Поиск На главную Письмо нам
Институт компьютерных технологий
Новости О фирме Продукты Сертификаты Контакты
Консультации
Консультации

В данном разделе публикуются мнения наших экспертов по вопросам, связанным с защитой информации.

При использовании материалов раздела просьба ссылаться на наш сайт www.ict.com.ua.

1. Нужно ли засекречивать носитель информации аутентификации для комплексов защиты информации от несанкционированного доступа в информационно-телекоммуникационных системах, в которых обрабатывается информация, составляющая государственную тайну?

Согласно п.4.10.4.2 «Зводу відомостей, що становлять державну таємницю», значения паролей доступа в средствах защиты от несанкционированного доступа (разграничения доступа) к секретной информации в информационных или информационно-телекоммуникационных системах (или отдельных автоматизированных робочих местах) должны иметь гриф «секретно». Таким образом, соответствующий носитель информации также должен иметь гриф «секретно».

2. Будет ли соответствовать требованиям действующего законодательства Украины комплексная система защиты информации (КСЗИ) c грифом «Для служебного пользования» в АС класса 1, в которой в качестве комплекса средств защиты (КСЗ) от несанкционированного доступа (НСД) используются только штатные средства операционной системы (ОС) Microsoft Windows (без установки дополнительных средств защиты информации от НСД)?

В системе нормативных документов (НД) в области технической защиты информации (ТЗИ) в Украине отсутствует НД, устанавливающий требования к КСЗ от НСД в АС класса 1, где обрабатывается конфиденциальная информация, являющаяся собственностью государства («ДСП»). Поэтому в данном случае решение о соответствии или несоответствии конкретной КСЗИ требованиям законодательства принимают организатор экспертизы (эксперт) и сотрудники Администрации Госспецсвязи Украины, которые готовят решение Экспертного совета по данному вопросу.

Мы считаем, что если выполнены при все организационные мероприятия и технические требования для объектов 4 категории, Аттестат соответствия на такую КСЗИ может быть выдан только при условии, что на ПЭВМ (в АС) работает только руководитель организации, он же ведет делопроизводство «ДСК» и он же выполняет роли всех администраторов АС (в том числе системного).

Дело в том, что штатные средства операционных систем Microsoft Windows имеют ряд недостатков. Так, в частности, в случае использования в КСЗИ только штатных средств ОС Windows XP становится возможной умышленная или случайная реализация любым авторизованым пользователем (которому в связи с производственной необходимостью предоставлен доступ к каталогу жесткого диска, в котором хранятся файлы данных определенного типа, например, файлы текстовых документів в формате MS Word, с целью чтения и модификации) следующих угроз:
  • несанкционированного копирования файлов данных, содержащих информацию с ограниченным доступом (ИсОД), с использованием штатных средств ОС (например, "Проводника"), в каталоги жесткого диска, которые содержатся в профайле пользователя (например, каталог "Мои документы"), с получением (благодаря особенностям средств защиты ОС Windows XP) возможности самостоятельно предоставлять права доступа к соответствующему файлу другим пользователям, а также бесконтрольно его распространять, что приведет к нарушению конфиденциальности ИсОД;
  • несанкционированного экспорта данных, содержащих ИсОД, на съемные носители, разграничение доступа к которым средствами ОС Windows XP не осуществляется, что приведет к нарушению конфиденциальности ИсОД;
  • несанкционированной модификации файлов данных с использованием штатных средств ОС (например, программы "Блокнот"), которые не предназначены для обработки файлов данных соответствующего типа, что не только приведет к нарушению целостности ИсОД, но может вообще привести к блокированию возможности дальнейшей работы авторизованных пользователей с соответствующим файлом данных, т.е. к нарушению доступности информации.
Указанные недостатки штатных средств ОС Windows XP не позволяют обеспечить виполнение требований пунктов 34 и 39 «Инструкции о порядке учета, хранения и использования документов, дел, изданий и других материальных носителей информации, содержащих конфиденциальную информацию, являющуюся собственностью государства», утвержденной постановлением Кабинета Министров Украины от 29.11.1998 г. № 1893 в части обеспечения возможности доступа пользователей к отдельным документам исключительно в соответствии с указаниями, изложенными в резолюциях руководителй организаций (структурных подразделений), и обеспечения возможности снятий копий, а также осуществления выписок из документов с грифом «Для служебного пользования» сотрудниками организации, в которой находятся документы, исключительно с разрешения руководителя организации (структурного подразделения).

