БЕЗОПАСНОСТЬ
Увеличивая год от года поставки своих технологий российским государственным организациям и предприятиям, корпорация IBM достигла в этом сегменте бизнеса состояния "критической массы". "В какой-то момент мы почувствовали, особенно в ходе выполнения крупных проектов, необходимость более четко соответствовать требованиям к информационным технологиям со стороны [российских] государственных структур, - сообщил Леонид Алтухов, директор по продажам программного обеспечения IBM в Восточной Европе и Азии. - Именно это побудило нас привести наши программные продукты в соответствие с требованиями по государственному регулированию защиты информации".
В связи с этими намерениями региональным представительством корпорации в России запущена программа сертификации программных продуктов IBM на соответствие требованиям государственной технической политики защиты информации, на страже соблюдения которой стоит Федеральная служба по техническому и экспортному контролю (ФСТЭК, www.fstec.ru/). Первыми весенними ласточками данной программы стали успешная сертификация и начало тиражирования программного продукта IBM WebSphere MQ v.6, о чем было официально объявлено 30 марта текущего года.
Заявителем на сертификацию выступила компания "ЭЛВИС-ПЛЮС" (www.elvis.ru). Привлечение российской фирмы было связано прежде всего с нехваткой в региональном отделении вендора специалистов для организации процесса сертификации, а кроме того, по мнению руководства IBM, это должно было облегчить прохождение сложной процедуры, тесно связанной с нашей правовой базой.
Сертификационные испытания WebSphere MQ были поручены испытательной лаборатории ООО "Центр безопасности информации" (ЦБИ, www.cbi-info.ru). Как рассказал г-н Алтухов, эту лабораторию выбрали исходя из уровня профессионализма ее персонала, объявленных ею стоимости процедуры испытаний и сроков их проведения, а кроме того, вендор учел рекомендации ФСТЭК. IBM WebSphere MQ оказался девятнадцатым программным продуктом, сертифицированным в ЦБИ.
Сертификация - четко регламентированный процесс, суть которого заключается в том, что заявитель предоставляет комплект доказательных материалов, подтверждающих заявленный оценочный уровень доверия (ОУД) сертифицируемого программного продукта. WebSphere MQ проверялся на самый высокий для коммерческих продуктов ОУД - четвертый (более высокие уровни используются при сертификации критических приложений, работающих с особо ценной информацией). Испытания на отсутствие в программе недекларированных возможностей (НДВ) проводились в Англии, в лаборатории разработчика - компании IBM United Kingdom Limited - и заняли неделю. Сложность этих работ была связана с мультиплатформенностью продукта и отсутствием комплекта тестов для испытываемой шестой версии. Накопленный во время проверки материал в течение месяца обрабатывался в испытательной лаборатории ЦБИ.
Как отмечает Марк Кобзарь, начальник отдела нормативных документов ЦБИ, сегодня производители программного обеспечения во всем мире испытывают потребность в сертификации своих продуктов по общим критериям. Российские компании тоже инициируют такие испытания собственных разработок, затрачивая на это свои средства. В их числе - "Информзащита" (www.infosec.ru/), ФПК "Эстра" (www.estra.ru) и др. Если разработчик ориентирован на международное продвижение своей продукции, то такие сертификаты ему просто необходимы. Соглашение о признании сертификатов по общим критериям (Arrangement of the Recognition of Common Criteria Certificates in the Field of Information Technology Security - CCRA), к которому присоединилось более двадцати стран, признает действительными в своем сообществе результаты испытаний, проведенных в любой из этих стран. Испытания проводятся на базе единых критериев, по единой методологии, с соблюдением общих требований к органам сертификации и испытательным лабораториям. Наша страна, увы, пока CCRA не подписала.
После сертификации WebSphere MQ v.6 его пользователи получат пакет услуг по настройке встроенных в продукт механизмов безопасности и доступ к сертифицированным изменениям продукта. Вендор предполагает, что сертификация поможет вытеснить с рынка пиратские копии программы.
Сегодня список программных продуктов IBM включает около 9 тыс. наименований. В рамках акции сертифицироваться, естественно, будут только те из них, которые уже реально используются или планируются к использованию в конкретных проектах. Их список будет сформирован к концу апреля. Система поставок сертифицированных продуктов останется той же, что и несертифицированных. Что же касается стоимости, то за сертифицированный продукт пользователь заплатит на несколько процентов больше.
