Загадковий "Сертифікат захисту Г-2"
У статті розглядається питання, пов’язане з програмним забезпеченням та «Сертифікатом захисту Г-2». Дуже нудний longread тільки для дуже зацікавлених, але з висновками наприкінці.
Існують засоби технічного захисту інформації від несанкціонованого доступу.
До їх числа належать програмні, апаратні або програмно-апаратні засоби захисту.
До програмних засобів захисту інформації належать, наприклад, антивірусне програмне забезпечення, компоненти/модулі/механізми захисту інформації програмного забезпечення, в якому поряд з основними функціями реалізовані функції з захисту інформації.
До апаратних засобів захисту інформації належать, наприклад, різноманітні спеціальні пристрої, в яких реалізується алгоритм захисту.
До програмно-апаратних засобів захисту належать засоби захисту інформації, в яких частину функцій реалізовано в спеціальному пристрої, керування яким здійснюється за допомогою спеціального програмного забезпечення.
Деякі покупці програмного забезпечення ставлять продавцю запитання, чи має воно «Сертифікат захисту Г-2». В переважній більшості випадків продавці не знають, яким чином правильно відповісти покупцю та як обґрунтувати свою відповідь.
Перш за все, необхідно зазначити, що документу під назвою «Сертифікат захисту Г-2» законодавством України не передбачено.
У певних випадках покупцю потрібен Експертний висновок, який видається за результатами державної експертизи у сфері технічного захисту інформації, та Атестат відповідності, який видається Державною службою спеціального зв’язку України на підставі такого висновку. Проте, покупці не знають точної назви цих документів та їх призначення.
Про Експертні висновки та Атестати відповідності, про програмне забезпечення, стосовно якого вони можуть бути видані, на яких підставах вони видаються і в яких саме випадках їх наявність є обов’язковою, буде зазначено додатково (можливо, у наступній статті), а поки що про якийсь захист «Г-2».
«Г-2» - це не щось вигадане. Насправді, це показник рівня гарантій коректності реалізації функціональних послуг безпеки в засобах захисту інформації (термін, встановлений законодавством України).
Загалом існують сім рівнів таких гарантій – від Г-1 до Г-7, що передбачено документом - НД ТЗІ 2.5-004-99. Критерії оцінки захищеності інформації в комп’ютерних системах від несанкціонованого доступу, затверджені наказом Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України від 28.04.1999 р. № 22 із змінами.
Зазначений НД (нормативний документ) встановлює критерії оцінки захищеності інформації, оброблюваної в комп'ютерних системах, від несанкціонованого доступу. Крім функціональних критеріїв, що дозволяють оцінити наявність послуг безпеки в комп'ютерній системі, цей документ містить критерії гарантій, що дозволяють оцінити коректність реалізації послуг безпеки.
Критерії гарантій включають вимоги до архітектури комплексу засобів захисту, середовища розробки, послідовності розробки, випробування комплексу засобів захисту, середовища функціонування і експлуатаційної документації.
В зазначених Критеріях вводиться сім рівнів гарантій (Г-1, ..., Г-7), які є ієрархічними. Ієрархія рівнів гарантій відбиває поступово наростаючу міру певності в тому, що реалізовані в комп'ютерній системі послуги дозволяють протистояти певним загрозам, що механізми, які їх реалізують, в свою чергу коректно реалізовані і можуть забезпечити очікуваний споживачем рівень захищеності інформації під час експлуатації комп'ютерної системи.
Таким чином, чим вище рівень гарантій (від Г-1 до Г-7), тим краще реалізовані функції із захисту інформації в засобах захисту інформації.
Відповідно до пункту 17 Положення про технічний захист інформації в Україні, затвердженому Указом Президента України від 27.09.1999 р. із змінами, під час розроблення і впровадження заходів з технічного захисту інформації використовуються засоби, дозволені Адміністрацією Держспецзв'язку України для застосування та включені до відповідних переліків.
Державна служба спеціального зв’язку України на своєму веб-сайті (http://www.dsszzi.gov.ua) публікує та регулярно оновлює такий Перелік засобів технічного захисту інформації, дозволених для забезпечення технічного захисту державних інформаційних ресурсів та інформації, вимога щодо захисту якої встановлена законом.
Наразі Перелік доступний станом на 05.09.2019 р. (http://195.78.68.84/dsszzi/control/uk/publish/article?showHidden=1&art_id=288071&cat_id=44795).