В случае использования в качестве КСЗ от НСД только штатних средств любой ОС Microsoft Windows не обеспечивается также выполнение требований п.п.6, 7 «Правил обеспечения защиты информации в информационных, телекоммуникационных и информационно-телекоммуникационных системах», утвержденных постановлением Кабинета Министров Украины от 29.03.2006 г. № 373, относительно обеспечения защиты ИсОД от несанкционированного и неконтролируемого ознакомления, модификации, уничтожения, копирования, распространения и обеспечения возможности предоставления пользователю права на выполнение одной или нескольких операций по обработке конфиденциальной информации или лишения его такого права. Эти требования могут быть удовлетворены только при условии реализации в КСЗ от НСД административного управления доступом, в то время как во всех ОС Microsoft Windows реализовано доверительное управление доступом.

Опубликовано 17.02.2011


3. Будет ли соответствовать требованиям действующего законодательства Украины комплексная система защиты информации (КСЗИ), составляющей государственную тайну, в АС класса 1, в которой в качестве комплекса средств защиты (КСЗ) от несанкционированного доступа (НСД) используются только штатные средства операционной системы (ОС) Microsoft Windows (без установки дополнительных средств защиты информации от НСД)?

Не будет ни при каких условиях и ни для каких технологий обработки информации.

Требования к КСЗ от НСД в АС класса 1, где обрабатывается информация, составляющая государственную тайну, установлены НД ТЗИ 2.5-007-2007. Ни одна из операционных систем Microsoft Windows этим требованиям не удовлетворяет.

Если даже предположить, что в организации к работе на конкретной ПЭВМ (в конкретной АС класса 1) допущен только один пользователь, или что у каждого пользователя есть свой персональный извлекаемый жесткий диск с ОС, то в этом случае без установки на ПЭВМ дополнительных средств защиты информации от НСД не будут выполняться требования п.п. 11, 12 «Правил обеспечения защиты информации в информационных, телекоммуникационных и информационно-телекоммуникационных системах», утвержденных постановлением Кабинета Министров Украины от 29.03.2006 г. № 373.

Опубликовано 17.02.2011


4. Одним из главных аргументов невозможности использования для защиты конфиденциальной информации, являющейся собственностью государства, или информации, составляющей государственную тайну, с использованием только штатных средств операционных систем (ОС) Microsoft Windows, является отсутствие в этих ОС административного управления доступом. Но в профиле операционной системы MS Windows Vista Ultimate с пакетом оновления Service Pack 1, приведенном в “Переліку засобів загального призначення, які дозволені для забезпечення технічного захисту інформації, необхідність охорони якої визначено законодавством України” на сайте Администрации Госспецсвязи Украины (www.dstszi.gov.ua), присутствуют услуги КА-2 и ЦА-1. Означает ли это, что все изложенное в ответах на предыдущие два вопроса не относится к ОС Windows Vista Ultimate?

Еще как относится.

Данный вопрос, а также целый ряд аналогичных вопросов возникают из-за несовершенства отечественной системы экспертизы в области технической защиты информации (ТЗИ). На титульном листе почти всех экспертных заключний указывается функциональный профиль, реализуемый конкретным средством защиты, уровень гарантий, стандартная фраза “відповідає вимогам нормативних документів системи технічного захисту інформації в Україні”, а также “магическая фраза” – “Вимоги до умов експлуатації та сфери використання об’єкта експертизи визначені у відповідному розділі цього експертного висновку”.
Вы никогда не пробовали получить полный текст любого экспертного заключения на средство ТЗИ в Администрации Госспецсвязи Украины, у Организатора экспертизы (организации, которая проводила экспертизу) или у Заказчика экспертизы (как правило – это производитель соответствующего средства ТЗИ)? Мы пробовали. Позже мы расскажем, что из этого получилось.

