Чтобы тайное не стало явным

28.04.2003 Наталья Жилкина

Государственная техническая комиссия при Президенте РФ и представительство Microsoft в России и странах СНГ организовали 27 марта совместную пресс-конференцию, где было объявлено о передаче серверной OC Microsoft Windows Server

2003 и настольной OC Microsoft Windows XP для сертификации на соответствие требованиям по защите информации от несанкционированного доступа. Тестирование продуктов будет проводиться Гостехкомиссией на соответствие текущим ГОСТам, а также перспективным стандартам, принятие которых ожидается к 2004 г.

За основу государственных отечественных стандартов взят международный стандарт «Общие критерии оценки безопасности информационных технологий» (Common Criteria for Information Technology Security Evaluation), пришедший на смену прежнему US TCSEC (по нему определялся уровень защиты C2) и European ITSEC. Стандарт Common Criteria разрабатывался с целью облегчить заказчикам поиск продуктов, удовлетворяющих их требованиям; он представляет собой систему строгих независимых критериев безопасности (так называемых «профилей защиты» — Protection Profiles), а для оценки информационных продуктов устанавливает гарантированные уровни соответствия (Evaluations Assurance Levels, EAL).

Сертификация на соответствие этому стандарту свидетельствует о высокой надежности системы защиты продукта (хотя и не исключает наличие в нем уязвимых мест). Не так давно Microsoft Windows 2000 была протестирована независимой компанией Science Applications International Corporation (SIAC) и успешно выдержала испытания по ряду тестов, в том числе по некоторым не стандартным критериям: защита конфиденциальных данных, служба каталогов, виртуальные частные сети, средства создания цифровых подписей, однократный вход в систему, средства управления сетью, средства администрирования настольных ПК. По результатам тестов подтверждено, что семейства систем Windows 2000 отвечают уровню EAL4 + Flaw Remediation — самому высокому для операционных систем.

Common Criteria принят в 14 странах мира и де-факто уже является государственным стандартом России, а с 1 января 2004 г. планируется ввод в действие новых стандартов: ГОСТ Р ИСО/МЭК 15408-1-2002, ГОСТ Р ИСО/МЭК 15408-2-2002, ГОСТ Р ИСО/МЭК 15408-3-2002. Их принятие позволит российским потребителям сократить затраты и сроки сертификации высокотехнологичных продуктов. При этом будут сохранены национальные требования безопасности информации, включая защиту государственной тайны.