понедельник, 21 сентября 2009 г.

Осторожно, сертификация!

Ввиду неумолимо приближающегося  01.01.10, операторы ИСПД все сильнее проникаются чувством гражданской ответственности и желанием "получить гарантии или выполнить все необходимые меры, чтобы регуляторы не придрались". Желание понятное и разумное, но толкает оператора в дебри незнакомых ему понятий и отношений. Одно из таких понятий - "сертификация средств защиты информации по требованиям безопасности информации".

Не будем углубляться в физику процесса и остановимся только на одном моменте, который сулит оператору определенные трудности. Не секрет, что ряд требований к ИСПД может быть выполнен средствами операционной системы. Но - вот досада - в соответствии с требованиями постановления правительства №781 используемые средства защиты должны в установленном порядке пройти оценку соответствия. Самый простой вариант, который приходит в голову, - получить сертификат на систему в целом или, на худой конец, сертификаты на уже применяющиеся операционную систему, СУБД, межсетевые экраны. Судя по откликам на форумах, находятся и исполнители, готовые предоставить подобный сертификат.за довольно смешные деньги. Можно ли сертифицировать уже установленный  Windows 2003 Server за 1000 р.? Оказывается, можно, хотя результат может оказаться немножко не тем, на который рассчитывает оператор.

"Cертифицировать" свой дистрибутив Windows стало возможным с тех пор, как появилось "сертифицированное производство" некоторых версий этой операционной системы. Не вдаваясь в подробности, сертифицированное производство можно охарактеризовать так: заявитель подтверждает соответствие некоторого эталонного дистрибутива заявленным требованиям, подтверждает надежность процесса тиражирования этого дистрибутива, и, в результате, действие сертификата распространяется на все тиражируемые в рамках этого процесса копии эталона.

Никогда не задавался этим вопросом, но вполне допускаю, что все русскоязычные дистрибутивы коробочного Windows 2003 Server одинаковы. Во всяком случае, если  "оператор" сертифицированного производства убедится, что "сторонний" дистрибутив идентичен эталонному, он вполне может выдать на этот дистрибутив сертификат. Это вполне укладывается в схему сертифицированного производства, опубликованную Microsoft.

Ну и, конечно, всегда остается более дорогой вариант "легализации" ОС в виде покупки сертифицированной коробки.

Итак, вы стали обладателем сертифицированной коробочной версии Windows 2003 Server. И тут перед вами в полный рост встают три вопроса:

  1. Коробочная ли версия стоит на вашем сервере?
  2. Та ли коробочная версия стоит на вашем сервере?
  3. Действительно ли инсталлированная Windows является сертифицированной?
Коробочные версии ставят довольно редко - гораздо чаще сервер покупают с предустановленной OEM. И если все коробочные дистрибутивы одинаковы, то по лицензии ОЕМ дистрибьютор вправе кастомизировать сборку, добавляя в нее собственные драйверы, логотипы, патчи и т.п. В этом случае добытый вами сертификат не будет иметь никакого отношения к ОС, установленной на сервере, а благодаря "добавкам" от дистрибьютора OEMную инсталляцию несложно отличить от коробочной.

Вторая проблема возникает тогда, когда на сервере стоит версия с одинм лицензионным ключом, а вы отдельно приобрели сертифицированную коробку. Если подходить к вопросу совсем формально, инсталляция считается "правильной" только в том случае, если она произведена не только с "правильного" дистрибутива, но и с использованием соответствующего именно ему лицензионного ключа. Это принципиальная позиция, поскольку функционал продукта может изменяться при изменении лицензионного ключа. Лицензионные ключи хранятся в установленной ОС в обратимом виде, так что проверить, тот ли ключ использовался при инсталляции несложно  (достаточно погуглить проблему установки Windows XP Service Pack 2 или 3, уже не помню). К счастью, этот ключ так же легко меняется, так что главное - не забыть это сделать.

Треться проблема - самая серьезная, и связана она с темой фиксации, которую не так давно поднял коллега swan. Было время, когда сертификат привязывался к дистрибутиву - пользователю достаточно было иметь на руках диск с голограммой и контрольными суммами, указанными в формуляре. Но прогресс не стоит на месте, и теперь при сертификации испытательная лаборатория, как правило, снимает контрольные суммы с инсталлированного софта. О том, как быть с переменной частью, swan, как действующий практик, расскажет лучше меня, важно лишь помнить: софт считается сертифицированным только в том случае, если вы накатили на его инсталляцию ровно те обновления, которые накатила на своем стенде испытательная лаборатория. И проблема даже не в том, что вы должны устанавливать все патчи, проверенные испытательной лабораторией (за принуждение к установке security updates я бы изобретателю этой схемы памятник при жизни поставил), а в том, что вы не вправе поставить на систему ни один патч кроме проверенных.

Так что обзавестись заветной бумагой - это всего лишь половина дела: нужно еще предпринять некоторые усилия, чтобы этот сертификат можно было бы признать относящимся к вашей системе. Как показывает практика - не все об этом знают. К моему лично сожалению.

4 коммент.:

swan 22 сентября 2009 г., 8:07  

Все это верно... есть конечно особенности. Но меня пугает более простой вопрос...
На соответствие ЧЕМУ сертифицированы отмеченные в статье ОС ?
Предположим что система защиты информации с гипотетическим классом "1" ДОЛЖНА выполнять 25 функций защиты.
Вы разработали Изделие которое выполняет 5 из этих 25 функций защиты и представляете это Изделие на сертификацию.
Вы получаете сертификат соответствия в котором написано, что Ваше Изделие можно использовать в системах защиты класса "1".
ВАЖНО: не выполняет все 25 а может как компонент выполнять часть функций.
По аналогии получены сертификаты на ОС Windows - она выполняет какие то функции защиты (какие - читаем в Задании по безопасности)... Но достаточно ли их для выполнения ВСЕХ требований по защите ?!

Раз уж речь о 152 ФЗ "и сыновья" Возьмите требования для класса "К2" и сравните с тем, что реализовано в сертифицированной ОС...

С Сертификацией нужно быть очень осторожным... Наличие Сертификата соответствия - это только нитка, за которую необходимо разматывать клубок.

malotavr 22 сентября 2009 г., 8:44  

О, да, это отдельная песня.

В нежно любимом мною ISO 15408 есть волшебные слова про "взаимную поддержку функций безопасности" объекта оценки и среды. Только вот нет критериев оценки - есть там взаимная поддержка или ее нет ни фига :)

swan 22 сентября 2009 г., 9:18  

1. iso хорош но...
2. Требования то у нас ступенчатые и конкретные... РД АС СВТ и т.п. никто не отменял.
3. Все бы хорошо когда СЗИ вся прошла по 15408 но когда часть... как эту часть соединить с другими по РД СВТ или РД АС в СЗИ ?
4. при этом см. п. 1 ))

Анонимный 3 января 2010 г., 20:00  

Какая познавательная статья вышла! Респект автору! :)

  © Blogger template 'Solitude' by Ourblogtemplates.com 2008

Back to TOP