Подводные камни сертификации блокчейн-решений

В основе электронного взаимодействия организаций и граждан сегодня лежат информационные системы. Необходимым условием безопасного и эффективного функционирования таких систем является обеспечение доверия к ним. В соответствии с ГОСТ 54581-2011 «Информационная технология. Методы и средства обеспечения безопасности. Основы доверия к ИТ» под доверием понимается выполнение действий или процедур, подтверждающих, что оцениваемый объект соответствует своим целям безопасности. Действительно, как на международном, так и на национальном уровне доверие к информационным системам обеспечивается сегодня через выполнение определенных требований, касающихся процесса их разработки, с последующей оценкой фактического выполнения таких требований, которая реализуется с помощью различных форм сертификации или аттестации. В частности, вопрос о необходимости сертификации возникает и при разработке блокчейн-решений, используемых для государственных нужд или обеспечивающих защиту данных, охраняемых государством в Российской Федерации.

Вопросы сертификации различных типов средств криптографической защиты информации (СКЗИ) и использующих их информационных систем находятся у нас в стране в ведении ФСБ, ФСТЭК и Банка России. При этом блокчейн-решения входят в категорию СКЗИ и поэтому должны быть отнесены к ведению ФСБ.

В рамках компетенции Банка России одними из основных документов, регламентирующих вопросы безопасности, являются Указание Банка России от 10 декабря 2015 года № 3889-У «Об определении угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных» и Положение Банка России от 9 июня 2012 года № 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств». В данных документах указывается, в каких случаях следует использовать средства криптографической защиты информации, прошедшие оценку соответствия требованиям по информационной безопасности ФСБ России.

Основным документом, регулирующим вопросы разработки, производства и эксплуатации, а также проведения оценки соответствия требованиям по информационной безопасности ФСБ России средств криптографической защиты информации, не содержащей сведений, составляющих государственную тайну, является Приказ ФСБ России от 9 февраля 2005 года № 66 «Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)». Определен перечень случаев, когда обязательно применение Положения ПКЗ-2005:

• если информация конфиденциального характера подлежит защите в соответствии с законодательством РФ;
• при организации криптографической защиты информации конфиденциального характера в федеральных органах исполнительной власти, органах исполнительной власти субъектов РФ (государственные органы);
• при организации криптографической защиты информации конфиденциального характера в организациях независимо от их организационно-правовой формы и формы собственности при выполнении ими заказов на поставку товаров, выполнение работ или оказание услуг для государственных нужд (организации, выполняющие государственные заказы);
• если обязательность защиты информации конфиденциального характера возлагается законодательством РФ на лиц, имеющих доступ к этой информации или наделенных полномочиями по распоряжению сведениями, содержащимися в данной информации;
• при обработке информации конфиденциального характера, обладателем которой являются государственные органы или организации, выполняющие государственные заказы, в случае принятия ими мер по охране ее конфиденциальности путем использования средств криптографической защиты;
• при обработке информации конфиденциального характера в государственных органах и в организациях, выполняющих государственные заказы, обладатель которой принимает меры к охране ее конфиденциальности путем установления необходимости криптографической защиты данной информации.

В остальных случаях Положение ПКЗ-2005 носит рекомендательный характер.

Еще одним аспектом сертификации является вопрос о разработке блокчейн-решений в рамках работ по созданию государственных информационных систем (ГИС). Определение ГИС дано в статье 14 Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации». В частности, там четко указано, что в ГИС должны использоваться средства защиты информации, соответствующие требованиям законодательства РФ о техническом регулировании. Для средств криптографической защиты информации это означает, что такие средства разработаны в соответствии с Положением ПКЗ-2005 и прошли оценку соответствия требованиям ФСБ России.

Таким образом, если разрабатываемое блокчейн-решение не попадает под действие ни одного из указанных пунктов Положения ПКЗ-2005 и не является частью государственной информационной системы, то соответствие требованиям ФСБ России для такой системы не обязательно. В остальных случаях на пути сертификации блокчейн-решения разработчиков поджидают различные подводные камни.

