ГлавнаяНовостиСтатьиКаталогВендорыСтандартыОбучениеКонтакты  +7 (495) 231-4831    © 


[ Список статей ] ...


WatchGuard Technoligies. Новые возможности сервисов Network Discovery и Mobile Security позволили WatchGuard значительно увеличить "Прозрачность" cети

С-Терра СиЭсПи. Защита удаленного доступа. Доверенный сеанс связи

CNews. Fortinet включает защиту уровней доступа в систему обеспечения ИБ

CNews. ИТ-подразделениям всё труднее контролировать корпоративные данные в «облаке»

Jammer.ru. Apple следит за своими поль-зователями через Yosemite

Lenta.ru. Разоблачение «Корпорации добра»

Securelist. Доставка от спамеров: опасность гарантирована

Lenta.ru. Интернет-Мерфи

3DNews. Сноуден как повод

Компьютерра. Plug&Pray: скрытая атака через USB

SecurityLab. Как я взломал роутер

Securelist. Дыры в защите корпоративной сети: облачные сервисы

Андрей Козенко, Султан Сулейманов. «Не понимают, как работает интернет»

Евгений Царев. Впечатление от PHDays 2013 или кто заказчик кибербезопасности в России?

Олег Парамонов. Десять страхов: крах интернета, Big Data, утрата знаний и другие вещи, которые пугают учёных и футурологов

Brian Donohue. Альтернативные браузеры с улучшенной защитой

Бёрд Киви. Специалисты предупреждают...

Андрей Шуклин. Big Data: новый рынок, новые перспективы

Luis Corrons. Twitter, Facebook, Apple, Microsoft… кто следующий?

Антон Носик. Лохотрон в зоне .рф

Cio.com (перевод — Елена Фирсова). Самые опасные работы в области технологий

 Хайрук Сергей 

  

Проверка на зрелость: сертификация средств антивирусной защиты


  Разобраться в хитросплетениях отечественного законодательства о персональных данных и о средствах их защиты непросто, а понять, как строятся отношения заинтересованных сторон – регуляторов и игроков антивирусного рынка – непросто вдвойне. Потому любой анализ, посвященный этой теме, обречен быть объемным. И, как в любом объемном документе, здесь будет уместно небольшое лирическое отступление.

  Любая аттестация, будь то проверка знаний после пройденного школьного курса или процедура сертификации антивирусных программ в Федеральной службе по техническому и экспортному контролю (ФСТЭК) – это своего рода «отделение овец от козлищ». Кто-то остается на этом берегу, со справкой и сомнительными перспективами получить диплом вуза, а кому-то открываются новые перспективы. О перспективах для антивирусных компаний и для пользователей их продуктов и пойдет речь далее.

Dura lex…

  Разработчики защитного ПО вряд ли могут пожаловаться на отсутствие внимания к их деятельности. Этому способствуют и традиционно непростые отношения самих вендоров, и ажиотаж среди заказчиков, вызванный положениями законодательства о персональных данных.

  Напомним, что согласно ст. 25 ФЗ № 152 «О персональных данных» к 1 января 2010 года «информационные системы персональных данных… должны быть приведены в соответствие с требованиями настоящего Федерального закона…». Ст. 19 ФЗ № 152 обязывает операторов персональных данных обеспечить защиту данных от неправомерного доступа, уничтожения, копирования и пр. Персональные данные, к слову, это любая информация о человеке, в том числе обезличенная. Иными словами, все юридические и физические лица, хоть раз имевшие дело с паспортными данными некоего человека (обработка персональных данных – пп. 2-3 ст. 3 ФЗ № 152), теоретически могут относиться к операторам персональных данных, со всеми вытекающими обязательствами.

  Этот же закон определяет, что требования к обеспечению безопасности персональных данных будет устанавливать Правительство РФ. Соответствующее положение Правительства за № 781 «Об обеспечении безопасности персональных данных…» увидело свет 17 ноября 2007 года. Именно это положение (ст. 2) определяет признаки «средства защиты информации», что позволяет в дальнейшем рассматривать как СЗИ средства антивирусной защиты. Это же положение оставляет за ФСТЭК и ФСБ право делать заключение о соответствии СЗИ требованиям законодательства.

  И все было бы замечательно, если бы свод правовых норм по данному вопросу не имел лакун и внутренних противоречий, что порождает множество коллизий юридического и технического характера.

Conditio sine qua non

  21 октября 2009 года российское представительство ESET (разработчик антивируса ESET NOD32 - 20% антивирусного рынка России по данным портала Anti-Malware.ru) отчиталось о получении сертификата ФСТЭК (№1914), подтверждающего соответствие продукта требованиям руководящего документа «Защита от несанкционированного доступа…» по 4 уровню контроля. Для того, чтобы пройти сертификацию, в ESET решились на открытие исходного кода и внесение ряда изменений. Вся процедура заняла более 6 месяцев и обошлась компании, по словам руководителя российского ESET Андрея Албитова, очень недешево.

