ПО Microsoft обеспечит учет и контроль ядерных материалов
Леонид Черняк
Создатели автоматизированной системы учета и контроля ядерных материалов (СУиК) столкнулись с двумя типами ограничений. С одной стороны, СУиК должна удовлетворять требованиям законодательства РФ. С другой - очевидно, что в современных условиях трудно построить полноценную информационную систему без использования программных продуктов западных производителей.
Разрешению этого противоречия способствовала сертификация программных продуктов компании Microsoft Государственной технической комиссией при Президенте РФ на соответствие требованиям по защите от несанкционированного доступа. Выполненная работа не имеет аналогов, поскольку речь идет не о единичном экземпляре, а о серийных тиражируемых продуктах.
Сертификационный процесс начался в сентябре 1996 г. и занял три года, из которых два ушли на юридические согласования. И вот 19 марта были подведены итоги сложной работы. Правительство США было заинтересовано в повышении надежности систем хранения и учета ядерных материалов в России, поэтому оно и финансировало работы по сертификации. Выделяя средства, администрация США не могла при этом отменить требования экспортного контроля. Поэтому отечественные специалисты могли получить только ограниченный доступ к исходным кодам, но при этом они должны были удостовериться в достаточной надежности ПО. Для разрешения этих противоречий была выработана сложнейшая процедура, удовлетворяющая обе стороны.
В работе участвовала английская компания Logica, проводящая сертификационные испытания программных продуктов Microsoft по требованиям ITSEC (Европейские критерии безопасности информационных технологий).
Объектом этих испытаний стали штатные средства защиты информации от несанкционированного доступа ОС Windows NT Server 4.0 (Service Pack 3, English), Windows NT Workstation 4.0 (Service Pack 3, Russian) и СУБД SQL Server 6.5 (Service Pack 4, English). Испытания проводились на соответствие требованиям по защите от несанкционированного доступа к информации в автоматизированных СУиК III класса защищенности. В результате было заявлено об отсутствии в программных продуктах специально внедренных функций, позволяющих обойти механизм аутентификации.
Вся работа разделилась на три этапа.
Первый этап включал в себя получение экспортной лицензии от Министерства торговли США на предоставление технической документации, а также заключение соглашений между ЦНИИатоминформ и корпорацией Microsoft о неразглашении конфиденциальной информации. Специалисты получили документацию, но не коды.
На втором этапе отрабатывались методики тестирования и осуществлялось собственно тестирование на полигоне компании Logica, где российские специалисты могли ознакомиться с отдельными фрагментами исходных текстов.
Заключительный, третий этап испытаний проводился на стенде ЦНИИатоминформ.
Специалисты ЦНИИатоминформ и центра по комплексной защите информации “Атомзащитаинформ” подготовили техническое и экспертное заключения. Эти документы стали основанием для выдачи Гостехкомиссией сертификата № 206 от 3 декабря 1998 г. для Windows NT Server 4.0 и Windows NT Workstation 4.0. и сертификата № 220 от 26 февраля 1999 г. для SQL Server 6.5.
Поставлять заказчику ПО будет холдинг “Анкей”, который обладает всеми необходимыми полномочиями, в том числе соответствующей лицензией Гостехкомиссии РФ.
Телефоны: Microsoft - (095) 967-8585; “Анкей” - (095) 258-3801; ЦНИИатоминформ - (095) 210-7856.
Комментарий редакции: нет слов.
