В России существуют стандарты практически во всех областях. Качество большинства продуктов, так или иначе, сертифицируется, так почему должного внимание не уделяется сертификации средств защиты информации? Думаю, никто не будет покупать в магазине несертифицированную водку или того хуже медикаменты, не прошедшие сертификацию минздрава. Средства информационной безопасности по своей сути ни чем не отличаются от медикаментов. Назначение то же самое! Они должны работать и это должно гарантироваться кем-то на государственном уровне.
В этой публикации, открывающей собой цикл статей на тему государственного регулирования отрасти, я решил собрать информацию обо всех сертификатах антивирусных средств защиты, выданных ФСТЭК России. Приведу их ниже и попытаюсь рассказать об их отличиях, но сначала небольшое вступление.
В начале года президент РФ подписал указ "О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена". Согласно этому указу, государственные органы должны использовать только те средства защиты своих информационных ресурсов, которые прошли сертификацию в Федеральной службе безопасности и получили сертификат соответствия в Федеральной Службы по Техническому и Экспортному Контролю (ФСТЭК) России.
Отмечу, что требования сертификации средств защиты информации, используемых госорганами при подключении к сети Интернет в России, существовали и до принятия этого документа. Еще в 2004 году был издан Указ Президента РФ № 611, которым было установлено, что владельцы открытых и общедоступных государственных информационных ресурсов могут осуществлять их включение в состав объектов международного информационного обмена (читай Интернет) только при использовании сертифицированных средств защиты информации, обеспечивающих ее целостность и доступность, в том числе криптографических, для подтверждения достоверности информации.
Получается, что несертифицированные средства защиты попросту не могут продаваться в госсектор. Но что мы имеем в качестве контроля выполнения этих требований? По сути, реальные механизмы контроля соблюдения законности в области информационной безопасности просто отсутствуют. Кодексом РФ об административных правонарушениях введена ответственность за использование несертифицированных средств защиты (ст.13.12), но о судебных прецедентах по этой статье КоАП публике пока не известны.
Приведу ссылки на документы регламентирующие деятельность ФСТЭК, связанную с сертификацией средств защиты информации:
Итак, какой же выбор антивирусных средств защиты есть у законопослушного чиновника? Он не такой большой, приведу ниже списков компаний и продуктов имеющих действующий сертификат ФСТЭК.
Лаборатория Касперского
Компания имеет сертификат ФСТЭК №1384, который удостоверяет, что Антивирус Касперского 6.0 для Windows Workstation соответствует требованиям руководящего документа "Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей." (Гостехкомиссия России, 1999) - по 3 уровню контроля и требованиям технических условий.
ВирусБлокАда
Компания совсем недавно получила сертификат ФСТЭК №1671 такого же уровня, как и "Лаборатория Касперского", который удостоверяет, что программный комплекс антивирусной защиты «VBA32» версии 3.12, соответствует требованиям руководящего документа: "Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей." (Гостехкомиссия России, 1999) - по 4 уровню контроля и требованиям технических условий.
Доктор Веб
У компании "Доктор Веб" имеет сразу три сертификата ФСТЭК, которые, однако, по своему смыслу отличаются от описанных выше. В них говорится о том, что продукты семейства Dr.Web являются антивирусами, но ничего не сказано об отсутствии недекларированных возможностей.
- Сертификат ФСТЭК РФ № 591 на программный комплекс средств защиты информации «Антивирусный пакет Doctor Web» (просрочен)
- Сертификат ФСТЭК РФ № 1214 на «Комплекс программ антивирусной защиты»
- Сертификат ФСТЭК РФ № 1214/1 на «Комплекс программ антивирусной защиты»
Eset
Компания Eset также имеет сертификат ФСТЭК №1306 аналогичный "Доктор Веб" о том, что Eset Nod32 2.7 Enterprise Edition - это антивирус. Нужно отметить, что этот сертификат выдан на конкретную партию ПО - 300 штук, что выглядит несколько странно.
Trend Micro
В 2007 году продукты компании Trend Micro также получили сертификат ФСТЭК, о чем было объявлено в пресс-релизе. Trend Micro имеет сертификаты ФСТЭК, что партия ее продуктов из 50 экземпляров действительно являются антивирусами, на следующие продукты (только под операционную систему Windows):
- Trend Micro InterScan Messaging Security Suite 7.0
- Trend Micro InterScan Web Security Suite 2.5
- Trend Micro OfficeScan Client/Server Edition 8.0
- Trend Micro ScanMail Suite for Microsoft Exchange 8.0
- Trend Micro ScanMail for Lotus Domino 3.0
- Trend Micro Control Manager 3.5
Таким образом, ФСТЭК сертифицированы продукты только пяти вендоров. Из них двое («Лаборатория Касперского» и «ВирусБлокАда») имеют сертификаты об отсутствии недекларированных возможностей, а другие трое («Доктор Веб», Eset и Trend Micro) о том, что эти продукты являются антивирусами, а не чем-то иным.
P.S. Тема сертификации средств защиты набирает актуальность еще и потому, что в Интернет можно встретить десятки лжеантивирусов - фальшивок, которые могут продаваться под видом нормальных антивирусных программ.
Я планирую продолжить цикл публикаций на тему критериев выбора антививирусного ПО, сертификации, а также существующей правовой базы. Буду рад услышать ваши отзывы.
| Вложение | Размер |
|---|---|
 fstec_logo_sm.gif | 7.93 КБ |