З цього переліку вбачається, що більшість засобів захисту інформації мають рівень гарантій коректності реалізації функціональних послуг безпеки Г-2.
Яким же чином визначається рівень гарантій?
Система оцінювання в Україні функціонує на основі Положення про державну експертизу в сфері технічного захисту інформації, затвердженого наказом Адміністрації Державної служби спеціального зв’язку та захисту інформації України від 16.05.2007 р. № 93 із змінами.
Згідно з вимогами цього Положення, оцінювання відповідності реалізованих засобів та заходів захисту встановленим вимогам та нормам здійснюється шляхом проведення експертизи.
Оцінка рівня гарантій здійснюється у відповідності з НД ТЗІ 2.7-010-09. Методичні вказівки з оцінювання рівня гарантій коректності реалізації функціональних послуг безпеки в засобах захисту інформації від несанкціонованого доступу, затверджені наказом Адміністрації Державної служби спеціального зв’язку України від 24.07.2009 р. № 172.
Відповідно до розділу 2 Методичних вказівок засіб технічного захисту інформації від несанкціонованого доступу - програмний, апаратний або програмно-апаратний засіб, який створюється як окремий продукт виробництва, має необхідну проектну та/або експлуатаційну документацію і забезпечує, самостійно або в комплексі з іншими засобами, захист від загроз несанкціонованого доступу для оброблюваної в інформаційно-телекомунікаційних системах інформації.
Згідно з вимогами НД ТЗІ 2.5-004-99 окремо оцінюються реалізовані функції захисту (функціональні послуги безпеки) та рівень гарантій коректності їх реалізації (рівень гарантій).
У процесі оцінювання гарантії забезпечуються шляхом перевірки додержання розробником вимог критеріїв, аналізу документації, процедур розроблення та постачання об’єктів експертизи, а також іншими діями експертів, які проводять оцінювання.
Необхідно зазначити, що у відкритому доступі (можливо є нормативні акти для службового користування) автором не знайдено нормативних актів, якими би встановлювались конкретні вимоги щодо того, якому саме рівню гарантій має відповідати те чи інше програмне забезпечення з числа засобів захисту інформації.
Тобто, у певних випадках є вимога щодо підтвердження відповідності (Експертний висновок, наданий на результатами проведення експертизи, Акт відповідності), але вимог щодо відповідності певного засобу захисту інформації конкретному рівню гарантій від Г-1 до Г-7 не існує (не знайдено).
Так, пунктом 4 Порядку використання комп’ютерних програм і органах виконавчої влади, затвердженому постановою Кабінету Міністрів України від 10.09.2003 р. № 1433 із змінами, встановлено, що для оброблення, передавання, зберігання службової, таємної інформації, персональних даних, а також інформації єдиних та державних електронних реєстрів використовуються комп’ютерні програми (їх оновлення), в яких немає недокументованих функцій, що підтверджується результатами державної експертизи у сфері захисту інформації, яка досліджує вихідні коди та відповідні виконувані модулі програм і компонентів, перевіряється достовірність і повнота (цілісність), ідентифікується джерело походження (авторство), з фіксуванням стану комп’ютерних програм чи їх оновлень на момент проведення перевірки.
Вказаною постановою також встановлено, що під час вибору комп’ютерних програм, які пройшли державну експертизу у сфері захисту інформації, органи виконавчої влади віддають перевагу (за інших однакових об’єктивних технічних та якісних характеристик) комп’ютерним програмам, у яких реалізовано вищий рівень гарантій коректності надання функціональних послуг безпеки.
Аналогічні положення встановлені навіть для об’єктів критичної інфраструктури. Так, в пункті 45 Переліку базових вимог із забезпечення кіберзахисту об’єктів критичної інфраструктури, затверджених постановою Кабінету міністрів України від 19.06.2019 р. № 518, зазначено, що на об’єкті критичної інформаційної інфраструктури об’єкта критичної інфраструктури повинна надаватися перевага програмному забезпеченню, яке має більш вищий рівень гарантій відповідно до нормативного документа системи технічного захисту інформації 2.5-004-99 “Критерії оцінки захищеності інформації в комп’ютерних системах від несанкціонованого доступу”, за результатами державної експертизи у сфері технічного захисту інформації.
