В конце марта президент РФ подписал указ О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена". Согласно указу, госорганы, в частности, должны использовать только те средства защиты своих информационных ресурсов, которые прошли сертификацию в Федеральной службе безопасности и получили подтверждение соответствия в Федеральной службе по техническому и экспортному контролю. О требованиях к защите информационных данных в интервью РИА Новости рассказал заместитель генерального директора «Лаборатории Касперского» по юридическим вопросам Игорь Чекунов.
- Требования сертификации средств защиты информации, используемых госорганами при подключении к сети Интернет в России, существовали и до принятия этого документа. Еще в 2004 году был издан Указ Президента РФ № 611, которым было установлено, что владельцы открытых и общедоступных государственных информационных ресурсов могут осуществлять их включение в состав объектов международного информационного обмена только при использовании сертифицированных средств защиты информации, обеспечивающих ее целостность и доступность, в том числе криптографических, для подтверждения достоверности информации.
Новый указ - следующий шаг на пути создания защищенного информационного пространства РФ. И я полагаю, что принятые меры вполне оправданы. Государство владеет информацией и имеет право защищать ее средствами, надежность которых гарантирована. Очевидно, что для производителей ПО это означает: если они хотят бороться за право поставлять свою продукцию в госсектор, то продукты должны соответствовать установленным государством требованиям.
- То есть сейчас производители, не прошедшие сертификацию, не могут работать с госсектором?
- Согласно закону - не могут. Установлены технические требования к сертифицированным средствам защиты информации (СЗИ), существуют и органы, определяющие соответствие продуктов этим требованиям. Если СЗИ не имеет сертификата хотя бы минимально допустимого уровня контроля, то оно не может использоваться ни в каких государственных учреждениях.
Однако ситуация с выполнением этих требований парадоксальна - сами чиновники зачастую рассматривают их как нечто второстепенное. Почему так происходит? Полагаю, что причины кроются в отсутствии реальных механизмов контроля за соблюдением законности в области информационной безопасности. Кодексом РФ об административных правонарушениях введена ответственность за использование несертифицированных СЗИ (ст.13.12), однако много ли случаев привлечения к ответственности за такие нарушения мы знаем? Кроме того, приходится признать, что не все специалисты, в задачи которых входит обеспечение безопасности государственной информации, обладают достаточной компетенцией и пониманием уровня своей ответственности. Зачастую они не знают законодательную базу, не могут оценить степень риска использования несертифицированного ПО. Встречаются случаи, когда в конкурсную комиссию при проведении тендера на закупку СЗИ не включается специалист по информбезопасности.
Бывает, отдельные чиновники предлагают исключить из конкурсной документации требование к участникам размещения заказа о предоставлении сертификатов, считая, это требование незаконным.
Сегодня существуют стандарты для любой отрасли, в некоторых сферах обязательность их применения очевидна даже рядовому покупателю, а технические требования к СЗИ по незнанию зачастую относят к чему-то надуманному и ненужному. Например, если магазин закупит не соответствующие санитарным нормам дешевые куриные окорочка, и покупатели отравятся, продавец может быть привлечен к ответственности, вплоть до уголовной. И владелец магазина это понимает. А может ли, например, подразделение какого-либо ведомства купить сомнительное антивирусное ПО - дешевое, но без необходимых сертификатов? К сожалению, такие случаи есть.
Этим, увы, пользуются некоторые производители средств защиты. Вместо того, чтобы следовать правилам государства, они ведут публичную антисертификационную политику, утверждая, что проверка средств защиты - лишь бюрократическая мера. Не имея сертификата, производители делают своим конкурентным преимуществом низкую цену продукта, и в результате приобретаются те самые «дешевые окорочка».
Между тем, причины отказа компании-производителя предоставить продукт на сертификацию могут быть разными - от банальной лени до уверенности в невозможности продукта соответствовать установленным требованиям.
- А насколько высоки сейчас сертификационные требования к ПО?
- Требования сертификации продуманы грамотно. Ключевое требование состоит в следующем: для того, чтобы успешно пройти процедуру, продукт не должен иметь недекларированных возможностей, то есть в нем не должно быть какого-либо скрытого функционала, который может быть использован, например, для кражи информации или вывода оборудования из строя. Сертификационная проверка дает государству и уверенность в том, что ни при каких обстоятельствах не будет осуществлено удаленное несанкционированное управление этой программой.
Учитывая, что речь идет об интеграции ПО в государственные информационные сети, и более того, об использовании его для защиты сетей, эти требования кажутся более чем справедливыми. Если продукт не содержит недекларированных возможностей, то процедура сертификации достаточно проста и занимает от месяца до двух.
Тем не менее, многие иностранные производители не спешат сертифицировать свою продукцию. Например, насколько мне известно, ни одна иностранная компания-производитель антивирусных программ не получила сертификат, дающий возможность защищать государственную тайну и конфиденциальную информацию. Максимум, чем они располагают - сертификаты добровольной системы сертификации, где технические условия утверждаются самим производителем. С такими сертификатами можно защищать только открытую и общедоступную информацию, но не более. Не все понимают эту принципиальную разницу, а компании-производители не торопятся ее объяснять, фактически подменяя одно понятие другим.
- Существует ли сертификация антивирусных программ в других странах?
- Да. Россия - не первая страна, которая такие требования вводит. Подобная процедура есть, например, во многих государствах на постсоветском пространстве, она отчасти соотносится с российскими законами. Так, в Белоруссии введены еще более жесткие требования. Там даже домашние антивирусные средства не могут продаваться без соответствующих сертификатов. Что касается Украины, то там система похожа на нашу. Есть Служба безопасности Украины, которая сертифицирует продукт для использования в органах власти. Кстати, продукты «Лаборатории Касперского» имеют соответствующие сертификаты и Государственного центра безопасности информации при Президенте Белоруссии и Службы безопасности Украины. Есть специальные требования и в европейских государствах, и в Соединенных Штатах.
Важно, что наше государство не без оснований уделяет большое внимание собственной информационной безопасности, и я полагаю, что все компании, работающие в этом сегменте должны поддерживать его в этом. А задача государства - контролировать им же самим установленные правила.
