Загадковий "Сертифікат захисту Г-2"
У статті розглядається питання, пов’язане з програмним забезпеченням та «Сертифікатом захисту Г-2». Дуже нудний longread тільки для дуже зацікавлених, але з висновками наприкінці.
Існують засоби технічного захисту інформації від несанкціонованого доступу.
До їх числа належать програмні, апаратні або програмно-апаратні засоби захисту.
До програмних засобів захисту інформації належать, наприклад, антивірусне програмне забезпечення, компоненти/модулі/механізми захисту інформації програмного забезпечення, в якому поряд з основними функціями реалізовані функції з захисту інформації.
До апаратних засобів захисту інформації належать, наприклад, різноманітні спеціальні пристрої, в яких реалізується алгоритм захисту.
До програмно-апаратних засобів захисту належать засоби захисту інформації, в яких частину функцій реалізовано в спеціальному пристрої, керування яким здійснюється за допомогою спеціального програмного забезпечення.
Деякі покупці програмного забезпечення ставлять продавцю запитання, чи має воно «Сертифікат захисту Г-2». В переважній більшості випадків продавці не знають, яким чином правильно відповісти покупцю та як обґрунтувати свою відповідь.
Перш за все, необхідно зазначити, що документу під назвою «Сертифікат захисту Г-2» законодавством України не передбачено.
У певних випадках покупцю потрібен Експертний висновок, який видається за результатами державної експертизи у сфері технічного захисту інформації, та Атестат відповідності, який видається Державною службою спеціального зв’язку України на підставі такого висновку. Проте, покупці не знають точної назви цих документів та їх призначення.
Про Експертні висновки та Атестати відповідності, про програмне забезпечення, стосовно якого вони можуть бути видані, на яких підставах вони видаються і в яких саме випадках їх наявність є обов’язковою, буде зазначено додатково (можливо, у наступній статті), а поки що про якийсь захист «Г-2».
«Г-2» - це не щось вигадане. Насправді, це показник рівня гарантій коректності реалізації функціональних послуг безпеки в засобах захисту інформації (термін, встановлений законодавством України).
Загалом існують сім рівнів таких гарантій – від Г-1 до Г-7, що передбачено документом - НД ТЗІ 2.5-004-99. Критерії оцінки захищеності інформації в комп’ютерних системах від несанкціонованого доступу, затверджені наказом Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України від 28.04.1999 р. № 22 із змінами.
Зазначений НД (нормативний документ) встановлює критерії оцінки захищеності інформації, оброблюваної в комп'ютерних системах, від несанкціонованого доступу. Крім функціональних критеріїв, що дозволяють оцінити наявність послуг безпеки в комп'ютерній системі, цей документ містить критерії гарантій, що дозволяють оцінити коректність реалізації послуг безпеки.
Критерії гарантій включають вимоги до архітектури комплексу засобів захисту, середовища розробки, послідовності розробки, випробування комплексу засобів захисту, середовища функціонування і експлуатаційної документації.
В зазначених Критеріях вводиться сім рівнів гарантій (Г-1, ..., Г-7), які є ієрархічними. Ієрархія рівнів гарантій відбиває поступово наростаючу міру певності в тому, що реалізовані в комп'ютерній системі послуги дозволяють протистояти певним загрозам, що механізми, які їх реалізують, в свою чергу коректно реалізовані і можуть забезпечити очікуваний споживачем рівень захищеності інформації під час експлуатації комп'ютерної системи.
Таким чином, чим вище рівень гарантій (від Г-1 до Г-7), тим краще реалізовані функції із захисту інформації в засобах захисту інформації.
Відповідно до пункту 17 Положення про технічний захист інформації в Україні, затвердженому Указом Президента України від 27.09.1999 р. із змінами, під час розроблення і впровадження заходів з технічного захисту інформації використовуються засоби, дозволені Адміністрацією Держспецзв'язку України для застосування та включені до відповідних переліків.
Державна служба спеціального зв’язку України на своєму веб-сайті (http://www.dsszzi.gov.ua) публікує та регулярно оновлює такий Перелік засобів технічного захисту інформації, дозволених для забезпечення технічного захисту державних інформаційних ресурсів та інформації, вимога щодо захисту якої встановлена законом.
Наразі Перелік доступний станом на 05.09.2019 р. (http://195.78.68.84/dsszzi/control/uk/publish/article?showHidden=1&art_id=288071&cat_id=44795).