Таким чином, з наведеного можна зробити наступні висновки:
- до складу програмних засобів захисту інформації належить програмне забезпечення, яке безпосередньої призначене для захисту інформації, а також окремі компоненти/модулі/механізми захисту інформації програмного забезпечення, в якому поряд з його основними функціями реалізовані функції з захисту інформації;
- програмне забезпечення, яке не призначено для захисту інформації або не має у своєму складі окремих компонент/модулів/механізмів захисту інформації поряд з його основними функціями, не повинно мати ніяких підтверджень відповідності, зокрема, Експертних висновків та Атестатів відповідності у зв’язку з відсутністю у такого програмного забезпечення функції з захисту інформації;
- документ під назвою «Сертифікат захисту Г-2» законодавством України не передбачений;
- Г-2 – це показник рівня гарантій коректності реалізації функціональних послуг безпеки в засобі захисту інформації;
- засоби захисту інформації мають рівень гарантій коректності реалізації функціональних послуг безпеки від Г-1 до Г-7, де Г-1 – найнижчий рівень гарантій, а Г-7 – найвищий, а більша частина програмного забезпечення з числа засобів захисту інформації мають рівень гарантій Г-2;
- чим вище рівень гарантій за шкалою від Г-1 до Г-7, тим краще реалізовані функції із захисту інформації в засобі захисту інформації (рівень гарантій зазначається в Експертному висновку);
- вимог щодо відповідності певного програмного забезпечення з числа засобів захисту інформації конкретному рівню гарантій (від Г-1 до Г-7) не існує.
- Спільний контроль у бізнесі: чому статус має значення? Анастасія Полтавцева вчора о 19:23
- ВВК до 5 июня: нужно ли проходить людям с инвалидностью? Віра Тарасенко вчора о 15:46
- ШАБАК оприлюднив свої висновки щодо трагедії 7 жовтня Георгій Тука вчора о 14:16
- Цивільна конфіскація: про це варто знати, якщо ви державний службовець Тетяна Видай 28.03.2025 14:47
- Від 2 до 4 мільярдів доларів Євген Магда 28.03.2025 13:13
- Українські надра – не предмет торгу, а основа національної безпеки Олена Криворучкіна 28.03.2025 12:19
- Примусове доставлення до ТЦК: Як діє поліція та що потрібно знати Павло Васильєв 28.03.2025 11:58
- Ти не зобов’язаний знати все, але зобов’язаний знати, де знайти потрібну інформацію Дмитро Зенкін 28.03.2025 10:14
- Аудит українських надр. Відзив "сплячих" ліцензій. Передача надр іноземцям Віталій Соловей 27.03.2025 22:24
- Чому корпоративна форма – це не про одяг, а про людей: новий підхід до HR у медицині Павло Астахов 27.03.2025 19:05
- Як підготуватися до співпраці з дизайнером: 5 кроків до успішного ресторану Алеся Карнаухова 27.03.2025 12:54
- Поточні проблеми тайм-менеджменту власників малого та середнього бізнесу в Україні Катерина Мілютенко 27.03.2025 12:45
- Договір між батьками стосовно дитини: філософія та роздуми Світлана Приймак 27.03.2025 09:55
- Стоїцизм папороті у перетвореннях декартової геометрії Олег Короташ 27.03.2025 07:22
- Податкові пільги як драйвер розвитку молодіжного підприємництва: досвід Польщі Юлія Мороз 26.03.2025 14:59
- Полтавський Мамай, СБУ, "октябрята", ДБР… Що скаже Вища рада правосуддя? 907
- Законопроєкт 13120 позбавляє дітей конституційного права на освіту 221
- Стоїцизм папороті у перетвореннях декартової геометрії 142
- Аудит українських надр. Відзив "сплячих" ліцензій. Передача надр іноземцям 132
- Податкові пільги як драйвер розвитку молодіжного підприємництва: досвід Польщі 105
-
МВФ встановив нові структурні маяки для України
Фінанси 16569
-
В Україні порівняли запропоновану США угоду про надра з довічними репараціями – WSJ
Бізнес 5087
-
Британський регулятор оштрафував OnlyFans на 1 млн фунтів стерлінгів
Бізнес 4370
-
Яєчний король купує американського виробника яєць Hillandale Farms за $1,1 млрд
Бізнес 4138
-
Втратити зір і стати стендап-комікесою. Історія резидентки "Підпільного" Ксенії Швець
3298