукты, — заявила Наталья Базаренко. — Это означает, что ее продукты соответствуют мировым требованиям только с российской точки зрения». Если разработанные профили нового ГОСТа будут «заточены» под определенного производителя, принятие общемирового стандарта для объективной оценки качества средств защиты информации в нашей стране будет полностью дискредитировано.