  В официальном сообщении ESET указывается, что ESET NOD32 является единственным антивирусным продуктом, который может использоваться в системах обработки персональных данных до 1 класса включительно (К1). То есть антивирусное решение ESET можно применять для защиты персональных данных 1 категории (информация о расовой, национальной принадлежности, политических взглядах и пр.) фактически без ограничения количества субъектов персональных данных в системе. (Категории персональных данных определяются приказом ФСТЭК, ФСБ и Минкомсвязи «Об утверждении порядка проведения классификации информационных систем персональных данных» от 13 февраля 2008 года N 55/86/20. Понятие «Специальные категории персональных данных», к которым относятся данные о расовой принадлежности, политических взглядах и проч., закрепляет ст. 10 ФЗ № 152).

  В сертификате ESET явно указан класс защищенности информационных систем – 1Г. Это один из пяти классов первого уровня защиты (высший – 1А), который соответствует многопользовательским автоматизированным системам с одновременной обработкой и хранением информации разных уровней конфиденциальности.

  С получением сертификата в компании связывают большие надежды. «Сегодня только организации, выбравшие продукты ESET, могут быть уверены в законности используемой антивирусной защиты», — говорит Андрей Албитов. Но коренного передела рынка, по его мнению, ждать не стоит в силу того, что российские вендоры («Лаборатория Касперского» и «Доктор Веб» - 54% российского рынка на двоих, по данным Anti-Malware.ru) легко получат подобные сертификаты.

  Представители ESET отмечают, что проблемы с получением сертификата могут возникнуть у зарубежных производителей антивирусного ПО. Анна Александрова, директор по маркетингу ESET, назвала сертификаты, имеющиеся сегодня у других игроков рынка, «недостаточными» для обеспечения защиты персональных данных высшей категории. В ESET особо отмечают, что все 7 млн. компаний, зарегистрированных в России, работают с персональными данными высшей категории, следовательно «ESET NOD32 — пока единственный антивирусный продукт, который позволяет привести подсистему антивирусной защиты организации в соответствие с требованиями закона ФЗ № 152». По мнению ESET, это обстоятельство способно спровоцировать волну миграций с несертифицированных продуктов западных и российских вендоров.

  Данное заявление вызвало бурю протеста со стороны главного конкурента компании ESET. Сергей Земков, управляющий директор «Лаборатории Касперского» в России и странах Закавказья, попытался найти злой умысел в действиях коллег по цеху: «…нас удивила информация о том, что продукт данной компании (ESET) теперь является «уникальным решением на российском рынке». Заявления такого рода свидетельствуют либо о незнании представителями «Исет» законов РФ, либо о желании дезинформировать пользователей».

  В сообщении «Лаборатории Касперского» отмечается, что «процедура оценки соответствия не изменилась... Согласно постановлению Правительства РФ №781 от 17.11.2007, производители систем защиты информации обязаны пройти процедуру соответствия ранее установленным требованиям, которые были прописаны руководящим документом ФСТЭК. А в нем идет речь все о той же сертификации по НДВ…».

  Действительно, сертификат, выданный ESET, подтверждает соответствие антивирусного продукта ESET требованиям руководящего документа «Защита от несанкционированного доступа…» (Гостехкомиссия России, 1999 год) по 4 уровню контроля, в то время, как «Лаборатория Касперского» еще в мае 2007 года сертифицировала продукты на 3 уровень контроля (допускается использование при защите информации с грифом «секретно»). Справедливости ради заметим, что в сертификатах, выданных «Лаборатории Касперского», ни слова не говорится о категориях персональных данных и классе защищенности систем, что странно, поскольку впервые в реестре ФСТЭК информация о сертификации для 1 категории персональных данных продукта компании «Информзащита» появилась еще в апреле 2006 года.

Quod licet Jovi…

  Вообще с сертификацией антивирусных решений все очень непросто. На сегодняшний день сертификаты ФСТЭК получили продукты компаний «Доктор Веб», «Лаборатории Касперского», ESET, Sophos, Trend Micro, Microsoft. Третий уровень контроля отсутствия НДВ есть только у ЛК и «Доктор Веб», а вот первую категорию персональных данных получил также белорусский антивирус «VBA32» - разработка компании «ВирусБлокАда». Правда, в тексте этого сертификата (за № 1671) данный факт не нашел отражения.

  Есть еще одно немаловажное обстоятельство — сертификация программных продуктов возможна только при «замораживании» определенной сборки. Если ФСТЭК дает заключение о соответствии, это касается конкретного релиза, состояния продукта на конкретную дату. Так сертификат, выданный ESET, распространяется на специальный комплект ESET NOD32 Platinum Pack 4.0, включающий версии Антивируса ESET NOD32 и ESET NOD32 Smart Security для корпоративных пользователей, а также программные продукты ESET для защиты файловых серверов Linux, BSD и Solaris.