А сейчас вернемся к ОС Windows Vista. Поскольку наше предприятие выполняет работы по созданию КСЗИ в АС различных классов, мы 21.04.2009 г. направили в Администрацию Госспецсвязи Украины письмо следующего содержания:

“На Web-сайті Адміністрації Держспецзв’язку України опублікована інформація щодо експертного висновку № 164 від 24.12.2008 р. про відповідність операційної системи (ОС) MS Windows Vista Ultimate з пакетом оновлення Service Pack 1 та пакетом підтримки української мови (далі – ОС MS Windows Vista) вимогам діючих НД ТЗІ в Україні, із наведенням функціонального профілю захищеності інформації (ФПЗ) згідно з НД ТЗІ 2.5-004-99, який реалізується засобами зазначеної ОС. Серед функціональних послуг безпеки (ФПБ) у наведеному ФПЗ наявні, зокрема, ФПБ "Адміністративна конфіденційність" рівня КА-2 (далі – ФПБ КА-2) та "Адміністративна цілісність" рівня ЦА-1 (далі – ФПБ ЦА-1). У зв’язку з тим, що документ "Державна експертиза за критеріями технічного захисту інформації операційної системи MS Windows Vista Ultimate з пакетом оновлення Service Pack 1 та пакетом підтримки української мови. Технічні вимоги", на який є посилання на Web-сайті, у відкритому доступі відсутній, просимо (з метою коректного застосування можливостей зазначеної ОС щодо захисту інформації) надати нам такі роз’яснення:
1) чи поширюється політика ФПБ КА-2 та ЦА-1 на пасивні об’єкти, які являють собою файли даних довільного типа та зберігаються в каталогах файлової системи жорстких дисків ПЕОМ під керуванням ОС MS Windows Vista, тобто, чи забезпечується засобами ОС MS Windows Vista адміністративне керування доступом користувачів до захищених інформаційних ресурсів, які зберігаються в каталогах файлової системи жорстких дисків ПЕОМ у вигляді відповідних файлів;
2) чи перевірялась у ході державної експертизи відповідність реалізованих в ОС MS Windows Vista ФПБ КА-2 та ЦА-1 вимогам НД ТЗІ 2.5-007-2007 та 2.5-008-2002, які стосуються політики та порядку реалізації відповідних ФПБ у засобах захисту інформації, що становить державну таємницю або конфіденційної інформації, що є власністю держави;
3) якщо зазначена у попередньому пункті відповідність реалізованих в ОС MS Windows Vista ФПБ КА-2 та ЦА-1 вимогам НД ТЗІ 2.5-007-2007 та 2.5-008-2002 перевірялась, просимо повідомити, чи визнані за результатами державної експертизи політика та порядок реалізації цих ФПБ такими, що відповідають вимогам НД ТЗІ 2.5-007-2007 та 2.5-008-2002”.


Письмо было переадресовано в Государственное предприятие “Украинские специальные системы”, которое являлось Организатором экспертизы ОС Windows Vista. Ниже приведен их ответ от 09.07.2009 г. (оригинал письма хранится в нашем архиве):

“На Ваш запит щодо роз’яснення результатів державної експертизи у сфері технічного захисту інформації операційної системи MS Windows Vista Ultimate з пакетом оновлення Service Pack 1 та пакетом підтримки української мови повідомляємо наступне:
1. Політика ФПБ КА-2 та ЦА-1 засобів ОС Windows Vista не поширюється на пасивні об’єкти, які зберігаються в каталогах файлової системи жорстких дисків ПЕОМ у вигляді відповідних файлів. На вказані об’єкти поширюється політика довірчого керування доступом користувачів (ФПБ КД-2, ЦД-2). Довірче керування доступом (discretionary access control) – принцип керування доступом, який полягає в тому, що звичайним користувачам дозволено керувати (довіряють керувати) потоками інформації між іншими користувачами і об’єктами свого домена (наприклад, на підставі права володіння об’єктами) без втручання адміністратора (за НД ТЗІ 1.1-003-99).
2. У ході державної експертизи не виконувалась перевірка відповідності реалізованих в ОС MS Windows Vista ФПБ КА-2 та ЦА-1 вимогам НД ТЗІ 2.5-007-2007 та 2.5-008-002, які стосуються політики та порядку реалізації відповідних ФПБ у засобах захисту інформації, що становить державну таємницю або конфіденційної інформації, що є власністю держави”.


