Алексей Лукацкий — бизнес-консультант по безопасности Cisco; alukatsk@cisco.com |
Рассмотрим влияние на состояние информационной безопасности в России избыточного количества регуляторов, невыполнимых требований по сертификации и требования обязательного получения лицензий в области ИБ.
Регуляторы в области Информационной безопасности
Ни в одной стране мира нет такого количества регуляторов в области ИБ, как в России. У нас их шесть: Федеральная служба по техническому и экспортному контролю, Федеральная служба безопасности, Министерство обороны, Служба внешней разведки, Федеральная служба охраны и Министерство связи и массовых коммуникаций.
И это еще не все. На подходе новый официальный регулятор — Банк России. Согласно проекту закона «О национальной платежной системе», внесенного в Госдуму 15 ноября 2010 года, «субъекты национальной платежной системы обязаны обеспечивать защиту информации при осуществлении переводов денежных средств в соответствии с требованиями, установленными Банком России». А ведь есть еще международные (PCI DSS Council, Visa, MasterCard), отраслевые (Газпром) регуляторы и появляющиеся в области ИТ/ИБ саморегулируемые организации. На этом поприще также замечены Совет безопасности, Ростехрегулирование и ряд других.
Каждый из них действует в своей сфере компетенции, описанной законодательством. Если, например, мы все знаем, что ФСБ «отвечает» за криптографию, а ФСТЭК — за все остальное (межсетевые экраны, антивирусы, системы предотвращения вторжений и т. п.), то мало кто знает, что за защиту информации (и не только гостайну) в загранучреждениях отвечает Служба внешней разведки, а Федеральная служба охраны отвечает не только за спецсвязь, но и за «поддержание и развитие сегмента международной компьютерной сети Интернет для федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации», а также за безопасность системы межведомственного электронного документооборота. Даже в отношении «известных» регуляторов для многих специалистов по безопасности остается немало белых пятен. Например, немногие знают, что ФСБ в последнее время «замахнулась» и на смежные с криптографией «поляны». Согласно совместному приказу ФСТЭК и ФСБ № 416/489 «Об утверждении Требований о защите информации, содержащейся в информационных системах общего пользования», именно ФСБ, а не ФСТЭК отвечает за защиту государственных органов и именно она устанавливает требования к межсетевым экранам, антивирусам, системам предотвращения вторжения и т. п. Но и это не все. По проекту нового приказа ФСБ тематика предотвращения вторжений может «уйти» под данный федеральный орган исполнительной власти и в области защиты персональных данных. А это уже не какие-то несколько тысяч госорганов — это несколько миллионов организаций.
Наличие такого количества регуляторов, сферы деятельности которых часто пересекаются, непрозрачны или могут трактоваться двояко, приводит к тому, что нормативные документы этих органов, содержащие требования (зачастую обязательные) не согласованы между собой, а иногда и противоречат друг другу. Ярким примером законодательного абсурда является документ ФСТЭК под названием «Базовая модель угроз персональным данным», который был выпущен в 2008 году, где до сих пор как действующая операционная система упоминается DOS (максимум Windows 95/98), в качестве носителя информации всерьез рассматривается графическая карта, а блок питания компьютера является источником вирусов.
Другой пример — различные требования ФСТЭК по защите разных видов конфиденциальной информации. Например, для банков вопрос о том, в каком режиме защищать информацию о клиенте — в режиме банковской тайны (по СТО БР ИББС), в режиме персональных данных (по приказу ФСТЭК № 58) или в режиме конфиденциальной информации (по СТР-К), является далеко не праздным. Ситуация должна измениться с выходом «законопроекта Резника» в июле 2011 года, но только для одного из 50 видов тайн — персональных данных.
Система сертификации по требованиям безопасности
Сертификат — это не то, что генерирует Microsoft CA или Cisco IOS CA. И не то, что записывается на токен для дальнейшей аутентификации пользователя. И даже не то, что предъявляет ИТ-специалист при приеме на работу как доказательство своей компетенции. Сертификат — это документ, подтверждающий соответствие того или иного программного или программно-аппаратного средства некоторым требованиям. В частности — требованиям по безопасности. Оценка соответствия — нормальное явление во многих областях, и ИБ здесь не исключение. Существует ISO IEC 15408:2009, специально предназначенный для описания критериев оценки ИТ с точки зрения ИБ. Но это в зарубежной практике... В России все, к сожалению, совсем не так.
