Станут ли критерии общими?

17.12.2003 Сергей Орлов

«Инфосистемы Джет» и Гостехкомиссия РФ объявили о присвоении межсетевому экрану Z-2, разработанному компанией «Инфосистемы Джет», сертификата на соответствие новому стандарту ГОСТ/ ИСО МЭК 15408-2002 («Общие критерии безопасности информационных технологий

»). Это первый в России сертификат по данному стандарту — российскому варианту международного стандарта Common Criteria, официально признанному в 17 странах мира.

Стандарт ИСО 15408 был принят в России в 2002 г. и определяет набор параметров и требований по защите информации, описывающих различные средства защиты. На их основе формируются профили защиты, содержащие основные требования к средствам защиты и компонентам информационных систем. Уже разработаны 15 профилей защиты и четыре руководящих документа для сертификации сетей VLAN, VPN, межсетевых экранов, операционных систем, а также профили по СУБД, системам биллинга и другим продуктам.

Юрий Лаврухин, начальник второго управления Гостехкомиссии, отметил, что следующий год станет годом организации широкого фронта работ по использованию «Общих критериев». В I квартале 2004 г. Гостехкомиссия планирует представить на МВК Совета безопасности полученные результаты, после чего должны быть выработаны дальнейшие действия по внедрению данного стандарта.

«Инфосистемы Джет» подготовила два профиля на межсетевые экраны (корпоративного и операторского уровня). Ее межсетевой экран Z-2 соответствует высокому уровню защиты (4+). По словам директора центра информационной безопасности компании Ильи Трифаленкова, представленные профили защиты и методики оценки не полностью пересекаются с европейскими и американскими, но применимы практически ко всем межсетевым экранам. Отечественные и зарубежные профили можно интерпретировать одинаковым образом и сопоставлять между собой.

К сожалению, несмотря на то, что тексты российского и международного стандарта идентично по своей сути, продукт, имеющий сертификат на соответствие российским «Общим критериям», не получает автоматически международного сертификата, и наоборот, зарубежные продукты с сертификатом Common Criteria должны проходить сертификацию в России, поскольку договор о взаимном признании сертификатов пока не подписан. Кроме того, у нас действуют четыре системы сертификации средств защиты информации, и до сих пор не решена проблема анализа исходных кодов криптографических модулей зарубежных продуктов.