Комментарии излишни.

К сожалению, недостатками отечественной системы экспертизы в области ТЗИ успешно пользуются некоторые недобросовестные производители средств ТЗИ. Болем подробно поговорим об этом позднее.

Опубликовано 18.02.2011


5. Будет ли соответствовать требованиям действующего законодательства Украины комплексная система защиты информации (КСЗИ) c грифом «Для служебного пользования» в АС класса 2, в которой в качестве комплекса средств защиты (КСЗ) от несанкционированного доступа (НСД) используются только штатные средства операционных систем (ОС) Microsoft Windows (без установки дополнительных средств защиты информации от НСД)?

Почти все сказанное в ответах на вопросы 2, 4 в полной мере относится и к локальным вычислительным сетям (АС класса 2). Однако есть особенности, связанные с тем, что требования к КСЗ от НСД в АС класса 2 установлены НД ТЗИ 2.5–008–2002 «Вимоги із захисту конфіденційної інформації від несанкціонованого доступу під час оброблення в автоматизованих системах класу 2».

На наш взгляд документ, который был принят почти 10 лет назад, необходимо доработать с учетом опыта построения КСЗИ, накопленного за это время, а также с учетом изменений в законодательстве Украины.
Например, в п.6.5.15 определены четыре функциональных профиля защищенности обрабатываемой информации в зависимости от технологии обработки информации (цитируем):
  • під час застосування технології, що вимагає підвищених вимог до забезпечення конфіденційності оброблюваної інформації:
    2.К.3 = {КД-2, КА-2, КО-1, НР-2, НК-1, НЦ-2, НТ-2, НИ-2, НО-2};
  • під час застосування технології, що вимагає підвищених вимог до забезпечення конфіденційності та цілісності оброблюваної інформації:
    2.КЦ.3 = {КД-2, КА-2, КО-1, ЦД-1, ЦА-2, ЦО-1, НР-2, НК-1, НЦ-2, НТ-2, НИ-2, НО-2};
  • під час застосування технології, що вимагає підвищених вимог до забезпечення конфіденційності та доступності оброблюваної інформації:
    2.КД.1а = {КД-2, КА-2, КО-1, ДР-1, ДС-1, ДЗ-1, ДВ-1, НР-2, НК-1, НЦ-2, НТ-2, НИ-2, НО-2};
  • під час застосування технології, що вимагає підвищених вимог до забезпечення конфіденційності, цілісності та доступності оброблюваної інформації:
    2.КЦД.2а = {КД-2, КА-2, КО-1, ЦД-1, ЦА-2, ЦО-1, ДР-1, ДС-1, ДЗ-1, ДВ-1, НР-2, НК-1, НЦ-2, НТ-2, НИ-2, НО-2} (конец цитаты).
Однако профили 2.К.3 и 2.КД.1а не соответствуют требованиям п.6 «Правил обеспечения защиты информации в информационных, телекоммуникационных и информационно-телекоммуникационных системах», утвержденных постановлением Кабинета Министров Украины от 29.03.2006 г. № 373, относительно обеспечения защиты ИсОД от несанкционированной и неконтролируемой модификации, т.е. актуальными являются только профили 2.КЦ.3 и 2.КЦД.2а. Ни одна из операционных систем Microsoft Windows их не реализует.

Кроме того, положение п.6.5.16 НД ТЗИ 2.5–008–2002 о том, что “За певних обставин в КСЗІ вимоги до політики реалізації окремих послуг безпеки можуть частково забезпечуватися організаційними або іншими заходами захисту», противоречит п.п. 11, 12 постановления Кабинета Министров Украины от 29.03.2006 г. № 373. Это необходимо учитывать при разработке и экспертизе КСЗИ.

Таким образом, комплексная система защиты информации c грифом «Для служебного пользования» в АС класса 2, в которой в качестве КСЗ от НСД используются только штатные средства операционных систем Microsoft Windows (без установки дополнительных средств защиты информации от НСД), не будет соответствовать требованиям действующего законодательства Украины в области ТЗИ.