Начнем с того, что в России существует не одна, а как минимум четыре системы сертификации средств защиты. Согласно Постановлению Правительства № 608 от 26 июня 1995 года «О сертификации средств защиты информации» собственные системы сертификации существуют у Федеральной службы по техническому и экспортному контролю (регистрационные номера РОСС RU.0001.01БИ00 и РОСС RU.0003.01БИ00), Федеральной службы безопасности (регистрационный номер РОСС RU.0001.030001), Министерства обороны Российской Федерации (регистрационный номер РОСС RU.0001.01ГШ00) и у Службы внешней разведки (регистрационный номер РОСС RU.0001.01СЗ00).
Если вы считаете, что несмотря на наличие этих систем они четко делят сферы ответственности (СВР — для загранучреждений, Минобороны — для военной сферы, ФСБ — для криптографии и высших органов государственной власти, а ФСТЭК — все остальное), то вы ошибаетесь. Например, согласно упомянутому выше приказу ФСТЭК/ФСБ № 416/489 именно ФСБ устанавливает требования по защите систем общего пользования государственных органов, и для их безопасности необходимо использовать антивирусы, межсетевые экраны и системы предотвращения вторжений, сертифицированные не по линии ФСТЭК, а по линии ФСБ.
Но если вы думаете, что это все сюрпризы, то вы опять ошибаетесь. Все эти системы, в соответствии с законодательством о техническом регулировании, являются системами добровольной сертификации. Обязательная сертификация применяется только к средствам защиты государственной тайны, хотя отдельные нормативные акты обязывают вас в ряде случаев (как правило, для государственных органов) применять системы защиты, прошедшие оценку соответствия только в ФСТЭК или ФСБ. Помимо указанных выше четырех систем, к системам добровольной сертификации средств защиты информации также относятся:
• Система добровольной сертификации «Газпромсерт». Она создана ОАО «Газпром» приказом № 10 от 06 февраля 1999 года (регистрационный № РОСС RU.3022.04ГО00 от 17 июля 2000 года). Ориентирована только на Газпром и его дочерние предприятия.
• Система добровольной сертификации «АйТиСертифика». Она создана ЕВРААС (регистрационный номер РОСС RU.М089.04ИТ00). По информации создателей данной системы ее сертификаты признаются ФСТЭК и ФСБ.
• Система добровольной сертификации Ecomex (регистрационный номер РОСС RU.З680.04УЭТ0). Данная система сертификации создана в сентябре 2010 года, в связи с чем широкого распространения пока не получила.
• Система добровольной сертификации «Каскад» (находится в процессе создания).
Помимо проблемы выбора есть и другие непростые для восприятия нормального человека вопросы. Допустим, вы хотите купить лекарство от головной боли. Вы пойдете в аптеку и купите анальгин, аспирин или еще что-нибудь аналогичное. Причем вы будете уверены (если не брать в расчет проблему контрафактных лекарств), что вы покупаете таблетки, прошедшие в установленном порядке оценку соответствия требованиям Минздрава. При этом, сколько бы вы официально ни купили таблеток, вы знаете наверняка, что они все легитимны, или иными словами сертифицированы. И это логично. Тот же подход реализуется и во многих других областях нашей экономики, в которой сертификация осуществляется по наименованию продукции.
Однако в России схемы сертификации средств защиты коренным образом отличаются от схем сертификации, принятых во всем мире. Если обычно сертификат выдается на наименование продукта и неважно, сколько экземпляров продукции было выпущено, то в России сертифицируется каждый экземпляр средства защиты: в сертификате указывается серийный номер изделия, а на само изделие (на «железо» или на компакт-диск) наклеивается специальный защитный знак в виде голограммы. Существует и такой вариант сертификации, как «серийное производство», то есть проведение типовых испытаний образцов продукции на соответствие требованиям по безопасности информации и последующий инспекционный контроль за стабильностью характеристик сертифицированной продукции. Но и в этом случае без голограмм на каждый сертифицированный экземпляр не обходится.
По согласованию с федеральным органом по сертификации могут быть использованы и другие схемы сертификации, включая применяемые в международной практике. Однако на деле такие схемы в России отсутствуют. Большинство отечественных производителей средств защиты используют схему серийного производства, в то время как иностранные производители, как правило, используют схему сертификации единичных экземпляров или партии средств защиты. Срок сертификации по ним составляет от 9 до 12 недель, а стоимость плюсуется к стоимости самого продукта. Связано это с тем, что сертификация серийного производства предусматривает большие объемы продаж, чем могут похвастаться далеко не все зарубежные производители средств защиты (а именно они доминируют на российском рынке).