З цього переліку вбачається, що більшість засобів захисту інформації мають рівень гарантій коректності реалізації функціональних послуг безпеки Г-2.
Яким же чином визначається рівень гарантій?
Система оцінювання в Україні функціонує на основі Положення про державну експертизу в сфері технічного захисту інформації, затвердженого наказом Адміністрації Державної служби спеціального зв’язку та захисту інформації України від 16.05.2007 р. № 93 із змінами.
Згідно з вимогами цього Положення, оцінювання відповідності реалізованих засобів та заходів захисту встановленим вимогам та нормам здійснюється шляхом проведення експертизи.
Оцінка рівня гарантій здійснюється у відповідності з НД ТЗІ 2.7-010-09. Методичні вказівки з оцінювання рівня гарантій коректності реалізації функціональних послуг безпеки в засобах захисту інформації від несанкціонованого доступу, затверджені наказом Адміністрації Державної служби спеціального зв’язку України від 24.07.2009 р. № 172.
Відповідно до розділу 2 Методичних вказівок засіб технічного захисту інформації від несанкціонованого доступу - програмний, апаратний або програмно-апаратний засіб, який створюється як окремий продукт виробництва, має необхідну проектну та/або експлуатаційну документацію і забезпечує, самостійно або в комплексі з іншими засобами, захист від загроз несанкціонованого доступу для оброблюваної в інформаційно-телекомунікаційних системах інформації.
Згідно з вимогами НД ТЗІ 2.5-004-99 окремо оцінюються реалізовані функції захисту (функціональні послуги безпеки) та рівень гарантій коректності їх реалізації (рівень гарантій).
У процесі оцінювання гарантії забезпечуються шляхом перевірки додержання розробником вимог критеріїв, аналізу документації, процедур розроблення та постачання об’єктів експертизи, а також іншими діями експертів, які проводять оцінювання.
Необхідно зазначити, що у відкритому доступі (можливо є нормативні акти для службового користування) автором не знайдено нормативних актів, якими би встановлювались конкретні вимоги щодо того, якому саме рівню гарантій має відповідати те чи інше програмне забезпечення з числа засобів захисту інформації.
Тобто, у певних випадках є вимога щодо підтвердження відповідності (Експертний висновок, наданий на результатами проведення експертизи, Акт відповідності), але вимог щодо відповідності певного засобу захисту інформації конкретному рівню гарантій від Г-1 до Г-7 не існує (не знайдено).
Так, пунктом 4 Порядку використання комп’ютерних програм і органах виконавчої влади, затвердженому постановою Кабінету Міністрів України від 10.09.2003 р. № 1433 із змінами, встановлено, що для оброблення, передавання, зберігання службової, таємної інформації, персональних даних, а також інформації єдиних та державних електронних реєстрів використовуються комп’ютерні програми (їх оновлення), в яких немає недокументованих функцій, що підтверджується результатами державної експертизи у сфері захисту інформації, яка досліджує вихідні коди та відповідні виконувані модулі програм і компонентів, перевіряється достовірність і повнота (цілісність), ідентифікується джерело походження (авторство), з фіксуванням стану комп’ютерних програм чи їх оновлень на момент проведення перевірки.
Вказаною постановою також встановлено, що під час вибору комп’ютерних програм, які пройшли державну експертизу у сфері захисту інформації, органи виконавчої влади віддають перевагу (за інших однакових об’єктивних технічних та якісних характеристик) комп’ютерним програмам, у яких реалізовано вищий рівень гарантій коректності надання функціональних послуг безпеки.
Аналогічні положення встановлені навіть для об’єктів критичної інфраструктури. Так, в пункті 45 Переліку базових вимог із забезпечення кіберзахисту об’єктів критичної інфраструктури, затверджених постановою Кабінету міністрів України від 19.06.2019 р. № 518, зазначено, що на об’єкті критичної інформаційної інфраструктури об’єкта критичної інфраструктури повинна надаватися перевага програмному забезпеченню, яке має більш вищий рівень гарантій відповідно до нормативного документа системи технічного захисту інформації 2.5-004-99 “Критерії оцінки захищеності інформації в комп’ютерних системах від несанкціонованого доступу”, за результатами державної експертизи у сфері технічного захисту інформації.
