среда, 10 июля 2013 г.

Общение с ФСБ

В процессе общения с представителями ФСБ в последнее время отслеживается 2 основных тезиса, на которые они особенно обращают внимание:
1) Обеспечение защиты от недекларируемых возможностей;
2) Обеспечение защиты от внутренних угроз, в том числе от пользователей СКЗИ.

В данной статье я изложу свое видение пока первого пункта. 
Итак, в контексте этого заявления в различных беседах мне приходилось слышать следующее со стороны ФСБ: 
а) обеспечивать противодействие этим угрозам применением ПО, сертифицированного на контроль отсутствия НДВ; 
б) проходить процедуру оценки влияния всего используемого на ПЭВМ с СКЗИ ПО (железо в расчет не берем).

Выполнить эти условия, мягко говоря, затруднительно, к тому же они весьма дорогостоящие и небыстрые с точки зрения реализации. Я приводил следующие контраргументы для их опровержения:

а) использование ПО, сертифицированного на контроль отсутствия НДВ, относится к сфере регулирования ФСТЭК, в их документах нет никаких дополнительных требований по обязательной сертификации ПО в случае его совместного применения с СКЗИ. На запрос наличия таких требований в каких-либо документах ФСБ никаких ответов я не получал;

б) согласно п.35 ПКЗ-2005 состав ПО, совместно функционирующий с СКЗИ и требующий  проведения оценки влияния, определяет разработчик СКЗИ и согласовывает с заказчиком (если он известен заранее, т.е. идет работа под заказ), специализированной организацией и ФСБ. Обычно заказчик заранее не известен и поэтому разработчик прописывает в свою документацию (например, формуляр) вместо этого понятие "встраивание" и условия, при которых в случае его осуществления требуется оценка влияния. В документации также прописываются интерфейсы, через которые происходит взаимодействие СКЗИ с внешним ПО (встраивание). Данная документация как составляющая часть СКЗИ естественно в процессе сертификации проходит согласование ФСБ, в том числе и эти пункты. Таким образом, оценку влияния для ПО следует проходить только в тех случаях когда:

- разработчик данного ПО декларирует в своей документации взаимодействие с СКЗИ через интерфейсы, прописанные в документации на СКЗИ (сложно себе представить, что он это будет делать через какие-то другие механизмы, кроме того, для организации такого взаимодействия потребуется квалификация нарушителя, соответствующая моделям H4-H6, что для нас не будет являться актуальным в связи с меньшей ценностью защищаемой информации относительно затрат нарушителя на такой взлом);
- и выполняются правовые условия необходимости прохождения оценки влияния (об этом подробно я писал здесь, см. формуляр на СКЗИ).

Итоговый вывод - ни сертификаты на контроль отсутствия НДВ всего ПО, которое работает совместно с СКЗИ на одном с ним ПЭВМ (или вообще в системе), ни прохождение оценки влияния его, по моему разумению не нужны. Представители ФСБ пока взяли паузу, жду реакции от читателей. Возможно я чего-то не учел.

P.S. В контексте защиты персональных данных актуальность угрозы НДВ, основываясь на ПП-1119, должна определяться оператором самостоятельно и ФСБ не должна навязывать их.