Сертефикация SOFTа на отсутсвие закладок. Что это дает?

"И все-таки мой продукт лучше, потому что он имеет сертификат по требованиям безопасности информации!" - так смело может заявить любой, кто выходит на рынок информационных технологий с программными решениями по безопасности информации, имеющими указанные сертификаты. Попробуем разобраться, насколько верно это утверждение.

Так как вопросы полезности наличия на средство защиты сертификата как такового рассматривались автором в докладе на ежегодной конференции Ассоциации документальной электросвязи в декабре 2000 года и опубликованы в виде статьи в журнале АДЭ  6(2001), то в данной статье основное внимание будет уделено тем преимуществам, которые дает наличие на программное обеспечения (ПО) сертификата, подтверждающего отсутствие в этом ПО так называемых недекларированных возможностей (НДВ).

Небольшое отступление, чтобы, как говорят, определиться в тезаурусе.

Сертификация на отсутствие недекларированных возможностей (программных закладок) ориентирована на специализированное ПО, предназначенное для защиты информации ограниченного доступа. На сегодняшний день суммарный объем такого ПО достаточно велик, что связано с необходимостью защиты самой разнообразной информации при ее порождении, обработке, транспортировке и т.п. Очевидно, что вопрос защиты информации актуален для организаций любой формы собственности, поэтому потенциальными потребителями такого специализированного ПО являются как государственные структуры, так и коммерческие. Вместе с тем, следует иметь в виду, что сертификационные испытания, о которых будет сказано далее, законодательно не применимы (пока, во всяком случае) к программному обеспечению средств криптографической защиты информации.

Сертификационные испытания на отсутствие недекларированных возможностей предполагают глубокое исследование ПО и связаны с анализом как исполняемого кода, так и исходного с целью установления факта отсутствия (либо наличия) в некотором программном решении функциональных возможностей, не документированных разработчиком.

Методологической основой таких исследований являются общие принципы анализа программ с учетом аспектов, связанных с информационной безопасностью. Теоретические и практические работы в данной области известны не первый год. Однако, переход этих мероприятий в число регулируемых Российским государством в интересах информационной безопасности произошел, фактически, в 1999 году с появлением в системе сертификации Гостехкомиссии России нового руководящего документа "Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей".

Данным документом предусмотрено четыре уровня контроля ПО, отличающихся глубиной, объемом и условиями проведения испытаний. Наличие нескольких уровней контроля ПО при проведении испытаний на отсутствие НДВ, с одной стороны, регламентирует степень конфиденциальности информации, защита которой осуществляется ПО, проверенным по тому или иному уровню. С другой стороны, разные уровни контроля позволяют дифференцировать степень вероятности отсутствия в исследуемом ПО этих самых недекларированных возможностей.

Самый низкий уровень контроля - четвертый. Данный уровень предусмотрен для проверки ПО, используемого при защите конфиденциальной информации. Для ПО, используемого для защиты информации, отнесенной к государственной тайне, при проведении испытаний должен быть обеспечен уровень контроля не ниже третьего. Причем, в соответствии с требованиями отечественного законодательства для программных продуктов, предназначенных для обработки информации, составляющей государственную тайну, проведение испытаний по соответствующим уровням контроля отсутствия НДВ обязательно.

Не вдаваясь в подробности относительно требований к первому и второму уровню контроля (которые предусмотрены при проверке ПО, используемого для защиты секретной информации с особо высокими грифами), рассмотрим различия в контроле по четвертому и третьему уровню контроля.

Как уже упоминалось, основное идеологическое их различие состоит в том, что они ориентированы на проверку ПО, предназначенного для защиты качественно различной информации - конфиденциальной и секретной соответственно.

Существенным различием между указанными уровнями контроля является то, что четвертый уровень предполагает мероприятия только по статическому анализу ПО, а при третьем уровне контроля выполняются мероприятия как по статическому анализу, так и по динамическому анализу. В терминах руководящего документа Гостехкомиссии России под статическим анализом понимается совокупность методов контроля несоответствия/несоответствия реализованных и декларированных в документации функциональных возможностей ПО. Данные методы основаны на структурном анализе и декомпозиции исходных текстов программ. Под динамическим анализом также понимается совокупность методов контроля соответствия/несоответствия реализованных и декларированных в документации функциональных возможностей ПО. Эти методы основаны на идентификации фактических маршрутов выполнения функциональных объектов (элементов программ) с последующим сопоставлением потенциальным маршрутам выполнения, построенным в процессе проведения статического анализа. Другими словами, на этапе статического анализа мы получаем вероятностную картину поведения ПО и проверяем, как это соответствует утверждениям разработчика. А на этапе динамического анализа появляется возможность реальной проверки поведения ПО в заявленных разработчиком режимах функционирования и производится сравнение реального и вероятностного поведения ПО.