Таким чином, з наведеного можна зробити наступні висновки:
- до складу програмних засобів захисту інформації належить програмне забезпечення, яке безпосередньої призначене для захисту інформації, а також окремі компоненти/модулі/механізми захисту інформації програмного забезпечення, в якому поряд з його основними функціями реалізовані функції з захисту інформації;
- програмне забезпечення, яке не призначено для захисту інформації або не має у своєму складі окремих компонент/модулів/механізмів захисту інформації поряд з його основними функціями, не повинно мати ніяких підтверджень відповідності, зокрема, Експертних висновків та Атестатів відповідності у зв’язку з відсутністю у такого програмного забезпечення функції з захисту інформації;
- документ під назвою «Сертифікат захисту Г-2» законодавством України не передбачений;
- Г-2 – це показник рівня гарантій коректності реалізації функціональних послуг безпеки в засобі захисту інформації;
- засоби захисту інформації мають рівень гарантій коректності реалізації функціональних послуг безпеки від Г-1 до Г-7, де Г-1 – найнижчий рівень гарантій, а Г-7 – найвищий, а більша частина програмного забезпечення з числа засобів захисту інформації мають рівень гарантій Г-2;
- чим вище рівень гарантій за шкалою від Г-1 до Г-7, тим краще реалізовані функції із захисту інформації в засобі захисту інформації (рівень гарантій зазначається в Експертному висновку);
- вимог щодо відповідності певного програмного забезпечення з числа засобів захисту інформації конкретному рівню гарантій (від Г-1 до Г-7) не існує.
- Вимога щодо посвідчення заповіту при свідках при наявності хвороби заповідача Євген Морозов вчора о 21:08
- Використання подарункового сертифікату платником єдиного податку Євген Власов вчора о 19:07
- Виклики і тенденції. Що чекає на український бізнес в 2025 році Віктор Андрухів вчора о 17:46
- Як повернути активи за кордону: адвокатський погляд на спецконфіскацію, практику й виклики Дмитро Зенкін вчора о 13:51
- Юридичні нюанси встановлення когенераційних установок для виробництва та продажу е/е Ростислав Никітенко вчора о 12:09
- Бідних стає все більше Андрій Павловський 26.12.2024 22:57
- Використання підробленого військово квитка з метою перетину держкордону Євген Морозов 26.12.2024 21:03
- Авіакатастрофа "Азербайджанських авіаліній": пошуки правди Юрій Гусєв 26.12.2024 14:40
- Підписано Закон про право слідчих і прокурорів обмежувати роботу бізнесу Андрій Хомич 26.12.2024 14:08
- Особливості імпортно-експортних операцій з електроенергією та газом у Європі: аналіз країн Ростислав Никітенко 26.12.2024 13:30
- Партнерства заради сталого розвитку в технологічному секторі: Україна та світ Оксана Захарченко 26.12.2024 11:48
- Шестимісячний строк для оголошення особи померлою: право, яке має служити людяності Світлана Приймак 26.12.2024 11:43
- Етика суддів 2025: нові показники доброчесності чи додаткові виклики? Дмитро Зенкін 26.12.2024 10:13
- Оскарження в суді містобудівної документації як нормативно- правового акту Євген Морозов 25.12.2024 20:50
- Податкові умов для енергоринку в Україні, Польщі, Угорщині, Німеччині та Нідерландах Ростислав Никітенко 25.12.2024 14:21
- Когнітивка від Psymetrics – прогнозований бар’єр для Вищого антикорупційного суду 895
- Бідних стає все більше 406
- 2025. Рік економічного відновлення, репатріації та інтеграції військових. Чи буде так? 271
- Підписано Закон про право слідчих і прокурорів обмежувати роботу бізнесу 257
- Legal instruments to combat stalking, based on international experience 80
-
Суд заборонив продавати речі Медведчука, зокрема вже продані
Бізнес 26308
-
Українці вже не хочуть працювати за низьку зарплатню у Польщі. Скільки вимагають та отримують
Фінанси 19767
-
В Україну повертається одна з найбільших у світі контейнерних компаній
Бізнес 17386
-
Київстар починає згортати технологію 3G. З яких міст почнуть
Бізнес 6216
-
Компанія, яка будувала Дегтярівський міст, отримала від Києва новий багатомільйонний контракт
Бізнес 5518