Путеводитель по документам Гостехкомиссии РФ
В коммерческой компании всю ответственность за безопасность информационной системы несет руководство отдела защиты информации. Во многих организациях разрабатываются собственные внутренние документы, определяющие, что и как необходимо защищать. Выбор мер и средств защиты информации - внутреннее дело каждой компании. Точно так же обстоит дело с проверкой состояния корпоративной сети.
Однако существуют организации, в которых автоматизированные системы (АС) обрабатывают данные, представляющие собой собственность государства. Это может быть информация, составляющая государственную тайну или являющаяся стратегически важной для страны (например, АС управления экологически опасными объектами).
При определении необходимых мер защиты такие организации пользуются руководящими документами Гостехкомиссии России, а проверка уровня защищенности АС проводится специальными аттестационными органами. Называется такая проверка аттестацией автоматизированной системы.
Аттестация АС - это не прихоть чиновников: государство вправе контролировать степень защиты информации, которая является ее собственностью.
Что такое классы АС и группы АС?
При аттестации АС аттестационный орган руководствуется документом Гостехкомиссии России “Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации” (РД для АС). В нем приведены классификация АС и перечень требований по защите информации для каждого класса автоматизированных систем. Требования эти являются минимальными. Классы подразделяются на три группы, отличающиеся особенностями обработки информации в АС (см. табл. 1).
Таблица 1. Иерархия требований к АС
В пределах каждой группы соблюдается иерархия требований по защите в зависимости от ценности (конфиденциальности) информации и, следовательно, иерархия классов защищенности АС.
Деление АС на классы необходимо для того, чтобы меры и способы защиты информации той или иной степени важности были обоснованными.
Хотелось бы предостеречь читателя от намеренного или ненамеренного завышения класса своей автоматизированной системы. Дело в том, что если завысить класс АС, которую необходимо аттестовать, то расходы на защиту информации могут достигнуть уровня, превышающего ценность самой информации.
Зачем нужна сертификация средств защиты информации?
Разработчики часто заявляют об уникальных возможностях своих программных продуктов. Однако для доказательства качества ПО и реализации в нем заявленных функций необходимо заключение независимого эксперта.
Контроль со стороны независимой организации тем более важен, когда речь идет о средствах защиты информации (СЗИ) - ведь с помощью этих программно-аппаратных комплексов будет обеспечиваться защита конфиденциальных данных и государственной тайны. Поэтому в качестве независимого эксперта, исследующего возможности средства защиты информации, выступают лаборатории с соответствующим аттестатом аккредитации Гостехкомиссии России.
Какие средства защиты информации лучше всего использовать?
Средств защиты много хороших и разных - есть межсетевые экраны, средства обнаружения атак, антивирусные программы. Однако какое средство защиты наиболее оптимально для аттестации АС? Необходимо выбрать средство, имеющее как можно больше тех механизмов защиты, которые должны быть в аттестованной АС. Многие читатели знают, что оптимальным средством защиты для аттестации АС будет такое СЗИ, которое соответствует руководящему документу (РД) Гостехкомиссии России “Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от НСД к информации” (РД для СВТ).
Дело в том, что требования к системе защиты информации, предъявляемые в данном документе, во многом совпадают с теми требованиями, которые выдвигаются к автоматизированным системам (см. табл. 2). Например, руководящие документы РД для СВТ и РД для АС предусматривают наличие следующих возможностей как в средстве защиты информации сертифицированной по 3-му классу защищенности (по РД для СВТ), так и в автоматизированной системе класса 1В.
Таблица 2. Требования к системе защиты АС и СВТ
СЗИ, сертифицированные по РД для СВТ, являются оптимальным выбором, если необходимо обеспечить защиту информации в сети и одновременно с этим аттестовать автоматизированную систему.
Классы защищенности оптимального средства защиты
Как уже было сказано выше, сертифицируя систему защиты от НСД, Гостехкомиссия России пользуется РД для СВТ. Данный документ содержит перечень всех требований к средству защиты информации.
В зависимости от того, какие требования выполняет средство защиты, оно может быть отнесено к одному из семи классов (1-й класс защищенности - самый высокий, 7-й - самый низкий). Для сертификации системы защиты, например по 3-му классу защищенности, необходимо, чтобы она выполняла все требования данного класса.
Приведенные в РД наборы требований к показателям каждого класса являются минимально необходимыми, поэтому если в системе отсутствует какой-либо механизм защиты, определенный перечнем требований к этому классу, то она будет сертифицирована классом ниже.
Какая связь между аттестацией АС и сертификацией средства защиты информации?
