Сертификация программ: мифы и реальность

Во всем мире сегодня практикуется тестирование кода информационных систем по требованиям безопасности информации, однако, несмотря на расширение практики сертификации, вокруг нее сложился ряд мифов и заблуждений.

Алексей Марков, Валентин Цирлов

Для сертификации средств антивирусной защиты, средств обнаружения вторжений, систем предотвращения утечек данных и т. д. в схеме сертификации средств защиты информации ФСТЭК России существовал определенный порядок проведения испытаний — сертификация подобных продуктов до последнего времени проводилась на соответствие «Техническим условиям», что по сути означало полную недетерминированность процесса: поскольку требования к составу функциональных возможностей нигде не были формализованы, то под определение сертифицированного продукта одного и того же типа могли подпасть решения принципиально различных уровней.

Данная ситуация требовала пересмотра нормативной базы, поэтому для профессиональных участников рынка не стало неожиданностью принятие ФСТЭК требований к системам обнаружения вторжений (СОВ). Этот документ вступил в силу 15 марта 2012 года и имеет пометку «для служебного пользования», однако методические документы «Профили защиты» СОВ, предназначенные для защиты информации, не содержащей сведений, составляющих государственную тайну, доступны на официальном сайте ФСТЭК России.

Обнаружение вторжений: краткая история и обзор

Представьте, что перед вашим домом остановился человек. Он внимательно оглядел окрестности, а затем подошел к двери и повернул ручку, но дверь оказалась запертой. Он подошел к ближайшему окну и попытался осторожно его открыть, но и окно было закрыто. Так зачем же тогда устанавливать сигнализацию?

Ричард Кеммерер, Джованни Виджна

Под системами обнаружения вторжений в документе понимаются программные и программно-аппаратные технические средства, реализующие функции автоматизированного обнаружения в информационных системах действий, направленных на преднамеренный несанкционированный доступ к информации, а также специальных воздействий на информацию в целях ее добывания, уничтожения, искажения или блокирования. СОВ рассматривается как один из базовых элементов системы защиты информационной системы, и в полном соответствии с общепринятой практикой в документе выделяются два типа систем обнаружения вторжений: системы обнаружения вторжений уровня сети и системы обнаружения вторжений уровня узла.

Для каждого из типов выделяются 6 классов защиты систем обнаружения вторжений в порядке ужесточения требований от шестого к первому. Каждому классу защиты соответствует определенная категория информационных систем:

  • СОВ 6 класса применяются в информационных системах персональных данных 3 и 4 классов;
  • СОВ 5 класса применяются в информационных системах персональных данных 2 класса;
  • СОВ 4 класса применяются в информационных системах персональных данных 1 класса, информационных системах общего пользования 2 класса, а также в государственных информационных системах, в которых обрабатывается информация ограниченного доступа, не содержащая сведений, составляющих государственную тайну;
  • СОВ 3, 2 и 1 классов защиты применяются в информационных системах, в которых обрабатывается информация, содержащая сведения, составляющие государственную тайну.

Наиболее интересной особенностью данного документа является то, что он разработан в соответствии с международной нормативной базой оценки и на основе стандарта ГОСТ Р ИСО/МЭК 15408 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий». Практически аутентичной копией данного стандарта в редакции 2002 года является руководящий документ Гостехкомиссии России «Безопасность информационных технологий. Критерии оценки безопасности информационных технологий. Части 1, 2, 3», по которому сегодня проводятся сертификационные испытания. На рисунке приведена общая схема сертификации изделия по требованиям безопасности информации в соответствии с последним документом.

 

Сертификация систем обнаружения вторжений
Схема сертификации изделия

 

Испытания системы обнаружения вторжений проводятся на соответствие «Заданию по безопасности», которое представляет собой структурированный и строго формализованный документ, включающий подробное описание функциональных требований безопасности (ФТБ) к объекту оценки и среде его функционирования, а также обеспечивающих мер — требований доверия к безопасности (ТДБ). При разработке «Задания по безопасности» можно использовать типовые наборы требований — «Профили защиты». Испытательная лаборатория и орган по сертификации, в свою очередь, при проведении оценки используют различного рода свидетельства — конструкторскую и проектную документацию на изделие, руководства пользователя и администратора, корпоративные стандарты, руководства и процедуры, требования к которым также могут быть сформулированы в «Задании по безопасности».

Принятый документ в полной мере определяет требования ко всем 12 возможным классам защиты систем обнаружения вторжений, в частности, в документе сформулированы все функциональные требования и требования доверия, которые должны войти в соответствующие «Профили защиты» — и, в дальнейшем, в «Задания по безопасности» на конкретные изделия.

