Загадковий "Сертифікат захисту Г-2"

У статті розглядається питання, пов’язане з програмним забезпеченням та «Сертифікатом захисту Г-2». Дуже нудний longread тільки для дуже зацікавлених, але з висновками наприкінці.

Існують засоби технічного захисту інформації від несанкціонованого доступу.

До їх числа належать програмні, апаратні або програмно-апаратні засоби захисту.

До програмних засобів захисту інформації належать, наприклад, антивірусне програмне забезпечення, компоненти/модулі/механізми захисту інформації програмного забезпечення, в якому поряд з основними функціями реалізовані функції з захисту інформації.

До апаратних засобів захисту інформації належать, наприклад, різноманітні спеціальні пристрої, в яких реалізується алгоритм захисту.

До програмно-апаратних засобів захисту належать засоби захисту інформації, в яких частину функцій реалізовано в спеціальному пристрої, керування яким здійснюється за допомогою спеціального програмного забезпечення.

Деякі покупці програмного забезпечення ставлять продавцю запитання, чи має воно «Сертифікат захисту Г-2». В переважній більшості випадків продавці не знають, яким чином правильно відповісти покупцю та як обґрунтувати свою відповідь.

Перш за все, необхідно зазначити, що документу під назвою «Сертифікат захисту Г-2» законодавством України не передбачено.

У певних випадках покупцю потрібен Експертний висновок, який видається за результатами державної експертизи у сфері технічного захисту інформації, та Атестат відповідності, який видається Державною службою спеціального зв’язку України на підставі такого висновку. Проте, покупці не знають точної назви цих документів та їх призначення.

Про Експертні висновки та Атестати відповідності, про програмне забезпечення, стосовно якого вони можуть бути видані, на яких підставах вони видаються і в яких саме випадках їх наявність є обов’язковою, буде зазначено додатково (можливо, у наступній статті), а поки що про якийсь захист «Г-2».

«Г-2» - це не щось вигадане. Насправді, це показник рівня гарантій коректності реалізації функціональних послуг безпеки в засобах захисту інформації (термін, встановлений законодавством України).

Загалом існують сім рівнів таких гарантій – від Г-1 до Г-7, що  передбачено документом - НД ТЗІ 2.5-004-99. Критерії оцінки захищеності інформації в комп’ютерних системах від несанкціонованого доступу, затверджені наказом Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України від 28.04.1999 р. № 22 із змінами.

Зазначений НД (нормативний документ) встановлює критерії оцінки захищеності інформації, оброблюваної в комп'ютерних системах, від несанкціонованого доступу. Крім функціональних критеріїв, що дозволяють оцінити наявність послуг безпеки в комп'ютерній системі, цей документ містить критерії гарантій, що дозволяють оцінити коректність реалізації послуг безпеки.

Критерії гарантій включають вимоги до архітектури комплексу засобів захисту, середовища розробки, послідовності розробки, випробування комплексу засобів захисту, середовища функціонування і експлуатаційної документації.

В зазначених Критеріях вводиться сім рівнів гарантій (Г-1, ..., Г-7), які є ієрархічними. Ієрархія рівнів гарантій відбиває поступово наростаючу міру певності в тому, що реалізовані в комп'ютерній системі послуги дозволяють протистояти певним загрозам, що механізми, які їх реалізують, в свою чергу коректно реалізовані і можуть забезпечити очікуваний споживачем рівень захищеності інформації під час експлуатації комп'ютерної системи.

Таким чином, чим вище рівень гарантій (від Г-1 до Г-7), тим краще реалізовані функції із захисту інформації в засобах захисту інформації.

Відповідно до пункту 17 Положення про технічний захист інформації в Україні, затвердженому Указом Президента України від 27.09.1999 р. із змінами, під час розроблення і впровадження заходів  з  технічного захисту інформації використовуються засоби, дозволені Адміністрацією Держспецзв'язку   України   для  застосування  та включені до відповідних переліків.

Державна служба спеціального зв’язку України на своєму веб-сайті (http://www.dsszzi.gov.ua) публікує та регулярно оновлює такий Перелік засобів технічного захисту інформації, дозволених для забезпечення технічного захисту державних інформаційних ресурсів та інформації, вимога щодо захисту якої встановлена законом.

Наразі Перелік доступний станом на 05.09.2019  р. (http://195.78.68.84/dsszzi/control/uk/publish/article?showHidden=1&art_id=288071&cat_id=44795).

З цього переліку вбачається, що більшість засобів захисту інформації мають рівень гарантій коректності реалізації функціональних послуг безпеки Г-2.

Яким же чином визначається рівень гарантій?

Система оцінювання в Україні функціонує на основі Положення про державну експертизу в сфері технічного захисту інформації, затвердженого наказом Адміністрації Державної служби спеціального зв’язку та захисту інформації України від 16.05.2007 р. № 93 із змінами.

Згідно з вимогами цього Положення, оцінювання відповідності реалізованих засобів та заходів захисту встановленим вимогам та нормам здійснюється шляхом проведення експертизи.