Следует отметить, что и процесс статического анализа в части технологических операций отличен для четвертого и третьего уровня контроля. Отличие заключается в объеме регламентированных технологических операций для каждого уровня. На мой взгляд (что, вероятно, является дискусионным утверждением) подмножество технологических операций по статическому анализу для четвертого уровня могло бы быть более полным по отношению к множеству таких операций для третьего уровня.

Это утверждение вовсе не означает, что статический анализ для четвертого уровня является каким-то несерьезным. Решение основной задачи - поиск НДВ -осуществляется и на регламентированном подмножестве технологических операций. Проводится контроль соответствия исходных текстов ПО его загрузочному (объектному) коду, контролируется на уровне файлов полнота и отсутствие избыточности представленного исходного кода, выполняются мероприятия по контролю исходного состояния ПО, связанные с фиксацией исходного состояния с помощью механизмов контрольного суммирования и последующим сравнением результатов фиксации с приведенными в документации, осуществляется экспертиза представленной разработчиком технологической и эксплуатационной документации на ПО. В процессе анализа производится поиск так называемых инженерных паролей, позволяющих обходить механизмы защиты. Выполняется контроль правильности сборки исполняемого кода из исходного с целью исключения возможности доступа к отладочной информации в процессе штатного функционирования ПО.

Вместе с тем, мероприятия по статическому анализу ПО для третьего уровня контроля дополнительно предусматривают проведение анализа полноты и отсутствия избыточности представленного исходного кода на уровне функциональных объектов (процедур), осуществление контроля связей функциональных объектов по управлению и информации, выполнение контроля информационных объектов различных типов, формирование перечня потенциальных маршрутов выполнения функциональных объектов.

В принципе, разработчика ПО, которое позиционируется как средство защиты конфиденциальной информации, никто не заставляет проводить сертификацию по НДВ, она добровольна. Однако, в такой сертификации есть преимущества, о чем будет сказано ниже. С другой стороны, учитывая более полные критерии статического анализа для третьего уровня контроля, разработчик ПО, которое и не предназначено для защиты информации, отнесенной к государственной тайне, ровным счетом ничего не потеряет, если сертифицирует это ПО по третьему уровню контроля. А приобретет такой разработчик потенциальную возможность выхода на государственных рынок, получит более красивый и большой флаг для размахивания перед потребителем, поскольку оценка присутствия в его ПО недекларированных возможностей хоть и останется вероятностной, но будет более строгой. В любом случае участие разработчика ПО в процессе сертификации по контролю отсутствия НДВ будет актуальным, поскольку актуальной в настоящее время является сама проблема программных закладок.

Рассмотрим вкратце предпосылки повышения актуальности испытаний на отсутствие НДВ. Во-первых, существенно вырос уровень возможностей разнообразных средств защиты информации, что сделало дорогостоящими и малоперспективными мероприятия по взлому систем защиты "в лоб", без знания их принципов построения и функционирования. Во-вторых, неизмеримо возросла значимость и ценность защищаемой информации разной степени конфиденциальности. В-третьих, потребитель информации в целом вник в суть проблемы и стал опасаться попыток несанкционированного доступа к своей информации не только со стороны так называемых хакеров, но и со стороны разработчиков программного обеспечения, фискальных органов и т.п. Стало очевидно следующее: с одной стороны, для получения несанкционированного доступа к информации злоумышленнику гораздо проще воспользоваться заранее подготовленными закладками в программном обеспечении, с другой стороны, потребитель хочет иметь гарантии того, что таким способом к его информации доступа нет.

На мой взгляд, наличие у производителя или поставщика ПО сертификата, подтверждающего отсутствие в продукции программных закладок, позволяет учитывать последнее обстоятельство и уверенно идти к сердцу потребителя по новой, более короткой дорожке. Вместе с этим, к сертифицированной продукции существенно повышается доверие старых заказчиков, крупных корпоративных потребителей. А их отношение дорогого стоит.

За счет чего же можно увереннее разговаривать с потребителем? В чем преимущества сертифицированного по контролю отсутствия НДВ программного средства? На мой взгляд, такие преимущества условно можно разделить на два вида: технологические и потребительские (маркетинговые).

