Недостатки проекта документа «РЕКОМЕНДАЦИИ ПО ОБНОВЛЕНИЮ СЕРТИФИЦИРОВАННЫХ СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ»

Вчера на сайте ФСТЭК России был размещен проект Документа.

Анализ проекта документа показал, что на ряду уточнения порядка обновления СрЗИ он порождает новые вопросы. Давайте их перечислим:

1. Первый вопрос: кому выгодно? Тут нужно подумать…
2. Документ называется «Рекомендации» — это означает что он носит рекомендательный характер и не является обязательным для выполнения?
3. Указано, что Документ разработан и утвержден в соответствии с ***. Но в указанном в документе перечне не указан документ: «ПОЛОЖЕНИЕ О СЕРТИФИКАЦИИ СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ ПО ТРЕБОВАНИЯМ БЕЗОПАСНОСТИ ИНФОРМАЦИИ» (Утверждено Приказом председателя Государственной технической комиссии при Президенте Российской Федерации от 27 октября 1995 г. N 199). Почему?
4. Указано, что Документ предназначен для заявителей на осуществление сертификации СрЗИ, испытательных лабораторий, органов по сертификации и пользователей сертифицированных СрЗИ. Не указано, предназначение для Федерального органа по сертификации и для РАЗРАБОТЧИКОВ СрЗИ. Почему?
5. Не просматривается порядок появления конкретных Органов, ИЛ в процессах! Какой именно Орган должен заниматься? Его выбирает Заявитель? ИЛ выбирает Заявитель? Или они назначаются? Если выбирает заявитель, то где в процессах независимость процессов оценки? Если Орган и ИЛ — те, которые проводили сертификацию — то получается данный документ вредит конкуренции и дает преимущества на рынке оценки соответствия тем Органам и ИЛ которые проводили работы! Можно ли говорить о том, что данный документ ЗАТОЧЕН связкой заинтересованных сторон: Заявитель-ИЛ которые уже очень хорошо «подружились»? Этот документ направлен на усиление этих связок для исключения независимых оценок другими участниками рынка??? У кого то могут возникнуть и такие вопросы?
6. Документ распространяется на СрЗИ не предназначенные для обработки сведений составляющих государственную тайну. Предполагается введение отдельного порядка для таких СрЗИ? Вопрос осложнен еще тем, что ряд СрЗИ предназначены и для той и для другой информации.
7. Указано, что «Положения настоящего методического документа предназначены для использования при разработке конструкторской и эксплуатационной документации на средства защиты информации«. А как же другие виды документации? Технологическая, программная?
8. Указано, что «Заявитель при необходимости разрабатывает и организует обновление пользователем средств защиты информации. В случае если заявитель не является разработчиком средства защиты информации, он своевременно получает обновления от разработчика и обеспечивает их качество«. Совершенно непонятно что имеется в виду? Как получает? Кто ему их даст? Какое качество и каким образом Заявитель должен обеспечить? В условиях, когда Разработчик может не знать что его продукцию сертифицировали (пример — продукция CISCO), совсем не ясно на основании каких положений организуется процесс?
9. Далее вводятся «типы обновления»: «В зависимости от степени влияния на безопасность средства защиты информации устанавливаются следующие типы его обновления…«. Степень влияния — остается субъективной дэльтой! Далее указаны причины: изменения интерфейсов, обнаружение уязвимостей и т.п. Дело в том, что опытный специалист по анализу безопасности ПО скажет, что изменение в любой части СрЗИ может повлиять на «степени влияния на безопасность СрЗИ». Вводится сильное упрощение непонятно зачем?
10. Так же введение «легких типов» дает потенциальную возможность для манипулирования изменениями в СрЗИ. Например, когда доработка функционала скрывается под изменением решающих правил и т.п. По сути можно утверждать, что в случае изменений кто то проверит их тщательно и можно быть уверенным… Но тогда зечем эти манипуляции, если и так проведение Инспекционного контроля — читай упрощенной сертификации предусмотрено?
11. Итак «1 тип» — набор правил… дело в том, что набор правил для поисковой системы может быть простым. Но в современных СрЗИ набор правил может определять основной алгоритм работы изделия вцелом! Например, представим себе средство, которое оформлено как набор базовых классов, а вся логика и алгоритмы задаются набором правил! В большинстве случаев, если копнуть — так и выходит! Но кто же хочет копать?
12. «2 тип — обновление, направленное на устранение уязвимостей средства защиты информации«. Дело благое, однако, не предусмотрены процедуры безопасного обновления и т.п. Да и потом, в случае обнаружения уязвимости — должен вступать в силу порядок, описанный в документе, который указан выше и почему то не вошел в перечень. Почему?
13. 3 тип — это просто выпуск новой версии. Даже расширение платформ — требует полной проверки.
14. 4 тип — обновление, не влияющее на безопасность средства защиты 

    информации (изменение интерфейса средства защиты информации, иных функций, не влияющее на функции безопасности средства защиты 

    информации). Специалист скажет вам, что не бывает функций не влияющих на безопасность!

15. Совершенно непонятный пункт 4 «Заявитель, разработав или получив обновление средства защиты информации, определяет его тип в соответствии с пунктом 3 данного методического документа.» Вопрос — Заявитель разрабатывает обновление?! Отсутствует взаимосвязь с вопросами лицензирования, других юридических вопросов… Итак Заявитель сам определяет тип? Великолепно, вы можете заподозрить, что Заявитель постарается выбрать тип-2 или что полегче и скрыть реальную картину? Вам ответят, что все будет перепроверено Лабораторией! Но в таком случае зачем шум и гам, если и так ИЛ проверит?
16. Документ содержит веские но бессмысленные положения: «заявитель осуществляет гарантированное доведение до пользователей информации о необходимости обновления и предоставляет возможность его получения по каналу, который обеспечивает его целостность и доступность (далее – доверенный канал).» — что конкретно скрывается за такими положениями не ясно?
17. Далее идет описание порядка. Например, «Пользователь при получении указанной информации осуществляет в указанный срок получение обновления средства защиты информации и в течение одних суток с момента получения применяет его.» «Осуществляет получение» — это сродни «в случае появления облаков — осуществить получение дождя». Почему одних суток?
18. «Заявитель ежегодно организует проведение инспекционного контроля средства защиты информации с полным пакетом обновлений 1 типа в испытательной лаборатории.» Почему проведение ИК организует не Федеральный орган по сертификации а Заявитель? Кто то передает Заявителям эти функции? С чем связано проведение такого ИК? Не доверяем проведенной сертификации?
19. Далее последнее что хочется отметить: «Испытательная лаборатория в течение 15 дней проводит инспекционный контроль средства защиты информации с указанным пакетом обновлений и представляет техническое заключение по результатам инспекционного контроля заявителю«. Вот и передаем в рекомендательном документе управление Заявителю.

Выводы:

1. Проект документа очень сырой, местами безграмотный, в его составлении в первую очередь заинтересованы кто? Решайте сами…
2. Документ на мой взгляд вообще не нужен! Он скорее вреден, вводит дополнительные сущности и мешает четкому пониманию процедур.
3. Куда лучше было бы сформировать новое положение о сертификации и в него включить процедуры в режиме «Старой Школы» а не пытаться решить проблемы некоторых связок (Вендор-Заявитель-ИЛ) введением документа уровня ФСТЭК. При этом, очень безграмотного…