Опубликовано 23.02.2011


6. Будет ли соответствовать требованиям действующего законодательства Украины комплексная система защиты информации (КСЗИ), составляющей государственную тайну, в АС класса 2, в которой в качестве комплекса средств защиты (КСЗ) от несанкционированного доступа (НСД) используются только штатные средства операционных систем (ОС) Microsoft Windows (без установки дополнительных средств защиты информации от НСД)?

В системе нормативных документов (НД) в области технической защиты информации (ТЗИ) в Украине отсутствует НД, устанавливающий требования к КСЗ от НСД в АС класса 2, где обрабатывается информация, составляющая государственную тайну.
Поэтому в данном случае решение о соответствии или несоответствии конкретной КСЗИ требованиям законодательства принимают организатор экспертизы (эксперт) и сотрудники Администрации Госспецсвязи Украины, которые готовят решение Экспертного совета по данному вопросу.

Мы считаем, что если ни одна из ОС не соответствует требованиям, установленным НД ТЗИ 2.5–008–2002 «Вимоги із захисту конфіденційної інформації від несанкціонованого доступу під час оброблення в автоматизованих системах класу 2» (см. ответ на вопрос 5), то тем более комплексная система защиты информации, составляющей государственную тайну, в АС класса 2, в которой в качестве КСЗ от НСД используются только штатные средства операционных систем Microsoft Windows (без установки дополнительных средств защиты информации от НСД), не будет соответствовать требованиям действующего законодательства Украины в области ТЗИ.

Опубликовано 01.03.2011


7. Можно ли использовать для защиты информации с ограниченным доступом, требование к защите которой установлено законом (конфиденциальной информации, не являющейся собственностью государства, в том числе конфиденциальной информации о личности – персональных данных), средства КЗИ иностранного производства, которые имеют положительное экспертное заключение по результатам государственной экспертизы в сфере КЗИ, но реализуют криптоалгоритмы и криптопротоколы, которые не являются национальными стандартами или не рекомендованы Администрацией Госспецсвязи Украины?

Мы обратились с этим вопросом в Администрацию Госспецсвязи Украины и получили следующий ответ (цитируем):
«Відповідно до пункту 1.2 “Положення про порядок розроблення, виробництва та експлуатації засобів криптографічного захисту інформації”, яке затверджене наказом Адміністрації Держспецзв’язку від 20.07.2007 № 141 (далі – Положення) вимоги Положення є обов’язковими для виконання державними органами, підприємствами, установами і організаціями незалежно від форм власності, діяльність яких пов’язана з розробленням, виробництвом, сертифікаційними випробуваннями та експлуатацією засобів криптографічного захисту конфіденційної інформації, інформації, що є власністю держави, або інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом.
Пунктом 4.1 Положення встановлено, що для криптографічного захисту інформації використовуються засоби КЗІ, які мають сертифікат відповідності або позитивний експертний висновок за результатами державної експертизи у сфері криптографічного захисту інформації.
Таким чином, засоби КЗІ іноземного виробництва, можуть використовуватись для захисту інформації відповідно до положень експертного висновку за результатами державної експертизи у сфері криптографічного захисту інформації.
Відповідно до пункту 2.12 Положення у засобах КЗІ повинні використовуватися криптоалгоритми та криптопротоколи, які є національніми стандартами, або рекомендовані Адміністрацією Держспецзв’язку».
Мы также задали вопрос: какие криптоалгоритмы и криптопротоколы, не являющиеся национальными стандартами, рекомендованы Администрацией Госспецсвязи для защиты информации с ограниченным доступом, требование к защите которой установлено законом (конфиденциальной информации, не являющейся собственностью государства, в том числе конфиденциальной информации о личности – персональных данных)?
Ответ Администрации Госспецсвязи (цитируем):
«На цей час Адміністрацією Держспецзв’язку рекомендований для захисту конфіденційної інформації, що є власністю держави алгоритм асиметричного шифрування, що заснований на еліптичних кривих (“Алгоритм асимметричного шифрования, основанный на эллиптических кривых”) згідно опису 804.АШЧА.466451.025.ПБ, який не є національним стандартом».

Опубликовано 22.09.2011


Copyright © 2000-2012, ООО «Институт компьютерных технологий»®