Журнал ИКС

Разделы сайта

• Новости
• Блоги
• Аналитика
• Новости компаний
• В СНГ и в мире
• Анонсы

Ближайшие события

Илья ТРИФАЛЕНКОВ

01 июля 2005

Стандартизация: «вечное движение»

Баланс законов и технических норм

В самом деле, какие определяющие законы действуют в настоящее время? «О государственной тайне», «О коммерческой тайне» (хотя принятая редакция оставляет не много шансов для его реальной работы). Сегодня один из самых критичных вопросов для защиты информации – защита персональных данных – не отражен в законодательстве: эти данные, по сути, никак не защищаются. Такое состояние дел может породить серьезную проблему взаимодействия наших ИС с информационными системами остального мира. Результат вполне предсказуем: в один прекрасный момент нас просто отключат от Сети. А закон этот даже не стоит в числе приоритетных для Госдумы – вот где одна из наиболее серьезных уязвимостей законодательной системы!

Другой аспект этой проблемы – баланс законов и технических нормативов. Следует помнить, что законодательство не может и не должно быть застывшей массой – это процесс, и процесс сбалансированный. В нем нет места «слоям», которые явно обгоняли бы другие или, наоборот, отставали. То, что закон «Об информации персонального характера» до сих пор не принят, сдерживает внедрение целого пласта стандартов в области безопасности. Мы не можем принимать и те стандарты, которые созданы в Западной Европе или в других странах, – просто потому, что законных оснований для их применения сегодня нет.

Действующий закон «О техническом регулировании» уже требует доработки «по выявленным уязвимостям». И хотя работы по созданию нужных технических регламентов начались (тендер выиграло ОАО «Восход»), процесс их принятия (а они будут иметь статус закона! ) займет не менее двух лет.

Плюсы и минусы

ГОСТ Р ИСО/МЭК 15408 («Общие критерии») открыл новую эпоху в мировом процессе сертификации средств защиты информации (СЗИ). В чем революционность документа? В нем виден переход от некоего набора требований к обоснованному набору. Главное – это понимание того, откуда берутся те или иные требования к СЗИ. Критерий для введения любых требований простой: наличие угроз, от которых данное СЗИ защищает. Такая причинноследственная связь очень ценна для понимания механизмов обеспечения безопасности. Потому что сопоставление в рамках «Общих критериев» (ОК) механизмов безопасности четко привязано к классам угроз и использование того или иного механизма означает ликвидацию угроз соответствующего класса, а значит, позволяет оценить последствия отсутствия такого механизма и качество данного СЗИ.

Использование «Общих критериев» также заставляет тех, кто формулирует требования на создание системы безопасности, думать, для чего же все-таки она строится. А при формальных требованиях и формальном соответствии этим требованиям защита тоже получается формальной.

Второй признак революционности – единый язык описания механизмов безопасности в рамках одного класса продуктов. По сути, раньше мы не могли сопоставить требования к двум разным продуктам одного класса. В ГОСТ 15408 использован единый язык, единая нотация, единая структура, что позволяет гораздо полнее и глубже анализировать требования.

И наконец, третий признак – разделение требований на функциональные и гарантирующие безопасность (гарантии) . Если функциональные требования показывают, какие механизмы безопасности присутствуют в системе, то требования гарантии —насколько надежно реализованы (надежно работают) функциональные требования. Данные требования возникают не сами по себе, а создаются на основе специальных наборов, называемых уровнями доверия. Они не зависят от функционала системы. Раньше сопоставить систему со слабым функционалом, но хорошо проверенную с функционально сильной, но непроверенной было непросто. Сегодня, когда есть единый подход и единые требования к обоим наборам, это возможно.

Следует заметить, что «Общие критерии» оказались принципиально новыми не только для России, но и для США, поскольку в корне отличаются от «Оранжевой книги». Другое дело, что у нас, как всегда, скачок более резкий, а у них – более плавный, потому что на Западе профили защиты (ПЗ) начали писать задолго до принятия стандарта. У нас, например, создание ПЗ актуально и сейчас, правда, еще актуальнее — их принятие. Ведь на сайте ФСТЭК (www.fstec.ru), несмотря на длинный список разработанных ПЗ и рабочих документов (РД), утвержденного – ни одного. Не утвержден даже регламент сертификации разработанных профилей. Хотя «неутверждение» ПЗ не мешает сертифицировать СЗИ...

