Захисне ПО в Росії: секретно чи секретне?, Безпека ПЗ, Security & Hack, статті

З 9 вересня 2000 р. в Росії діє доктрина інформаційної безпеки країни. У підрозділі, який визначає можливі види загроз ІБ, одним з пунктів є використання як зарубіжних, так і вітчизняних несертифікованих ІТ, засобів захисту інформації, засобів інформатизації, телекомунікації і зв’язку. В даному контексті мається на увазі використання саме при створенні і розвитку російської інформаційної інфраструктури. Таким чином, використання несертифікованого ПЗ (що входить в загальне визначення “засоби захисту інформації”) для захисту інформації державних структур є загрозою безпеки інформаційних та телекомунікаційних засобів і систем країни. В системах роботи з інформацією банківської, податкової, статистичної, фінансової, біржової та митної рекомендується використання саме вітчизняних сертифікованих засобів захисту.


Одне з основних вимог успішного проходження сертифікації, якому повинні задовольняти захищають держструктури програмні продукти – відсутність недеклароване можливостей. Недеклароване можливості визначаються як “функціональні можливості ПЗ, не описані або не відповідають описаним у документації, при використанні яких можливе порушення конфіденційності, доступності або цілісності оброблюваної інформації “.


Як зазначено в керівному документі Держтехкомісії (“Захист від несанкціонованого доступу до інформації”, № 114 від 4.06.99 р.) ПО для захисту інформації класифікується за рівнем контролю відсутності недеклароване можливостей. Існує чотири рівні контролю, кожен з яких дозволяє працювати з інформацією того чи іншого рівня доступу. Найнижчий з них – четвертий (конфіденційна інформація). Перелік відомостей визначено указом президента № 188 від 6.03.97. До числа інформації обмеженого доступу відноситься і податкова таємниця згідно ст.102 НК РФ. Оскільки практично вся інформація, що обробляється в державних інформаційних ресурсах, має обмежений доступ, то, відповідно, жоден з органів влади не може використовувати засоби захисту інформації з рівнем контролю нижче 4-го.


Відсутність сертифікації карається


Для захисту інформації, що складає державну таємницю, обробляється в органах державної влади, потрібен сертифікат ФСБ мінімум третього рівня контролю. Для інших державних організацій, що обробляють подібну інформацію, необхідний також третій рівень. Для захисту конфіденційної інформації – сертифікат ФСТЕК четвертого рівня контролю.


Відкривши закон “Про державну таємницю” від 21 червня 1993 р, можна ознайомитися з переліком відомостей, що становлять державну таємницю. Статті 27 і 28 описують розглянуту нами проблему: “Допуск підприємств, установ і організацій до проведення робіт, пов’язаних з використанням відомостей, що становлять державну таємницю “та” Порядок сертифікації засобів захисту інформації “. У першій зазначається, що отримання ліцензії на проведення робіт з використанням відомостей, що становлять державну таємницю, можливе лише в разі наявності у підприємства, установи або організації сертифікованих засобів захисту інформації. Стаття 28 деталізує питання сертифікації.


Слідом за цим ми повертаємося до “Положення про сертифікацію засобів захисту інформації”, який встановлює порядок сертифікації в РФ та її установах за кордоном. Створення систем сертифікації покладено на ФСБ, Міноборони і СВР. Координацію по частині організації сертифікації, як зазначено в положенні, здійснює міжвідомча комісія із захисту державної таємниці – Держтехкомісії.


Кодекс РФ про адміністративні правопорушення говорить, що використання несертифікованих засобів захисту інформації, що підлягають обов’язковій сертифікації (крім тих з них, що становлять державну таємницю), тягне покарання для громадян – у розмірі від 5 до 10 МРОТ з можливою конфіскацією несертифікованих продуктів, для юридичних осіб – від 100 до 200 МРОТ, також з можливою конфіскацією.


У разі використання таких засобів захисту для охорони відомостей, що становлять державну таємницю, адміністративний штраф для юросіб дорівнює 200-300 МРОТ, для посадових осіб – від 30 до 40. Кримінальна відповідальність передбачена законом у разі розголошення даних, що становлять держтаємницю, а також у випадках, передбачених статтею 274 КК РФ.


ФСТЕК і ФСБ займаються розглядом справ, пов’язаних із порушеннями в цій галузі, як для даних, пов’язаних із держтаємницею, так і не пов’язаних. Перші також перебувають у віданні Міноборони, СЗР і ГРУ, а останні – Россвязьохранкультури.


На війні – як на війні?