Технологические преимущества получает непосредственный разработчик сертифицированного ПО. Маркетинговые преимущества - и разработчик, который самостоятельно реализует ПО на потребительском рынке, и компании, реализующие сертифицированное ПО на правах дилеров, системных интеграторов и т.п. Рассмотрим подробнее указанные виды преимуществ.

Суть технологических преимуществ обусловлена самой спецификой проведения сертификационных испытаний такого рода. Технологические операции, присущие контролю отсутствия НДВ, такие, как идентификация объекта сертификации, мониторинг сборки исполняемого кода из исходного, мониторинг начальной инсталляции ПО, статический анализ исходного кода позволяют получить большой объем полезной аналитической информации. Как уже упоминалось ранее, возможно четко соотнести исходный и исполняемый код ПО, выявить и устранить избыточность представленного на испытания исходного кода (которая присуща многим проектам, особенно большим по объему и разработанным разными программистами), однозначно определить действия ПО в процессе начальной инсталляции и деинсталляции по отношению к системным областям операционной системы ЭВМ, получить ряд других характеристик ПО. Полученные результаты испытаний могут быть использованы разработчиком для проведения углубленного анализа своего продукта, планирования и реализации корректирующих воздействий по отношению к ПО в части усовершенствования процессов его разработки и сопровождения.

Характерная для более высоких уровней контроля по отсутствию НДВ технологическая операция по динамическому анализу ПО предусматривает фактическое его тестирование. Причем, такое тестирование является углубленным, учитывающим не только функциональные возможности исследуемого ПО, но и его технологические и структурные особенности. Это объясняется необходимостью инициирования отработки программой тех логических маршрутов ее выполнения, которые были определены как потенциальные на этапе статического анализа исходного кода. Не вызывает сомнения полезность для разработчика таких результатов тестирования, выполненных независимой организацией. Дополнительно разработчик ПО получает исчерпывающую информацию о степени соответствия представленной на сертификационные испытания программной документации требованиям соответствующих нормативных документов. Понятно, что такая информация также не бесполезна для разработчика при сопровождении своего продукта, разработке новых версий или новых программных продуктов.

Следующий важный момент - процесс испытаний по контролю отсутствия НДВ объективно предполагает постоянный тесный контакт испытателя и разработчика, что зачастую позволяет разработчику оперативно улучшать функциональные и потребительские свойства ПО непосредственно в процессе испытаний. При этом, в интересах разработчика испытания могут быть выполнены на его производственной базе (по опыту нашей компании - даже в условиях дальнего зарубежья).

К числу потребительских или маркетинговых преимуществ я бы отнес следующее:

Государственный документ - сертификат - с определенной степенью вероятности, зависящей от уровня проведенного контроля, подтверждает тот факт, что в проверенном ПО нет явных программных конструкций, использование которых предполагает возможность несанкционированного доступа, нарушения целостности защищаемой информации. Кроме того, подтверждается отсутствие также являющихся не декларированными так называемых критичных программных конструкций, способных при определенных условиях спровоцировать нештатные действия по отношению к защищаемой информации (например, конструкции, связанные с проблемой 2000 года, с возможностью доступа к отладочной информации и т.п.).

При проведении испытаний по более высоким уровням контроля результирующим сертификатом фактически подтверждается способность ПО реализовывать свои продекларированные возможности.

По результатам проведенных испытаний ПО приобретает четкий идентификационный признак - зафиксированные контрольные суммы исходных и исполняемых файлов, позволяющий осуществлять мероприятия по контролю целостности сертифицированного ПО на этапах эго разработки, тиражирования и эксплуатации.

Немаловажным фактором является и то обстоятельство, что критерии оценки ПО регламентированы системой сертификации Гостехкомиссии России, изначально ориентированной на защиту информации, отнесенной к государственной тайне. Смею предположить, что эта система критериев достаточно серьезна и обоснована и вполне может быть применима для оценки защитных свойств ПО, оперирующих не только секретной, но и конфиденциальной информацией.

Следующим преимуществом в глазах потребителя должен быть и тот факт, что за доставку к потребителю именно сертифицированного ПО отвечает не только его разработчик, но и проводившая испытания сертификационная лаборатория, которой нормативными документами вменены соответствующие контрольные функции. И, наконец, дополнительная услуга, которую, по опыту работы нашей компании, готова предложить испытательная лаборатория - подтверждение соответствующим актом установки именно сертифицированного программного обеспечения на объектах конечных пользователей.