Кстати, встречаются еще российские фирмы-интеграторы, которые не понимают универсальности требований профиля защиты и сущности стандарта, полагая, что созданный «кем-то» ПЗ для данного типа СЗИ применим лишь к СЗИ, разработанному этим «кем-то». Профиль не есть требования к отдельному продукту (СЗИ). Разработать его специально под продукт нельзя, так как в нем присутствует характерный для системы набор угроз, от которых данный тип СЗИ должен защищать. Если продукт этому ПЗ не соответствует, значит, перечисленные угрозы данным продуктом не ликвидируются.

Набор угроз (еще одна составляющая методических документов ГОСТ 15408) —вещь довольно общая. Нельзя придумать очень специфическую угрозу. В качестве методического документа ГОСТ 15408 ФСТЭК подготовила типовой перечень угроз – по сути, это некий классификатор и единый язык описания угроз. Хотя, на мой взгляд, применить данную схему на практике сложно, поскольку классификация угроз не очень удачна: все, что относится к угрозе, в классификаторе есть, но не все, что присутствует в классификаторе, существенно с точки зрения механизма реализации СЗИ. Например, присутствует признак: умышленно угроза реализуется или неумышленно. Для механизма защиты это все равно, главное – избежать ее реализации. Но требовать от столь сложного документа, чтобы он с первой попытки всех устраивал, – чистый идеализм.

Однако при всех положительных качествах «Общих критериев» от заявителя требуется подготовить довольно много документов (особенно, если мы хотим соответствовать высоким требованиям к гарантиям защищенности), что намного усложнило процедуру сертификации по сравнению со старой. Эту проблему отмечают и зарубежные разработчики СЗИ. Возможно, в следующих версиях стандарта с учетом практики применения что-то будет изменено.

Второй минус ГОСТ 15408 – стремление «пристроить» его к другим, «родственным», объектам сертификации. Например, отсутствие стандартов на систему безопасности вызывает попытки применения ГОСТ 15408 не только к конкретным средствам, но и к системам. А вот это проблематично, так как система суть структура гораздо более сложная и более связанная с политикой безопасности, чем отдельное СЗИ. В ней должны быть учтены конкретные взаимосвязи и взаимозависимости ИС, СЗИ и бизнеса. В мире не существует удачных описаний больших систем с помощью этого стандарта.

Впрочем, в ISO уже началась разработка нового стандарта – ISO 19791, предназначенного именно для информационных систем. Его концепция схожа с реализованной в ОК. А пока существуют принципиально разные правила для системы и отдельных СЗИ. И это, несомненно, очень неудобно.

Есть еще один, пока не принятый в России, стандарт – на системы управления информационной безопасностью и аудит. Для этого класса задач национальная нормативная база просто необходима, причем разрабатывать такие стандарты следует на основе существующих международных, прежде всего ISO/IEC 17799 (BS 7799 – 2: 2002). К слову, в феврале 2005 г. два сотрудника нашей компании прошли сертификацию BSI и получили право проведения аудита по BS 7799 – 2.

Приоритеты

Защита информации у операторов отнюдь не на последнем месте.

Приоритет 1: «Мы должны обеспечить защиту собственно процесса передачи информации». А это означает защиту всех устройств, которые информацию передают, защиту сервисов, с помощью которых она передается, защиту служебных протоколов передачи информации и. д.

Приоритет 2: «Мы должны обеспечить защиту систем, которые «считают деньги» при передаче информации, т.е. биллинговых». Здесь, кстати, ситуация далеко не безоблачная. Не удивительно ли, что, несмотря на требование Мининформсвязи работать только на аттестованных биллинговых системах, ни одной аттестованной ни у одного оператора нет?! Защищенностью биллинговых систем обычно занимаются их производители. Но на рынке нет ни одного открытого продукта, поэтому внутренних процессов просто никто не представляет, а значит, и не понимает, насколько система защищена. Большинство таких систем сделано на базе СУБД Oracle, а на Oracle можно создать и очень хорошо защищенную систему, и абсолютно незащищенную.

