Одна мера безопасности на всех?

Американские власти отстаивают идею Common Criteria, нового набора стандартов по тестированию систем защиты.

«В конечном счете нам всегда приходится обращаться к производителям с просьбой изменить конфигурацию их продуктов», — заметил Дэвид Честер, региональный менеджер по технической защите компании Southwestern Bell.

По его мнению, было бы прекрасно, если бы вся эта считающаяся защищенной продукция проходила определенную экспертизу на основе общепринятых стандартов, что позволило усилить ответственность производителей за свои продукты.

Желание Честера сможет осуществиться благодаря реализации новой программы, получившей название National Information Assurance Partnership (NIAP), которая осуществляется Агентством по национальной безопасности (NSA) и Национальным институтом по стандартам и технологии (NIST).

Прошедшим летом NSA и соответствующие ведомства ряда других стран, поддерживающих дружественные отношения с США, договорились об определении единого набора стандартов по тестированию (получившего название Common Criteria — «общие критерии») инструментальных средств защиты, операционных систем и баз данных. Такой набор стандартов позволит упростить принятие решения при покупке программных продуктов и предоставит возможность корпоративным заказчикам приобрести системы с более надежной защитой.

Производители, которые претендуют на получение сертификата соответствия NIAP, будут участвовать в программе, с тем чтобы получить подтверждение соответствия постоянно ужесточающимся требованиям защиты. Если программный продукт не проходит тестов, производитель получает шанс доработать его до начала массового выпуска.

Конечно, можно ничего не менять, но тогда не будет и сертификата соответствия.

«Раньше нам приходилось полагаться на декларации производителей, — заметил Майкл Якобс, заместитель директора NSA по безопасности информационных систем. — Если при реализации новой программы нам будет сопутствовать успех, то информация о наличии сертификата NIAP у коммерчески распространяемых продуктов будет доступна для любого потенциального покупателя».

Цели NIAP звучат многообещающе, особенно принимая во внимание недовольство заказчиков, подобных Честеру, тем, что операционная система, сетевое программное обеспечение или программные инструменты защиты по самой своей природе не отвечают требованиям должного уровня безопасности.

«Мы всегда следуем трем правилам. Правило первое: ?Производители лгут?. Второе правило: ?Смотри правило первое?. Правило третье: ?Иди вперед?, — подчеркнул Патрик Макбрайд, исполнительный вице-президент Meta Security Group.

Самая серьезная проблема, которую должны преодолеть приверженцы идеи Common Criteria, состоит в том, что власти могут злоупотребить получаемым ими правом контроля за разработчиками программного обеспечения и корпоративными системами информационной защиты. Некоторые аналитики даже считают, что Common Criteria на самом деле может увеличить, а не уменьшить неразбериху, связанную с тестированием и распространением программных продуктов защиты.

«Эта идея не нова», — отметил доктор Джеральд Ковасич, специалист по расследованию преступлений, связанных с использованием высоких технологий, который пишет монографии и читает лекции по защите информации и компьютерным преступлениям. Ковасич возглавлял одну из шести групп, подготовивших в апреле 1989 года отчет, который убеждал NSA и NIST в необходимости новых принципов контроля за обеспечением безопасности, которые получили бы международное признание и были бы менее сложными, нежели действующий в течение многих лет стандарт Министерства обороны США Trusted Computer System Evaluation Criteria («Критерии оценки надежных компьютерных систем»), известный также как Orange Book («Оранжевая книга»).

Во многом аналогичный современным «Общим критериям», отчет Ковасича призывал к созданию своего рода «лаборатории», целью которой была бы оценка систем защиты.

Специалисты обращают внимание также на правительственный контроль за технологиями шифрования и недавнюю инициативу администрации президента Клинтона, направленную на создание федеральной системы выявления вторжений в сети FIDNET, которая подвергалась серьезной критике со стороны ряда частных фирм, а затем была отвергнута сенатским бюджетным комитетом. Анализируя шаги правительства в отношении защиты киберпространства, Ковасич заявил, что он обеспокоен возможностью передачи программы NIAP в руки NSA.

«Поверите ли вы в то, что программный продукт обеспечивает нужный уровень безопасности, на основании сертификата именно того правительственного учреждения, которое, как известно, пользуется уязвимостью информационных систем и тайно вскрывает программы», — заметил он.

Введение новых мер контроля за программным обеспечением беспокоит и производителей. Дрю Уильямс, менеджер по продуктам компании Axent Technologies, отметил: «Эта инициатива открывает новый ряд ограничительных мер, которые могли бы затронуть и другие технологии, например, процессорные. Я думаю, что подобные действия вызовут возмущение и сопротивление частного сектора».