Хотел бы отметить еще один аспект обсуждаемой темы. Данный аспект не может быть подвержен предложенной выше классификации преимуществ, однако, являясь объективной реальностью, должен быть учтен заинтересованными сторонами. Общеизвестно, что действие сертификата соответствия в системе сертификации Гостехкомиссии России ограничено по времени. Также общеизвестна процедура подтверждения и пролонгации действия сертификата, основанная на анализе соответствия сертифицированных свойств вновь представляемого на сертификацию продукта по отношению к аналогичным свойствам сертифицированного эталона. Понятно, что при наличии нового руководящего документа по контролю отсутствия НДВ в ПО возникает определенная коллизия, выраженная в том, что ранее сертифицированные средства защиты информации (в части ПО), имеющие сертификаты соответствия, которые позволяют использовать эти средства для защиты государственной тайны, после завершения действия данных сертификатов не могут быть пересертифицированы в том же качестве без учета требований нового руководящего документа. Либо такая пересертификация, без проверки ПО на отсутствие НДВ, по факту своего завершения понизит гриф информации, обрабатываемой с помощью пересертифицированного средства защиты, до уровня конфиденциальной, без права обработки информации, отнесенной к государственной тайне. Вероятно, наличие сертификата по соответствующему уровню контроля отсутствия НДВ в такой ситуации все же является определенным преимуществом для программных решений, претендующих и дальше позиционироваться на государственном рынке средств защиты информации.

Видимо, теоретизировать по данной проблеме можно еще довольно много. Хотел бы отметить, что все предыдущие рассуждения - не плод моих личных досужих размышлений, а оценка деятельности испытательных лабораторий, прозвучавшая из уст представителей многих компаний, в интересах которых проводились испытания по контролю отсутствия НДВ.

Есть примеры, когда результаты проведенных испытаний позволяли разработчику усовершенствовать свои технологические решения, выходить на новые сегменты рынка и т.д.

Особенно показательны одни из последних испытаний - сертификация ПО цифровой универсальной системы связи "CORAL-3" - первые в России испытания по контролю НДВ программного обеспечения АТС иностранного производства. Объективные предпосылки этих испытаний - отсутствие (в связи с затянувшейся разработкой) нормативного документа с требованиями по безопасности в отношении АТС; потенциальная востребованность (из-за хороших потребительских качеств) данных систем связи в силовых министерствах России и государственных структурах; необходимость наличия сертификата по безопасности информации для продвижения данной продукции на этот рынок. Результаты и преимущества, полученные в результате сертификации - наличие сертификата Гостехкомиссии России с правом участия в обработке конфиденциальной информации; формальное удовлетворение требований заинтересованных силовых ведомств и государственных структур; достигнутое в процессе испытаний совместное понимание разработчиком и испытателями тех технологических мероприятий, которые сделают возможным проведение испытаний по более высокому уровню контроля, сертификат по результатам которого позволит использовать данную продукцию при обработке секретной информации.

В заключение, повторю свой тезис из предыдущей публикации - используя сертифицированное по контролю отсутствия НДВ программное обеспечение заказчик получает средства, которые с определенной степенью вероятности делают две простые вещи:

Об авторе: Пономаренко Геннадий Владимирович, руководитель испытательной лаборатории ЗАО "НПП "Безопасные информационные технологии". Тел. (095) 263-42-02, факс (095) 261-49-69, e-mail: gena@npp-bit.ru

Источник: НПП "Безопасные информационные технологии"

Публикации по теме

31 января 2018 Meltdown и Spectre - как бороться с уязвимостями нового поколения.
29 апреля 2014 MDM-система берет гаджеты под контроль Многие компании закупают за свой счет мобильные гаджеты для сотрудников, часто бывающих в командировках. В этих условиях у ИТ-службы появляется насущная необходимость контролировать устройства, которые имеют доступ к корпоративным данным, но при этом находятся за пределами периметра корпоративной сети.
28 февраля 2014 Антивирус для смартфона – уже не прихоть, а необходимость Как известно, десять лет назад появился первый в мире мобильный вирус Cabir. Он был разработан для заражения телефонов Nokia Series 60, атака заключалась в появлении слова «Caribe» на экранах заражённых телефонов. Современные вирусы для мобильных устройств гораздо более опасны и многообразны.
28 января 2014 Защита для виртуальных систем По принципу своей работы виртуальные машины напоминают физические. Поэтому для киберпреступников, атакующих корпоративные сети с целью хищения денег или конфиденциальной информации, привлекательны как виртуальные, так и физические узлы.
30 декабря 2013 Стремительная эволюция систем Endpoint Security Решения для защиты конечных точек появились на рынке не так давно, фактически после начала массового развертывания в компаниях локальных сетей. Прообразом этих продуктов послужил обычный антивирус для защиты персонального компьютера.