Итак, необхідність використання держструктурами сертифікованого ПО для захисту інформації ясно визначена в законодавстві; органи, завідувачі цим питанням ясні. Очевидно, що сертифікація зроблена необхідністю з тієї простої причини, що Росія, володіючи певними важливими – притому як для країни в цілому, так і для окремих її громадян (будь-яка персональна інформація, що зберігається в базах держструктур) – Інформаційними ресурсами, хоче максимально адекватно і надійно ці ресурси захистити. Причому мова в даному випадку йде виключно про тих організаціях, які з такого роду ресурсами зазвичай і взаємодіють, тобто про державні. Як легко зрозуміти з згаданих вище нормативних документів, це не відноситься, наприклад, до комерційних підприємств.


Цей факт підкреслює, наприклад, Гаррі Кондаков, Керуючий директор “Лабораторії Касперського” в Росії, країнах СНД і Балтії: “Перш за все, важливо розуміти фундаментальну річ: коли ми говоримо про проблему використання несертифікованого ПЗ в державних установах, мова йде про використання несертифікованого ПЗ виключно в них, тобто в організаціях, вибір захисних засобів яких визначено низкою законодавчих актів; мова не йде про свободу або несвободі ринку, конкуренції в цілому “


Інша справа, каже Кондаков, що серед різноманітних груп замовників, компаній, організацій існують ті, де питання інформаційної безпеки вимагає набагато більш серйозного, особливого підходу. До даного типу організацій відносяться, зокрема, ключові міністерства РФ, безпека яких, безпосередньо впливає на безпеку держави в цілому: “Захист інформації в подібних організаціях повинна бути гранично серйозною, системи безпеки – максимально надійні. Надійність якраз і перевіряється в результаті сертифікаційних випробувань “.


Проте, відомі випадки, коли ситуація з використанням в державних органах на ділі виявляється не настільки зрозумілою і очевидною. Так, наприклад, у вересні експерти ІБ обговорювали поставку антивірусного ПО в ФНС РФ, яка переглянула результати проведеного тендера і, змінивши свої вимоги, зробила вибір на користь іншого продукту. Нагадаємо, в конкурсі брали участь три компанії – “Лабораторія Касперського “,” Систематика “(також пропонувала вирішення цього вендора) і LETA IT-Сompany, яка виступила з програмним продуктом компанії ESET. Спочатку переможцем тендеру була названа” Систематика “(виставлялися на торги “Антивірус Касперського”), однак після його скасування та проведення нового конкурсу, з якого на вимогу ФАС Росії було виключено положення про надання сертифікатів уповноваженого органу, ФНС переглянула свій вибір на користь ПЗ компанії ESET, який запропонував поставку по найбільш низькій ціні.


Чи є загроза?


Так чи є дійсна загроза державної інформації, що захищається не відповідно до встановлених правил? Що стоїть за вибором держструктур на користь несертифікованого ПЗ, якщо такий відбувається – Свідоме рішення або незнання вимог, що пред’являються державою до продукції, яка захищає його інформацію? Чи може відмова від використання сертифікованого ПО стати тенденцією на російському ринку ІБ? Ми спробували розібратися в цих питаннях, попросивши експертів російського ринку ІБ прокоментувати ситуацію.


На думку багатьох фахівців, наявність в несертифікованих системах недеклароване функцій являє собою серйозну проблему з точки зору використання ПЗ в держсекторі. Так, наприклад, на це вказує Борис Шаров, Генеральний директор “Доктор Веб”. Причому, на його думку, це стосується не тільки засобів безпеки, а й ширше – операційних систем. І вони, не будучи сертифікованими компетентними фахівцями, також можуть являти собою потенційну “бомбу уповільненої дії”: “Вибухне ця” бомба “абсолютно незалежно від волі і бажання користувачів (у даному випадку, співробітників державних органів) – А з волі її розробників. У якийсь момент, з цілком зрозумілих міркувань, операційна система перестане виконувати свої функції, що призведе до паралічу інформаційної системи, або пропустить до собі троянську програму через заздалегідь залишену пролом у захисті, яка буде займатися збором і передачею третій стороні конфіденційної інформації “.


Про те, що необхідність сертифікації стосується не тільки засобів захисту інформації, а й інших компонентів як програмної, так і апаратної складової інформаційних систем держорганів, говорить і Олексій Лукацький, Менеджер з розвитку Cisco Systems. Він, однак, вказує на великий обсяг роботи, яку необхідно було б виконати сертифікуючий структурам в даній ситуації. На його думку, ФСТЕК, відповідальна за дане питання, навряд чи в змозі перевірити і видати сертифікати на тисячі найменувань ПЗ, використовуваного в держорганах. Результат, на його думку, очевидний – в держорганах як використовувалося, так і буде використовуватися несертифіковане ПО. Втім, даний аспект сертифікації, а саме проблема сертифікації усього використовуваного в держструктурах ПО, виходить уже за рамки теми цієї статті.