Оцінка рівня гарантій здійснюється у відповідності з НД ТЗІ 2.7-010-09. Методичні вказівки з оцінювання рівня гарантій коректності реалізації функціональних послуг безпеки в засобах захисту інформації від несанкціонованого доступу, затверджені наказом Адміністрації Державної служби спеціального зв’язку України від 24.07.2009 р. № 172.

Відповідно до розділу 2 Методичних вказівок засіб технічного захисту інформації від несанкціонованого доступу - програмний, апаратний або програмно-апаратний засіб, який створюється як окремий продукт виробництва, має необхідну проектну та/або експлуатаційну документацію і забезпечує, самостійно або в комплексі з іншими засобами, захист від загроз несанкціонованого доступу для оброблюваної в інформаційно-телекомунікаційних системах інформації.

Згідно з вимогами НД ТЗІ 2.5-004-99 окремо оцінюються реалізовані функції захисту (функціональні послуги безпеки) та рівень гарантій коректності їх реалізації (рівень гарантій).

У процесі оцінювання гарантії забезпечуються шляхом перевірки додержання розробником вимог критеріїв, аналізу документації, процедур розроблення та постачання об’єктів експертизи, а також іншими діями експертів, які проводять оцінювання.

Необхідно зазначити, що у відкритому доступі (можливо є нормативні акти для службового користування) автором не знайдено нормативних актів, якими би встановлювались конкретні вимоги щодо того, якому саме рівню гарантій має відповідати те чи інше програмне забезпечення з числа засобів захисту інформації.

Тобто, у певних випадках є вимога щодо підтвердження відповідності (Експертний висновок, наданий на результатами проведення експертизи, Акт відповідності), але вимог щодо відповідності певного засобу захисту інформації конкретному рівню гарантій від Г-1 до Г-7 не існує (не знайдено).

Так, пунктом 4 Порядку використання комп’ютерних програм і органах виконавчої влади, затвердженому постановою Кабінету Міністрів України від 10.09.2003 р. № 1433 із змінами, встановлено, що  для оброблення, передавання, зберігання службової, таємної інформації,  персональних  даних,  а  також  інформації  єдиних та державних   електронних   реєстрів   використовуються  комп’ютерні програми (їх оновлення), в яких немає недокументованих функцій, що підтверджується  результатами державної експертизи у сфері захисту інформації,  яка  досліджує  вихідні коди та відповідні виконувані модулі   програм  і  компонентів,  перевіряється  достовірність  і повнота    (цілісність),    ідентифікується   джерело походження (авторство),  з  фіксуванням  стану  комп’ютерних  програм  чи  їх оновлень на момент проведення перевірки.

Вказаною постановою також встановлено, що під  час  вибору  комп’ютерних  програм, які пройшли державну експертизу  у  сфері  захисту  інформації, органи виконавчої влади віддають  перевагу  (за  інших  однакових об’єктивних технічних та якісних  характеристик) комп’ютерним програмам, у яких реалізовано вищий  рівень  гарантій  коректності надання функціональних послуг безпеки.

Аналогічні положення встановлені навіть для об’єктів критичної інфраструктури. Так, в пункті 45 Переліку базових вимог із забезпечення кіберзахисту об’єктів критичної інфраструктури, затверджених постановою Кабінету міністрів України від 19.06.2019 р. № 518, зазначено, що на об’єкті критичної інформаційної інфраструктури об’єкта критичної інфраструктури повинна надаватися перевага програмному забезпеченню, яке має більш вищий рівень гарантій відповідно до нормативного документа системи технічного захисту інформації 2.5-004-99 “Критерії оцінки захищеності інформації в комп’ютерних системах від несанкціонованого доступу”, за результатами державної експертизи у сфері технічного захисту інформації.

Таким чином, з наведеного можна зробити наступні висновки:

-  до складу програмних засобів захисту інформації належить програмне забезпечення, яке безпосередньої призначене для захисту інформації, а також окремі компоненти/модулі/механізми захисту інформації  програмного забезпечення, в якому поряд з його основними функціями реалізовані функції з захисту інформації;

-  програмне забезпечення, яке не призначено для захисту інформації або не має у своєму складі окремих компонент/модулів/механізмів захисту інформації  поряд з його основними функціями, не повинно мати ніяких підтверджень відповідності, зокрема, Експертних висновків та Атестатів відповідності у зв’язку з відсутністю у такого програмного забезпечення функції з захисту інформації;

- документ під назвою «Сертифікат захисту Г-2» законодавством України не передбачений;

- Г-2 – це показник рівня гарантій коректності реалізації функціональних послуг безпеки в засобі захисту інформації;

- засоби захисту інформації мають рівень гарантій коректності реалізації функціональних послуг безпеки від Г-1 до Г-7, де Г-1 – найнижчий рівень гарантій, а Г-7 – найвищий, а більша частина програмного забезпечення з числа засобів захисту інформації мають рівень гарантій Г-2;

-  чим вище рівень гарантій за шкалою від Г-1 до Г-7, тим краще реалізовані функції із захисту інформації в засобі захисту інформації (рівень гарантій зазначається в Експертному висновку);

- вимог щодо відповідності певного програмного забезпечення з числа засобів захисту інформації конкретному рівню гарантій (від Г-1 до Г-7) не існує.