В отличие от всех остальных направлений экономики, в которых сертификация — это всегда ответственность производителя, в области ИБ все наоборот. Если средства защиты государственной тайны производятся только при наличии сертификата и ответственность за сертификацию лежит на производителе, то в остальных случаях (защита персональных данных, коммерческой тайны, банковской тайны и т. д.) заявителем сертификации может быть как производитель, так и поставщик и даже сам потребитель средств защиты. Однако ответственность за использование несертифицированных средств обеспечения информационной безопасности лежит именно на потребителе. А поскольку системы сертификации по требованиям ИБ в России носят добровольный характер и чрезмерно дороги (до нескольких сотен тысяч долларов на одну продуктовую линейку), то в отношении продуктов иностранного производства заявителем обычно выступает именно пользователь средств защиты. И связано это не с тем, что иностранные компании такие плохие и не хотят тут сертифицировать свои продукты (хотя зачем это делать, если почти все западные вендоры уже сертифицировали свои средства защиты по международным «Общим критериям»), а с тем, что большинство иностранных производителей не ведет в России коммерческой деятельности. Это приводит к невозможности сертификации их систем защиты в России. Ведь чтобы быть заявителем сертифицируемой продукции, нужно быть обладателем прав собственности (не интеллектуальной) на нее. Чтобы это условие выполнялось, необходимо ввозить это оборудование на свое имя. Но если не вести в России коммерческой деятельности, то ввезенное на свое имя оборудование после сертификации будет некуда девать — его нельзя будет продать. Вот и получается, что задача сертификации ложится именно на потребителя. На нем же лежит и административная ответственность за использование несертифицированных средств защиты (ст.13.12 КоАП).
Иными словами, официально купив, например, маршрутизатор Cisco ISR G2 или систему предотвращения вторжений Cisco IPS 4270, вы не можете быть уверены, что купили именно сертифицированный экземпляр. И не потому, что маршрутизаторы или межсетевые экраны этой компании не сертифицированы, а потому, что вы не поставили такого условия при покупке или организации конкурса/тендера/аукциона. И даже больше: имея перед глазами десять абсолютно одинаковых систем Cisco ASA 5585-X (выпущенных в один день с одного завода и имеющих одинаковые контрольные суммы ПО), вы можете столкнуться с тем, что девять из них будут сертифицированы, а одна — нет. А все только потому, что на девяти наклеена голограмма, а на одной — нет.
Но проблемы с сертификацией на этом не заканчиваются. Согласно нормативной базе требования по оценке соответствия у нас существуют для межсетевых экранов (ФСТЭК и ФСБ), антивирусов (ФСТЭК и ФСБ), систем предотвращения вторжений (ФСБ), сетевого оборудования (ФСБ), средств защиты от несанкционированного доступа (ФСТЭК), средств криптографической защиты (ФСБ), удостоверяющих центров (ФСБ), BIOS (ФСБ).
Требований нет ни для сканеров безопасности (кроме эпизодических упоминаний), ни для средств контроля утечек информации, ни для средств управления и мониторинга ИБ. А уж про требования по безопасности прикладных систем и речи не идет. Сейчас находится в процессе создания нормативный акт по безопасности виртуализированных сред, но не по инициативе регулятора, и когда эта работа будет завершена, не совсем понятно. По безопасности же облачных технологий регуляторы прямо заявляют, что планов разработки нормативной базы у них нет. И это несмотря на то, что государство берет курс на активное использование облаков в госорганах.
Отдельно хочется сказать о требованиях по отсутствию недекларированных возможностей (читай — закладок), которые есть как у ФСТЭК, так и у ФСБ. Данная сертификация требует предоставления исходных кодов продуктов. Но это нереализуемое на практике требование. И дело даже не в том, что у регуляторов просто отсутствует достаточное количество квалифицированных специалистов для проверки огромных объемов исходников. Проблема в другом — западные вендоры не горят желанием отдавать исходные коды в Россию. Опасения вызывает уровень коррупции, безответственность российских чиновников, а также потенциальный риск случайной утечки интеллектуальной собственности в одно из множеств созданных в рамках государственной программы «Информационное общество (2012–2020)» инновационных предприятий, создающих отечественные ИТ. А ведь проверка исходных кодов в принципе не позволяет найти закладку — это было доказано математически много лет назад.
Что в итоге? Неутешительные выводы: регуляторов много, их требования неочевидны, непонятны или невыполнимы, а еще ведь существует и требование наличия лицензии, влекущее за собой ряд неприятных рисков. Как в таких условиях эффективно сосуществовать ИТ и ИБ?..