Якщо ж говорити, наприклад, конкретно про антивірусні засоби, які не пройшли сертифікацію, продовжує Шаров, то результати можуть бути аналогічними, – це повний параліч інформаційної системи в результаті “Неправильних” дій антивірусної програми або ігнорування шкідливих програм, спеціально розсилаємих з метою розкрадання конфіденційної інформації “.


Про важливість і позитивному ефекті сертифікації говорить і Михайло Кондрашин, Керівник центру компетенції Trend Micro в Росії та СНД. Він також зазначає, що для організації адекватного захисту інформаційної інфраструктури необхідно, щоб крім власне засобів захисту, все використовувані програмні компоненти не представляли загрози: “По суті, потрібно, щоб можна було довіряти всім програмним компонентам. Зрозуміло, що вітчизняному розробнику держава апріорі довіряє більше, але в наше століття глобалізації побудувати інформаційну інфраструктуру, використовуючи тільки вітчизняні розробки, не може ні одна держава “. Сертифікація ж програмного забезпечення, на думку Кондрашина, є тим засобом, який дозволяє використовувати розробки будь-яких компаній, які успішно провели сертифікаційні випробування своїх продуктів в держструктурах.


В принципі, необхідність сертифікації вже давно у більшості серйозних західних вендорів – можна згадати Microsoft і Cisco – не викликає претензій і сумнівів. Виробники розуміють, що для того, щоб пропонувати російським держструктурам свою продукцію на взаємовигідних і прийнятних для сторін умовах, її необхідно в обов’язковому порядку сертифікувати.


Сертифікація – ще не все


Однак, визнаючи важливість сертифікації ПЗ, експерти, водночас, зазначають, що вона все-таки залишається одним з компонентів єдиного комплексу заходів щодо забезпечення безпеки, відноситься до якого потрібно адекватно.


Наприклад, Олег Тютюкін, Менеджер по продажам для державного та транспортного секторів Symantec, вважає, що “використання сертифікованого ПО є однією зі складових частин комплексу заходів щодо забезпечення захисту і збереження відповідної інформації. Однією з, але не основний. Поряд із заходами організаційного, процедурного та іншого характеру, які часто набагато більш дієві в забезпеченні захисту інформації “.


Більш різко висловлюється з цього питання Андрій Албітов, Глава представництва ESET в Росії. Він, по-перше, категорично вважає, що проблема використання несертифікованого ПЗ в держорганах є вигаданою, а також вказує, що “безпека – це комплексний підхід, і вона більше залежить від організації роботи з важливою інформацією, ніж від наявності сертифікатів “. Сертифікація ж, на думку Албітова, відноситься до протекціоністських заходів, покликаним захистити російського виробника.


Кондаков же з учасником ринку категорично не згоден і вважає, що, говорячи про використання тих чи інших продуктів в державних установах, мова йде саме про сертифікованих продуктах, а не про продукти російського або неросійського походження: “У Росії, як і в інших країнах світу, проводяться різні продукти: менш якісні, більш якісні … Їх сертифікація як раз і є гарантією того, що продукт, який захищає інформацію держави, може надійно забезпечувати її безпеку “.


Якщо ж говорити про адекватне ставлення до сертифікації, то тут мова йде про те, щоб правильно і вчасно розділяти випадки, коли сертифікація дійсно необхідна і обов’язкова, і випадки, де вона не є такою. Костянтин Архипов, Директор Panda Security в Росії, зазначає, що існують навіть дві проблеми: не тільки відсутність несертифікованого ПЗ там, де це потрібно, а й його наявність там, де в ньому немає потреби. Останнє, на думку Архипова, веде до усвідомленого звуження вибору і позбавлення себе вибору, можливості скористатися, можливо, набагато більш відповідним продуктом, з більш відповідним функціоналом, високою надійністю, привабливою ціною, але без потрібного сертифіката.


Сьогоднішню ситуацію, що склалася навколо використання сертифікованих засобів захисту інформації в госоргнанах експерти оцінюють по-різному. Борис Шаров, зазначивши, що “Доктор Веб” цілеспрямовано інформацію з цього приводу не збирає, заявив, що компанія стикається з деякими випадками використання зарубіжних несертифікованих антивірусних засобів у нашій країні: “Більше того, ми бачимо, що іноді державні організації перестають купувати сертифіковані програмні засоби, віддаючи перевагу закордонні та несертифіковані “.


