Несертифицированные сертифицированные

Кончились новогодние праздники, у студентов полным ходом идет сессия, и мне, как преподавателю, приходится тоже "поднапрячься" - экзамены надо принимать, а для этого неплохо бы и самому вспомнить материал ;) Именно с этой целью я в очередной раз полистал казалось бы хорошо знакомый РД ФСТЭК " Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации ", и в очередной раз обнаружил пару интересных моментов, которыми не премину поделиться с читателями. Всем хорошо известен пункт 5 Постановления правительства РФ 781, вокруг которого поломано немало копий. Именно этот пункт регламентирует использование в ИСПДн средств защиты информации, прошедших процедуру оценки соответствия в установленном порядке. С момента отмены двух суровых документов "четверокнижия" никто толком не знал, что скрывается под термином "установленный порядок": приказ 58 и соответствующее Положение, вышедшее им на замену, рассматривает использование сертифицированных средств защиты информации лишь как один из  "методов и способов". Те счастливчики, которым довелось ознакомиться с содержанием пресловутого Постановления правительства РФ 330 "Об особенностях оценки соответствия продукции (работ, услуг), используемой в целях защиты сведений, относимых к охраняемой в соответствии с законодательством Российской Федерации информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну..." знают о содержании пункта 6, который однозначно определяет, что оценка соответствия осуществляется в формах обязательной сертификации и государственного контроля (надзора). В виду того, что таких счастливчиков крайне мало, а большинству операторов этот документ недоступен, интрига существует по сей день. Однако ярые сторонники подходов ФСТЭК, с пеной у рта доказывающие необходимость получения лицензий на ТЗКИ всеми без исключения операторами ПДн, могут ликовать: пусть и тайно, но между "оценкой соответствия" и "сертификацией" поставлен знак равенства. Хорошо, пусть так, пусть все без исключения СЗИ должны быть сертифицированы ФСТЭК. Но позвольте, сертификация, пусть и во ФСТЭК, бывает разная - как определить, подходит ли сертифицированное СЗИ для конкретного случая, "нужные" ли оно имеет сертификаты? Попробуем разобраться. Вот типичный пример анонса о получении заветного сертификата производителем средств защиты информации: "Программный комплекс DeviceLock^ 6.4.1 получил сертификат соответствия N 2144 ФСТЭК России. Настоящий сертификат удостоверяет, что программное средство DeviceLock 6.4.1 соответствует требованиям руководящего документа "Защита от несанкционированного доступа к информации" (Гостехкомиссия России, 1999 г.) по 4 уровню контроля, заданию по безопасности "Программный комплекс DeviceLock 6.4.1. Задание по безопасности D_L_6.4.1.3Б. Версия 1.0", имеет оценочный уровень доверия ОУД2 в соответствии с требованиями руководящего документа "Безопасность информационных технологий. Критерии оценки безопасности информационных технологий" (Гостехкомиссия России, 2002 г.) и может использоваться в автоматизированных системах до класса защищенности 1Г включительно." Проведем декомпозицию регалий. Первое "достоинство" - 4 уровень контроля - означает отсутствие в ПО т.н. "недекларированных возможностей". О том, что это такое, может поведать РД ФСТЭК " Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей ": согласно приведенному в нем определению, "недекларированные возможности" - это функциональные возможности ПО, не описанные или не соответствующие описанным в документации, при использовании которых возможно нарушение конфиденциальности, доступности или целостности обрабатываемой информации. Смысл "достоинства" понятен, но что оно дает оператору? Согласно пункта 7 "Положения о методах и способах...",  это позволяет использовать ПО в типовых ИСПДн 1 класса. Для типовых ИСПДн 2 и 3 классов, а так же для специальных ИСПДн, такое требование отсутствует, а это означает, что в большинстве случаев наличие у СЗИ одного такого сертификата будет только "в тягость": оператор предпочтет более дешевое несертифицированное средство. Следующее, на что падает взгляд, это аббревиатура "ОУД2" - некий "оценочный уровень доверия". О том, что это такое, может поведать раздел 6 части 3 многостраничного РД "Безопасность информационных технологий. Критерии оценки безопасности информационных технологий" ("ремикс" стандарта ISO 15408 "Общие критерии"). В терминах этого документа, ПО СЗИ является объектом оценки (ОО), в процессе оценки которого "достигается определенный уровень уверенности в том, что функции безопасности таких продуктов или систем, а также предпринимаемые меры доверия отвечают предъявляемым требованиям". Посмотрев в таблицу Б.1 "Взаимосвязь между оценочными уровнями доверия и классами, семействами и компонентами доверия", можно обнаружить, что оценочный уровень ОУД2 является одним из самых низких - ниже только ОУД1. Возникает резонный вопрос - к чему такое "доверие"? Ответ кроется в последнем "достоинстве", ради чего, собственно, все и делалось: сертифицированное по двум предыдущим показателям ПО "может использоваться в автоматизированных системах до класса защищенности 1Г включительно". Аббревиатура 1Г расшифрована в РД " Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации ". Этот документ устанавливает 9 классов АС учреждений, организаций и предприятий, обрабатывающие конфиденциальную информацию, в зависимости от условий их функционирования с точки зрения защиты информации. "Стоп" - скажет пытливый читатель - "как связаны классы этого РД и классы ИСПДн"? И вот здесь начинается самое интересное. Внимательное прочтение указанного РД и сопоставление его с подходами, применяемыми к классификации ИСПДн, выявляет главный тренд: выбор класса АС производится заказчиком и разработчиком с привлечением специалистов по защите информации и, как и в 58 приказе, в РД приведены лишь требования, которые должны быть выполнены для АС соответствующего класса. Однако мы помним о том, что в 58 приказе приведены требования для типовых ИСПДн: защитные меры специальных ИСПДн определяются на основании модели угроз. Помним мы и о том, что "использование сертифицированных СЗИ", согласно того же Приказа, является одним из "методов и способов". Возникает вопрос: можно ли отойти от использования сертифицированных СЗИ с использованием модели угроз? Ответ на него нам даст пункт 4.6 каждой из трех таблиц указанного РД, определяющий необходимость использования сертифицированных средств защиты. И здесь - первый парадокс: ФСТЭК разрешает НЕ ИСПОЛЬЗОВАТЬ сертифицированные СЗИ в АС, соответствующих классам 3Б, 2Б, 1Д и - внимание - 1Г! Но погодите - для чего же тогда сертифицировать СЗИ до класса 1Г включительно, если ни в 1Г, ни в 1Д сертифицированных средств не требуется - для 2А и 3А? Учитывая особенности этих классов и требования, указанные в соответствующих таблицах РД это, пожалуй, второй парадокс. Ответ на вопрос, подойдет ли указанное выше сертифицированное для 1Г СЗИ для использования в ИСПДн любого класса, нигде не написан, и задавался ФСТЭК не один раз. И оказался он прост до безобразия: подойдет, просто потому, что имеет сертификат, а значит в терминах ПП330 и ПП 781 "прошло оценку соответствия". При этом совершенно не важно, что это за сертификат и что в нем написано - главное, что он есть. Однако пока, в условиях " закрытости " 330-го постановления, у операторов есть реальная возможность не использовать сертифицированные СЗИ, в том числе на основании модели угроз. Долго ли продлится такая "халява" - никому не ведомо. Успехов в наступившем году Вам, дорогие читатели!