СВТ являются лишь одной из частей автоматизированной системы. АС кроме СВТ включает в себя персонал организации, обеспечивающий ее функционирование, помещения, бумажные документы и т. д. (см. рисунок). Поэтому, как уже было сказано выше, при аттестации АС рассматриваются вопросы не только защиты средств вычислительной техники от НСД, но и организационные меры защиты, вопросы физического доступа и т. д. Однако если в АС используется сертифицированное средство защиты от НСД, то большинство вопросов, связанных с защитой СВТ, может быть решено. Связано это с тем, что требования, которые предъявляет документ РД для АС именно к защите СВТ, повторяются в требованиях РД для СВТ. В частности, система защиты информации Secret Net, сертифицированная по 3-му классу защищенности, подходит для использования в АС классов 3А, 2Б, 1В.
Если в АС планируется обрабатывать государственную тайну, то АС должна быть не ниже класса 3А, 2А или 1В. При этом необходимо использовать сертифицированные средства защиты (по РД для СВТ) не ниже следующих классов:
- 4-го - для класса защищенности АС 1В;
- 3-го - для класса защищенности АС 1Б;
- 2-го - для класса защищенности АС 1А.
Немного истории+
Чем же вызвано сходство двух документов Гостехкомиссии России? Эти документы разрабатывались одновременно и совместно, об этом сказано в “Концепции защиты СВТ и АС от НСД к информации”. В соответствии с данной концепцией РД для АС - это документ, описывающий требования по защите информации в автоматизированной системе. В то же время РД для СВТ описывает требования по защите отдельного СВТ - элемента автоматизированной системы.
РД для СВТ призван четко определить требования к СЗИ. Фактически РД для СВТ является руководством разработчика средств защиты информации.
Что такое проверка на НДВ?
Защита государственной тайны - очень серьезное дело. Поэтому Гостехкомиссия России установила дополнительные требования к проверке программного и аппаратного обеспечения, реализующего функции защиты информации.
Кроме проверки на соответствие требованиям документа РД для СВТ, система защиты информации (которую планируется использовать для защиты государственной тайны) должна также пройти проверку на отсутствие недекларированных возможностей (НДВ). Это не что иное, как исследование исходного текста программы на предмет отсутствия в нем “программных закладок”, “троянских коней” и других неприятных вещей подобного рода. При этой проверке Гостехкомиссия России пользуется руководящим документом “Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларируемых возможностей”.
Данный документ также позволяет классифицировать систему защиты по четырем уровням контроля НДВ. Каждый уровень характеризуется определенной минимальной совокупностью требований. Самый высокий уровень контроля - первый, самый низкий - четвертый.
Средство защиты информации, которое будет применяться для защиты информации, составляющей государственную тайну, должно пройти проверку по уровню контроля не ниже третьего.
Почему некоторые продукты имеют сертификат по РД для АС?
Не всегда средство защиты имеет сертификат Гостехкомиссии России по РД для СВТ, иногда в сертификате указано: “Может использоваться при разработке систем защиты для автоматизированных систем до класса защищенности 1В включительно в соответствии с требованиями РД для АС”.
Это означает одно из двух:
- либо продукт имеет такие возможности, которые отсутствуют в РД для СВТ, но при этом наличие таких возможностей предусмотрено в РД для АС;
- либо продукт выполняет не все функции, которые необходимы для его сертификации по РД для СВТ, но имеет возможности, которые необходимы для аттестации АС по РД для АС.
Таким образом, несмотря на то что средство защиты сертифицировано и его можно применять для разработки автоматизированной системы, оно чаще менее функционально, чем любое другое средство защиты, сертифицированное по РД для СВТ.
Что делать, если для аттестации АС требуется использование криптографических средств защиты?
Документ РД для СВТ не содержит требований к криптографической защите информации, однако в РД для АС такие требования предъявляются. В частности, среди требований к классу 2А, 1А или 1Б есть и такое: “Должно осуществляться шифрование всей конфиденциальной информации, записываемой на совместно используемые различными субъектами доступа (разделяемые) носители данных, в каналах связи, а также на съемные носители данных (дискеты, микрокассеты и т. п.) долговременной внешней памяти для хранения за пределами сеансов работы санкционированных субъектов доступа”. При этом необходимо использовать сертифицированные средства криптографической защиты информации.
Что происходит, когда кончается срок действия сертификата?
Сертификаты по РД для СВТ на средства защиты информации выдаются на три года. По истечении срока действия сертификата поставщик СЗИ обязан прекратить поставки. Средство защиты, для которого этот срок уже истек, еще может эксплуатироваться в автоматизированной системе. А аттестат на АС тоже не вечен, его срок рано или поздно заканчивается, и грядет переаттестация АС. Если в какой-либо организации защита АС обеспечена с помощью средства с просроченным сертификатом, то необходимо обратиться в Гостехкомиссию России с запросом на продление срока действия аттестата данной АС. Поэтому при приобретении средства защиты информации обращайте внимание на срок действия сертификата.
Заключение
Данная статья не претендует на подробное описание всех положений руководящих документов Гостехкомиссии России, однако в ней затронуты ключевые моменты, на которые следует обратить внимание при аттестации автоматизированной системы.
С автором статьи можно связаться по адресу: romanp@infosec.ru.