Юрій Наха, Керівник аналітичного відділу компанії Aladdin, навпаки, вважає, що в держорганах застосовуються практично тільки сертифіковані засоби захисту інформації, а загальносистемне і прикладне ПО – практично тільки несертифіковане, і що зараз спостерігається зростання відсотка використання сертифікованого ПО: “У багатьох тендерах не тільки державних, але і великих комерційних організацій, сьогодні прямо вказується про використання в проектах тільки сертифікованих програмних продуктів “. Цікаво й показово, що в даному випадку ми спостерігаємо тенденцію до реального розуміння користі сертифікації навіть і комерційними організаціями, а не тільки “сліпого” слідування букві закону держорганізаціями (а часом навіть і “не-проходження”).


Якщо ж говорити про статистичні показники, то Наха, наприклад, говорить про співвідношення сертифікованого і несертифікованого ПЗ приблизно 20% на 80%, відзначаючи, що апаратна платформа в ряді випадків не дозволяє “підтягти” інфраструктуру до необхідного рівня (коли використання сертифікованих засобів обгрунтовано, в тому числі технологічні).


Що кажуть в держорганах


Як же ставляться до проблеми представники самих держорганів? Володимир Скиба, Начальник відділу інформаційної безпеки Федеральної Митної служби, розповів, що в інтересах митних органів операційні системи, а також програмне забезпечення захисту інформації, зокрема, антивірусне ПЗ зараз закуповуються тільки з сертифікатами за вимогами безпеки. На підставі статей 13 і 14 Федерального закону від 27 липня 2007 року № 149-ФЗ «Про інформацію, інформаційні технології і про захист інформації “Єдина автоматизована інформаційна система (далі – ЄАІС) митних органів є державною інформаційною системою (федеральної інформаційною системою), створеної з метою реалізації повноважень митних органів та забезпечення обміну інформацією між ними.


При цьому “технічні засоби, призначені для обробки інформації, що міститься в державних інформаційних системах, у тому числі програмно-технічні засоби і засоби захисту інформації, повинні відповідати вимогам законодавства Російської Федерації про технічне регулювання “, а” інформація, що міститься в державних інформаційних системах, а також інші наявні в розпорядженні державних органів відомості та документи є державними інформаційними ресурсами “.


У той же час, процентне співвідношення сертифікованого і не сертифікованого ПО в державних структурах, за його оцінками, становить близько 20% і 80% для операційних систем, а для систем управління базами даних й спеціалізованого програмного забезпечення на рівні не більше 5%: “Трохи краща ситуація з програмним забезпеченням засобів захисту інформації. Тут частка сертифікованого програмного забезпечення більш 50% “.


Прогнози на майбутнє


Говорячи про подальший розвиток ситуації навколо використання несертифікованого ПЗ в держорганах, експерти сходяться на думці, що найближчим часом кардинальних змін не відбудеться, проте не виключають посилення контролю за виконанням відповідних нормативних актів. Костянтин Архипов вважає, що в законодавчій базі для даної сфери найближчим часом не відбудеться якихось принципових змін, а от контроль за дотриманням закону, можливо, буде зростати. Про необхідність посилення контролю говорить і Юрій Наха, який вважає, що якщо крім прийняття законів та директив держава турбуватиметься питанням контролю їх виконання, тоді ми станемо свідками ситуації, коли частка сертифікованого ПО буде переважувати частку несертифікованих софтверних продуктів.


Олексій Лукацький категорично заявляє, що в держорганах як використовувалося, так і буде використовуватися несертифіковане ПО, пояснюючи, що “у держорганів немає вибору – вони змушені використовувати несертифіковане ПО. Коли керівник держоргану постає перед вибором – виконувати поставлені державою та урядом завдання або чекати кілька місяців отримання заповітного сертифіката, вибір очевидний, і він не на користь сертифікації “. Втім, Гаррі Кондаков вважає, що якщо з продуктом і документацією все гаразд, то процедура займе максимум місяць:” А от якщо нічого не працює, то можна і все життя отримувати. Вартість може бути різною залежно від обсягу робіт, ми, наприклад, платили максимальну суму по самому строгому регламенту, і вона склала близько 200 000 руб. “.


У чому причини?


І все ж, в чому причини того, що виробники і держоргани не сертифікують і / або купують несертифіковане ПО? На думку експертів, однією з причин виявляється елементарна некомпетентність представників державних структур, відповідальних за закупівлі ПЗ в організацію.


