Защита информации - одна из серьезных забот разработчиков и пользователей ИС. В нашей стране исторически сложилось так, что главное - наличие государственного сертификата на эти самые средства защиты. Поэтому все больше российских компаний-интеграторов проявляют инициативу для получения от ГосТехкомиссии РФ документального подтверждения степени защищенности продуктов, чаще всего, для собственных. Однако, в последнее время российский сертификат защищенности присваивается продуктам зарубежного происхождения.
Летом было «громко» объявлено о сертификации маршрутизаторов Bay Networks и известного межсетевого экрана AltaVista Firewall компании Digital Equipment. Кроме того, в компьютерной прессе прозвучало, что вскоре круг избранных должна пополнить и фирма Cisco Systems. Имена других зарубежных разработчиков, готовых предоставить свои продукты для сертификации в ГосТехкомиссии РФ, пока неизвестны. Тем не менее очевидно: такой документ будет способствовать завоеванию российского рынка, что несомненно, приведет в отечественные испытательные центры еще многих.
Российская компания Jet Infosystems уже имеет сертификат ГосТехкомиссии РФ на свой межсетевой экран «Застава Джет», который удостоверяет, что единичный экземпляр комплекса соответствует 2 классу защищенности (см.: Сети,1998, № 3, с. 136). Реализуя свои стратегические планы по сертификации сетевых систем, Jet Infosystems получила еще один документ. Этот сертификат подтверждает соответствие программно-аппаратного комплекса на базе маршрутизаторов Bay Networks требованиям 4 класса защищенности согласно Руководящему документу(РД) «Средства вычислительной техники. Межсетевые экраны. Показатели защищенности от несанкционированного доступа к информации» (1997 г.). Сертификат на единичный экземпляр получили три маршрутизатора - Advanced Remote Node (ARN), Access Stack Node 2 (ASN2) и BackBone Node (BN).
Задача получения более высокого класса безопасности не ставилась по ряду причин. Одна из них - «рыночная», и ее истоки - в соответствующих требованиях заказчиков. Другая объясняется отсутствием исходных кодов ПО, предоставлять которые российским институтам Bay Networks не намерена. (Как пояснил начальник управления ГосТехкомиссии РФ г-н Вирковский, исходные коды ПО, под управлением которого работает устройство, необходимы для подтверждения невозможности выполнения этим устройством недекларируемых действий и являются условием получения более высокого класса защищенности). Тем не менее наличие сертификата 4 класса позволяет Jet Infosystems гарантировать заказчикам соответствующую степень безопасности работы в сети, а при необходимости - дополнительно усиливать ее с помощью средств защиты «Застава Джет».
Российская компания-интегратор «Анкей», которая специализируется в области разработки и построения крупных защищенных ИС, стала инициатором проведения сертификации межсетевого экрана AltaVista Firewall, выпускаемого Digital, (по российским законам отделение американской компании не имеет права заниматься сертификацией на территории России, поэтому подготовку и создание конфигурации для тестирования проводила фирма «Анкей»). В результате испытаний ГосТехкомиссия РФ признала данные средства защиты (единичный экземпляр) соответствующими требованиям для 3 класса защищенности (согласно РД).
На сертификацию был предъявлен программно-аппаратный комплекс с установленным на нем ПО AltaVista Firewall для трех конфигураций: ПК с процессором Alpha и ОС Digital Unix, ПК с процессором Alpha и ОС Windows NT, а также ПК на базе Intel и ОС Windows NT. При этом Digital тоже не предоставляла программных кодов, но продукту был присвоен более высокий класс защищенности, чем маршрутизаторам Bay Networks. Факт интересный. Тщательное изучение РД показывает, что требования к 4 и 3 классам защищенности различаются, главным образом, в части управления доступом, регистрации и администрирования. Безусловно, ПО AltaVista, обеспечивающее фильтрацию запросов на прикладном уровне и препятствующее доступу неидентифицированного субъекта, имеет более высокую степень защищенности, чем маршрутизаторы, которые поддерживают фильтрацию пакетов на транспортном уровне и условно-постоянный пароль доступа. Тем не менее от представителей ГосТехкомиссии не удалось получить конкретных разъяснений о степени важности тех или иных требований к представляемому на испытание продукту, как не удалось и обнаружить в РД требования, относящиеся к показателю «нерегламентированные возможности».
Стремление компании-интегратора обладать «гербовой бумагой», подтверждающей защитные качества применяемых продуктов вполне понятно. Не очень ясно другое. Почему последняя публикация РД относится к лету 1997 г. и до сих пор нет печатного документа с полным перечнем требований по классам защищенности, которым должен удовлетворять подвергающийся сертификации продукт? Хотелось бы, чтобы перечень содержал такие «мелочи», как обязательность поставки исходного кода или характеристики средств контроля за целостностью программно-аппаратной части (вместо туманной фразы о необходимости обеспечения подобных средств «вообще»). А может быть, именно это и составляет сегодня государственную тайну?