Приоритет 3: «Мы должны защитить собственные системы документооборота, хозяйственной деятельности и. д.». Здесь применяются все те СЗИ, что и в обычных ИС предприятия, конечно, в соответствии с принятыми у оператора политиками безопасности.

Однако есть еще один аспект операторской деятельности, которому традиционно оператор не уделяет должного внимания. Это защита информации, передаваемой по его каналам. Типичная позиция: «Мое дело – информацию передать, а что я передаю: вирусы или спам, меня не интересует». Такая позиция вредна, в том числе и для самого оператора. Передаваемым вирусам ведь все равно, что «положить» – собственную систему оператора или ИС обслуживаемого им клиента. Известны случаи, когда вирусная атака приводила к отказу сетевого оборудования …

То же можно сказать и про спам, с той лишь разницей, что операторы по крайней мере ведут списки источников спама, хотя борются с ним далеко не всегда, ведь спам увеличивает трафик.

Статус для оператора

В настоящее время операторы имеют в качестве «руководства по ИБ» те же нормативные документы, что используются для ИС, и закон «О связи». Лицензионные требования Мининформсвязи не охватывают защиту информации как таковую (прописаны лишь требования СОРМ). Однако сегодня этот государственный орган активно создает нормативы и задумывается о системе сертификации по защите информации специально для операторов связи.

Новые нормативы, разрабатываемые рабочей группой АДЭ, носят название «Требования по обеспечению базового уровня ИБ в сети связи общего пользования» . Результатом их несоблюдения будет потеря лицензии на операторскую деятельность. Причем аттестация (проверка соответствия «базовому уровню») может выполняться любым сертифицированным для проведения данной процедуры аккредитационным центром. Такая схема вполне работоспособна, и, скорее всего, именно она и будет применяться.

Заметим, что, судя по имеющимся у АДЭ версиям документа, «базовый уровень» отнюдь не включает каких-то сверхъестественных требований, да и пишется он в основном операторами (хотя, на мой взгляд – специалиста, занимающегося внедрением систем защиты информации, этот уровень слабоват). Как и всякий норматив, он имеет, конечно, свои плюсы и минусы. Плюс —в реализации единого подхода к ИБ и в единых для всех операторов требованиях. Минус —в том же. Поскольку «базовый уровень», по сути, представляет собой минимальный набор угроз, от которых оператор обязан защищаться, у него велик соблазн этим минимальным набором и ограничиться: сэкономить-то хочется... Ясно, что не все операторы пойдут по этому пути, поскольку ситуация на рынке конкурентная, и всегда найдется тот, кто захочет внедрять защищенные сервисы. С другой стороны, мелким операторам даже минимальный набор может оказаться «не по деньгам».

Думаю, что среди «серьезных» операторов реакция на введение «базового уровня» будет положительной. Именно потому, что документ ничего сверхъестественного или неразумного не требует. Ведь в результате оператор получит минимальный уровень гарантий безопасности, в том числе и для биллинговых систем. Неясно только одно – войдут ли в эти требования гарантии для пользователей по сохранности их личной информации, которую они доверяют оператору?

***

Информационная система или сеть редко строится в соответствии с каким-то единым планом: что-то с годами отмирает, что-то достраивается. Используются новые технологии, устройства, каналы. При этом имеет место «лоскутная» автоматизация. Как тут не вспомнить известную поговорку «Где густо, а где пусто»? ! У каждого владельца сети или ИС свои ограничения по финансам и срокам. Как результат – невозможность в полной мере реализовать единый подход к безопасности. Но компромисс возможен. Главное, чтобы он не привел к видимости защиты. И дело вовсе не в отсутствии тех или иных законов, а в недостаточном владении искусством компромисса при построении системы.

Хотя и законодательных «закавык», особенно в части терминологии, применимости тех или иных требований, сертифицированного и несертифицированного оборудования, немало. Наши законы вообще трудно назвать последовательными и сбалансированными. А в столь сложной для понимания законодателей и юристов области, как защита информации, тем более.

Заметили ошибку в тексте? Выделите её мышью и нажмите Ctrl+Enter. Спасибо!