Якщо ж говорити про виробників, то причин небажання проводити сертифікацію може бути багато – побоювання, пов’язані з можливими бюрократичними зволіканнями, і відповідно небажання витрачати на процедуру час і гроші. Не варто скидати з рахунків і такий варіант, що відсутність сертифікату може пояснюватися дійсним невідповідністю продуктів сертифікаційним стандартам, зокрема, з причини недеклароване можливостей, що представляють собою реальну загрозу інформаційних ресурсів та систем.


Багато учасників ринку вважають таку ситуацію неприпустимою – наприклад, “Лабораторія Касперського”: “Сказати відверто, мені незрозуміла позиція тих з них, хто замість проходження нормативним актам країни оголошують сертифікацію засобом конкурентної боротьби, неринковим методом. На мій погляд, подібний підхід, щонайменше, неповага до законів держави, в якому виробник розвиває свій бізнес. До слова, “Лабораторія Касперського”, приходячи на ринки інших країн, завжди діє легітимно, сертифікуючи продукти там, де це вимагає “, обурюється Кондаков.


Вельми серйозно ставляться до сертифікації і інші вітчизняні компанії. Так, Юрій Наха зазначив, що “ЗАТ” Аладдін Р.Д. “приділяє багато уваги сертифікації ЗЗІ власної розробки, так в даний час проводяться сертифіковані засоби захисту інформації (електронні ключі eToken, продукти лінійки Secret Disk, в даний час завершується сертифікація системи контентної фільтрації eSafe для очищення поштового і інтернет-трафіку від шкідливого коду та спаму) “. Таким чином, говорить Наха, зазначені сертифіковані продукти активно купуються і впроваджуються в свої системи держорганами.


Повернемося до ситуації, що склалася навколо тендеру на поставку антивірусного рішення в ФНС. Ситуація широкого обговорювалася в ЗМІ, і бажаючі без зусиль зможуть знайти пов’язані з нею подробиці. Нас же зараз цікавить деталь, що безпосередньо пов’язана з темою матеріалу. Так, центр інформаційної безпеки ФСБ виніс висновок (його копія є в розпорядженні CNews – прим. Ред.) Що використання ПЗ, розробленого компанією ESET, в державних органах є недоцільним по тій причині, що воно не володіє відповідним сертифікатом. .


Андрій Албітов, глава представництва ESET в Росії, так прокоментував звинувачення на адресу продуктів компанії: “Антивірусне програмне забезпечення компанії ESET володіє сертифікатом ФСТЕК РФ, який підтверджує можливість використання даного ПЗ на підприємствах, зобов’язаних застосовувати тільки сертифіковані програмні продукти “. Але в конкурсі на поставку антивірусних засобів для потреб Федеральної податкової служби Росії від антивірусного ПЗ не потрібно наявності зазначених сертифікатів, тому ні про яке порушення закону, в будь-якому випадку, мова йти в принципі не може, підкреслює представник ESET.


У “Лабораторії Касперського” ж дотримуються іншої думки. Гаррі Кондаков заперечує Андрію Албітову: “Дивно, що керівникові російського ESET невідомо про існування 102-ї статті Податкового Кодексу РФ. Там чорним по білому написано, що є податкова таємниця, яка є інформацією обмеженого доступу, тобто конфіденційною. У пункті ж 3 статті 80 Податкового Кодексу також прямо передбачено, що податкові органи працюють з відомостями, що становлять державну таємницю. Порядок встановлено статтею 16 Закону “Про держтаємницю”. Крім того, насилу віриться, що пану Албітову невідомо про наявність в продуктах компанії ESET несертифікованих засобів криптографії, які, за російським законодавством, не можна постачати до органів державної влади “.


Що ж до сертифіката ФСТЕК РФ, яким володіє продукція ESET, говорить Кондаков, то хотілося б розставити всі крапки над i. Даний сертифікат достатній для продажу фізичним особам та комерційним організаціям. Очевидно, що ФНС РФ потрапляє під іншу категорію, категорію органів державної влади, що передбачає поставку засобів захисту інформації мінімум четвертого рівня контролю. Таких сертифікатів у продуктів ESET немає. Фахівцям це очевидно, проте людей не обізнаних наявність сертифіката ФСТЕК і подібна підміна понять, яку, не соромлячись, демонструють керівники ESET, може ввести в оману.


У ФНС і ФСБ на момент публікації матеріалу не змогли надати коментарі.

Дмитро Антиномії / CNews

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*