Такая точка зрения имеет право на существование. Однако при этом стоит отметить следующее. Стандарт Common Criteria создан «во исполнение» директивы Presidential Decision Directive 63 (PDD63), подписанной президентом Клинтоном летом прошлого года с целью защитить то, что власти называют «критически важной инфраструктурой». Американское правительство обеспокоено тем, что организованные контратаки на телефонную и транспортную сети, а также на экстренные службы и другие критически важные отрасли могут нанести ущерб экономике и обороноспособности страны.

Якобс предсказывает, что исполнение директивы PDD63 может привести к установлению новых правил контроля за программным обеспечением со стороны правительства. Кроме того, ФБР обратилось к правительственным организациям с просьбой установить строгие правила обеспечения безопасности для частных компаний, отнесенных к критически важным частям национальной инфраструктуры. Эти правила, в частности, могли бы налагать определенные ограничения и на то, какие системы безопасности этим компаниям разрешено приобретать.

Пока, как подчеркнул Якобс, он не опасается внедрения каких-либо правил, регулирующих работу производителей и покупателей, относящихся к частному сектору. Но сейчас он работает с представителями министерства обороны и Агентства национальной безопасности над выработкой документа, который обяжет определенные категории потребителей приобретать только продукты, прошедшие экспертизу.

«Очень сложно ориентироваться на рынке, где действуют сотни производителей и несколько сотен продуктов, поэтому мы должны навести здесь определенный порядок», — заметил Якобс.

Появление Common Criteria обернется для покупателей тем преимуществом, что они смогут просматривать открытые профили защиты программных продуктов, получивших сертификат NIAP. Они смогут руководствоваться типовыми профилями защиты, предложенными правительством, или установить свои собственные.

«Профиль защиты — это обобщенный набор требований, который могли бы составить заказчики, будь они из министерства обороны, из министерства торговли или из частной компании. В этой ситуации все мы — заказчики», — подчеркнул Рон Росс, координатор программы NIAP от NIST, являющегося, кстати, структурным подразделением министерства торговли.

И тут возникает новая проблема. Если так много стран и покупателей могут выдвинуть свои собственные требования к защите, то как при этом ограничить сложность и продолжительность тестирования? Этот вопрос волнует Дональда Крысаковски, директора корпоративных программ Международной ассоциации компьютерной безопасности (International Computer Security Association — ICSA) — частной организации, занимающейся экспертизой инструментальных средств защиты. ISCA по предложению NSA будет выступать в качестве тестовой лаборатории Common Criteria.

Но по крайней мере на государственном уровне программа может упростить принятие решения о приобретении программных продуктов.

США, Канада, Франция, Великобритания и Германия (а в скором времени и Нидерланды), принимающие участие в реализации этой инициативы, согласились доверять сертификатам друг друга и не требовать от производителя необходимости подвергать тестированию свой программный продукт в каждой из этих стран.

Крысаковски и Ковасич также считают, что правительство, и это общеизвестно, не торопится с конкретными действиями. К примеру, подготовленное правительством США 54-страничный профиль межсетевого экрана существует уже два года и не обновлялось ни разу. В этом профиле перечислено 16 возможных видов атак, предпринимаемых на межсетевые экраны, в соответствии с которыми и производится их тестирование, однако в этот перечень не входит ряд более современных методов нарушений защиты. Вот почему частным компаниям может потребоваться возможность определения своих собственных профилей защиты. И покупатели, без сомнения, будут такие профили составлять.

Крысаковски также уверен, что профили NIAP только сбивают с толку покупателей (как и слишком длинный профиль для межсетевых экранов, подготовленный NSA). Покупателям становится еще труднее подготовить свой собственный профиль требований, даже с помощью предлагаемого NIAP визуального инструментария.

«Если ваша компания невелика и у вас нет специалиста, который разбирался бы в тонкостях тестирования по Common Criteria, вам придется туго, — добавил Крысаковски. — Да нам и самим пришлось изрядно потрудиться, чтобы понять, как это все работает».

Якобс признает, что эти и другие проблемы будут постепенно разрешаться.

«Это итерационный процесс», — отметил он. Якобс также считает, что с развитием программы будут сокращаться временные и материальные затраты. Сейчас процесс сертификации в среднем занимает около полугода и обходится производителю в 250 тыс. долл.

«Это не панацея, — подчеркнул Якобс, — но программа Common Criteria обладает немалым потенциалом для того, чтобы улучшить ситуацию с защитой как для госучреждений, так для частных фирм».

Пять составных частей защиты