Состав функциональных требований к системам обнаружения вторжений традиционен, но, помимо возможностей по выявлению, анализу и реагированию на те или иные события, предъявляются еще требования к управлению параметрами системы обнаружения вторжений (табл. 1).

 

Сертификация систем обнаружения вторжений
Таблица 1. Функциональные требования безопасности к СОВ 4 класса защиты

 

Из табл. 1 видно, что часть ФТБ сформулирована в явном виде (постфикс «EXT»). Остальные требования разработаны на основе стандартных ФТБ, приведенных во второй части стандарта ГОСТ Р ИСО/МЭК 15408, что демонстрирует сложность восприятия документа.

Большое значение в документе придается мерам доверия. Так, заявитель должен разработать и реализовать значительное количество технологических процедур, обеспечивающих обновление баз решающих правил системы обнаружения вторжений. Например, для систем 4 класса заявителем должны быть разработаны и реализованы следующие процедуры (табл. 2).

 

Сертификация систем обнаружения вторжений
Таблица 2. Основные технологические процедуры обновления баз решающих правил системы обнаружения вторжений 4 класса защиты

 

Безусловный интерес вызывает уточнение стандартных (приведенных в третьей части стандарта ГОСТ Р ИСО/МЭК 15408) требований доверия для обеспечения связи с требованиями по контролю отсутствия недекларированных возможностей, изложенными в руководящем документе Гостехкомиссии России «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации: Классификация по уровню контроля отсутствия недекларированных возможностей». Например, для 4 класса защиты разработчик должен представить реализацию для всех функций безопасности СОВ на уровне исходных текстов всего программного обеспечения, входящего в состав СОВ, а также указать в документации значения контрольных сумм файлов, входящих в состав СОВ. При этом испытательная лаборатория должна сделать независимое заключение о том, что с использованием множества представленных исходных текстов можно получить СОВ, удовлетворяющую ФТБ определенного класса. Данное заключение делается на основе результатов контроля полноты и отсутствия избыточности исходных текстов программного обеспечения системы на уровне файлов — испытательная лаборатория контролирует, что представленные исходные тексты являются необходимыми и достаточными для компиляции исполняемых файлов СОВ.

Важно отметить, что в документе впервые в отечественной практике в явном виде допускается обновление разработчиком баз решающих правил. При этом разработчик ежегодно предоставляет в испытательную лабораторию, проводившую испытания соответствующей системы, подробный отчет обо всех внесенных изменениях и об их возможном влиянии на безопасность системы. Такой подход позволяет значительно ускорить процедуру обновления по сравнению с традиционным, требовавшим в некоторых случаях проведения инспекционного контроля после внесения каждого изменения в изделие.

Также интересно, что в документе регуляторы впервые указали конкретные требования к системам обнаружения вторжений для информационных систем общего пользования, определенных в совместном Приказе ФСБ России и ФСТЭК России № 416/489 «Об утверждении требований о защите информации, содержащейся в информационных системах общего пользования».

Отдельного рассмотрения заслуживает вопрос трудоемкости независимого тестирования при проведении сертификационных испытаний по новым требованиям. Наш анализ показал, что плановая трудоемкость самих проводимых тестов принципиально не изменится по сравнению с традиционным подходом. В то же время жесткая формализация требований к свидетельствам оценки накладывает определенные обязательства на систему менеджмента качества заявителя — перечень документов, которые ему придется разрабатывать и предоставлять для оценки, выглядит достаточно внушительным. Например, для 4 класса защищенности необходимо разработать: задание по безопасности; руководство по установке; функциональную спецификацию; анализ соответствия между всеми смежными парами имеющихся представлений функций безопасности; руководство администратора; руководство пользователя; документ с результатами анализа стойкости функции безопасности; описание процедуры фиксации момента появления нового типа вторжения; описание процедуры выпуска обновления базы сигнатур за заданное время; описание процедуры уведомления об обновлении базы сигнатур; описание процедуры поставки обновления базы сигнатур; описание процедуры контроля целостности обновлений базы решающих правил; описание процедуры представления обновлений для проведения внешнего контроля; методику анализа влияния обновлений на безопасность системы обнаружения вторжений.

***

Принятие требований к системам обнаружения вторжений на базе современного оценочного стандарта является прогрессивным шагом в развитии отечественной нормативной базы. Остается надеяться, что за системами обнаружения вторжений последуют и другие классы средств защиты информации — в первую очередь средства антивирусной защиты.

Александр Барабанов, Алексей Марков (a.markov@npo-echelon.ru), Валентин Цирлов — сотрудники НПО «Эшелон» (Москва).