  «В ходе процедуры сертификации программного продукта фиксируются контрольные суммы, ни один модуль программы с этого времени не может быть изменен, - комментирует Михаил Никулин, директор департамента тестирования и сертификации ЗАО «НПО «Эшелон». – Начиная с даты сертификации, все обновления ядра продукта также должны проходить проверку на соответствие». На практике это означает, что антивирусные компании должны либо сертифицировать все свои обновления, либо поставлять клиентам «эталонные» сборки продуктов для «пожарной» установки сертифицированной сборки в случае, например, ожидающейся проверки.

  «Когда мы говорим об обновлении антивирусного продукта, мы разделяем понятия обновление ядра и обновление сигнатурных баз. Если обновляются только сигнатурные базы, но ядро программы не затрагивается, мы имеем дело с проверенным испытательными лабораториями сертифицированным продуктом», - заявил Григорий Васильев, технический директор ESET.

  Но вот незадача – это по сути означает, что сертифицированный продукт изначально будет работать с меньшей эффективностью. Практически все антивирусные вендоры в один голос заявляют, что сигнатурный метод детектирования давно устарел. В то же время предлагается оставить ядро антивируса «как есть», и бороться с новыми угрозами исключительно методом обновления сигнатурных баз.

  Впрочем, специалисты указывают на известную истину о строгости российских законов, которая с лихвой компенсируется необязательностью их исполнения. Закон, например, не определяет минимальный набор данных, позволяющий идентифицировать субъекта, что дает операторам персональных данных широкие возможности для оспаривания решений проверяющих органов в суде. Действительно, обезличенные и общедоступные данные можно не защищать, остается доказать, что система оперирует именно этим классом данных. Очевидно, что и с сертификацией обновлений «возможны варианты» - либо будет использоваться сертифицированная сборка на устаревшем ядре (в случае с ESET, например, сертифицирован релиз продукта по состоянию на апрель 2009 года) на эталонном ПК - исключительно для проверяющих, либо доказательством «правильной» системы будет служить наличие документов с печатями соответствующих органов. К самим ПК проверяющих не пустят.

  Ситуация с приведением информационных систем, связанных с обработкой персональных данных, в «соответствие с требованиями», мягче всего характеризуется словом «растерянность». По мнению экспертов, абсолютное большинство операторов персональных данных – от 70 до 90% - просто не успеют выполнить требования федерального законодательства. Несколько выше этот процент «в банковской, страховой и нефтегазовой сферах… Но в целом по рынку 50% компаний даже не знают, что есть такой закон», - заявил Николай Перов, руководитель отдела по защите персональных данных Центра информационной безопасности Softline.

  Проблема усугубляется тем, что ИТ-специалисты иногда просто не понимают, что же от них требуется. «Большая часть нюансов и трудностей находится в плоскости юридической и методологической. А это, в соответствии со сложившейся практикой, не вполне область ответственности ИТ-специалистов. Юристы и контролеры безопасности, в свою очередь, не торопятся вникать в технические нюансы процессов. Именно из-за наличия такого «стыка» и возникает множество сложностей», - согласился с коллегой Михаил Ламзин, руководитель отдела маркетинга Учебного центра Softline.

  В том же ключе высказался и Дмитрий Малинкин, менеджер по работе с органами государственной власти и государственными учреждениями «Лаборатории Касперского»: «Что касается персональных данных – то тут нормативные требования только устанавливаются, по факту закон еще не заработал на полную мощь. Я не исключаю, что со временем, нормативная база будет дорабатываться… Судя по масштабной полемике, в том числе и в высших органах власти по поводу данного закона - можно с уверенностью сказать, что далеко не все системы защиты ИСПДн будут созданы и аттестованы до указанной даты».

  Владимир Мамыкин, директор по информационно безопасности Microsoft, был более категоричен: «Есть над чем работать и законодателям, и регуляторам. Я сомневаюсь, что с 1 января крупные государственные организации, использующие сплошь и рядом несертифицированные решения западных вендоров, откажутся от их применения. Это коллизия, которая должна быть решена правительством. Либо закон выполняется всеми, либо нужно объяснить участникам рынка, как действовать в новых условиях с учетом реального положения вещей».

  Заметим, что антивирусный блок информационных систем, оперирующих персональными данными, является далеко не самым проблемным участком. Уже сейчас рынку предлагается перечень сертифицированных решений, использование которых допускается действующим законодательством. Однако вывод делать рано, потому и заключения у данного анализа пока нет. Можно сказать с уверенностью только одно – и заказчики, и производители ждут с нетерпением, что же принесет столь богатый на сюрпризы и перемены канун нового года, как закон будет работать на практике.

Источник: CIO  




Рейтинг @Mail.ru

Rambler's Top100
Rambler's Top100