Пн | Вт | Ср | Чт | Пт | Сб | Вс |
1 | 2 | 3 | 4 | 5 | 6 | 7 |
8 | 9 | 10 | 11 | 12 | 13 | 14 |
15 | 16 | 17 | 18 | 19 | 20 | 21 |
22 | 23 | 24 | 25 | 26 | 27 | 28 |
29 | 30 | 31 | 1 | 2 | 3 | 4 |
Любое программное обеспечение, работающее с конфиденциальной информацией, должно иметь определённый уровень защиты от несанкционированного доступа к этой информации. В самом коде продукта не должно быть «тёмных мест». Официально это называется недекларированные возможности – не описанные возможности программы, которыми могут воспользоваться потенциальные злоумышленники. У каждого производителя ПО, российского и зарубежного – собственные требования к безопасности их продукта. Понятно, что никто не будет делать «дырявую» систему. Но так или иначе на рынке софта нужны общие для всех правила игры. Особенно там, где речь идёт о «чувствительных» данных.
На российском рынке средств защиты информации общие для всех правила игры устанавливает Федеральная служба по техническому и экспортному контролю (ФСТЭК России). В своих документах ведомство делит весь софт, работающий с конфиденциальной информацией, на группы – уровни доверия, а также описывает свойства, которыми должен обладать продукт того или иного уровня. В зависимости от уровня тот или иной продукт может быть допущен для работы с гостайной или с данными обычного предприятия либо учреждения.
Самый низкий уровень – шестой, самый высокий – первый. Средства защиты информации, соответствующие первому, второму и третьему уровням доверия, применяются в работе со сведениями, составляющими государственную тайну.
Средства защиты информации, соответствующие четвертому, пятому и шестому уровням доверия, применяются в значимых объектах критической информационной инфраструктуры, в государственных информационных системах, в автоматизированных системах управления производственными и технологическими процессами, в информационных системах персональных данных, соответственно 1, 2 или 3 уровня защищенности.
До 2019 года для сертификации ФСТЭК производители и вендоры пользовались «Руководящим документом «Защита от несанкционированного доступа к информации», изданным ещё в 1999 году. Если говорить максимально упрощённо: старые требования описывали то, чего в надёжном продукте быть не должно.
Новые, кроме этого, описывают, как следует разрабатывать и поддерживать свой продукт. Например, сотрудниками должны быть подписаны все регламенты о порядке действий в случае обнаружения проблем, о порядке действий в случае обнаружения потенциальных уязвимостей, о порядке работы с заказчиками и в случае обнаружения уязвимостей ими. Должен проводиться статический, динамический анализ кода, использоваться софт для контроля версий, единые замкнутые среды компиляции и т.д. Новые требования предполагают, что на уровне процесса вредоносный код будет невозможно внести даже умышленно.
Сертификация добровольная. Но для предприятия, которое хочет работать с государственными структурами, наличие сертификата ФСТЭК является фактически пропуском к заказам. У министерства обороны система сертификации своя, но опирается она на регламенты ФСТЭК. Для сертификации по первым трём уровням доверия (для работы с гостайной) разработчику или вендору нужно предоставить для анализа исходный код продукта. Этот пункт при обсуждении нового регламента в СМИ вызвал наибольшую полемику, хотя подобное требование действовало и раньше.
Максимальный срок – 5 лет. При этом новые правила допускают, что продукт можно использовать и после этого срока, если производитель или вендор обеспечат поддержку продукта в соответствии с уровнем.
Первоначально регулятор собирался завершить процесс сертификации к 1 января 2020 года. Однако затем срок был продлён до 1 июня. По словам представителей ФСТЭК после этой даты действие всех непереоформленных сертификатов будет приостановлено. У производителей и поставщиков софта останется три месяца чтобы подать заявку на переоформление, иначе сертификат будет отозван окончательно. На сегодняшний день дополнительных разъяснений регулятор не дал. Эксперты связывают ситуацию с пандемией коронавируса и вынужденным снижением деловой активности IT-рынка.
По задумке ФСТЭК, новые правила должны быть полезны прежде всего конечному потребителю, который будет строить доверенную систему – максимально защищённую от внешних воздействий и внутренних возможных проблем. На первый взгляд, прописанные требования к разработке абсолютно естественны и разумны. Любой уважающий себя разработчик будет следовать тем же принципам, особенно при разработке средств защиты информации. С другой стороны, такая сертификация – по сути дела добровольное заявление производителя, подтвержденное государством о том, что и процесс разработки, и сам продукт разработки – максимально надёжны и безопасны.
СУБД ЛИНТЕР БАСТИОН сейчас проходит процесс сертификации на соответствие новым требованиям ФСТЭК. Работы находятся на завершающем этапе. ЛИНТЕР БАСТИОН сертифицирована ФСТЭК по 2 классу НСД и 2 уровню НДВ. Это позволяет создавать автоматизированные системы с классом защищенности 1Б и работать со сведениями, составляющими гостайну.