В Положении ПКЗ-2005 подробно описан порядок взаимодействия при разработке, производстве и эксплуатации СКЗИ между заказчиком, разработчиком, специализированной организацией, выполняющей исследования по оценке соответствия СКЗИ требованиям по информационной безопасности ФСБ России, и ФСБ России, оценивающей полноту и корректность проведенных исследований (см. рисунок). Данный порядок во многом подобен другим отечественным или международным системам сертификации в различных областях.

Порядок взаимодействия при разработке, производстве и эксплуатации СКЗИ

Непосредственно разработке и проведению тематических исследований предшествует согласование тактико-технического задания (ТТЗ) или просто технического задания (ТЗ) на разработку СКЗИ, обеспечивающего корректное функционирование блокчейн-решения. ПКЗ-2005 описывает обязательные сведения, указываемые в ТЗ, об участниках процесса разработки и проведения исследований, а также об архитектуре и предполагаемых условиях эксплуатации самого блокчейн-решения. Ключевой момент ТЗ — необходимость определения класса защиты создаваемого СКЗИ и специализированной организации, которая будет проводить его исследования. Тут у разработчика или заказчика блокчейн-решения и возникают сложности.

Фиксированные наборы классов средств криптографической защиты информации в зависимости от возможностей нарушителя определены в следующих нормативных документах:

• Приказ ФСБ России от 27 декабря 2011 года № 796 «Об утверждении Требований к средствам электронной подписи и Требований к средствам удостоверяющего центра»;
• Приказ ФСБ России от 10 июля 2014 года № 378 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации…»;
• рекомендации по стандартизации Р 1323565.1.012–2017 «Информационная технология. Криптографическая защита информации. Принципы разработки и модернизации шифровальных (криптографических) средств защиты информации».

Для определения требуемого класса средства криптографической защиты информации необходимо провести анализ предполагаемых условий эксплуатации блокчейн-решения и оценить возможность появления тех или иных угроз безопасности — построить модель угроз. В актуальном на сегодняшний день документе Р 1323565.1.012–2017 приведен детальный перечень угроз для каждого из пяти классов (КС1, КС2, КС3, КВ, КА), позволяющий сформировать модель, которая станет основой разрабатываемого ТЗ. Для каждого класса определен свой перечень угроз безопасности — перечень угроз для младшего класса поглощается старшим классом и возрастает от КС1 к КА. Класс определяют: исходя из места проведения атаки; из возможности СКЗИ противостоять атакам, использующим технические средства; исходя из возможности противостоять атакам, использующим сведения о защищаемой информации; исходя из возможности противостоять атакам, для которых заказчиком определены подлежащие защите объекты атак. Например, СКЗИ всех классов должны противостоять атакам на защищаемую информацию с момента ее обработки в течение периода времени, определяемого в ТЗ, а СКЗИ классов КС2, КСЗ, КВ и КА должны, в частности, противостоять атакам на документацию на СКЗИ, объекты информатизации, в которых размещены штатные средства, на этапе эксплуатации жизненного цикла СКЗИ.

Несмотря на то что применение технологий блокчейна в первую очередь связывают с упрощением бизнес-процессов и устранением посредников, как показывает практика, уже на этапе построения модели угроз зачастую становится понятно, что разработчики не всегда в полной мере обладают информацией о фактически реализуемой в организации бизнес-логике. При составлении модели угроз информацией о реализуемой бизнес-логике могут быть сведения о функциях, выполняемых субъектами системы, их права, которые, в свою очередь, и определяют возможный спектр угроз.

• Может ли нарушитель являться администратором / привилегированным пользователем блокчейн-решения?
• Может ли нарушитель являться пользователем блокчейн-решения?
• Есть ли у нарушителя возможности (в том числе и потенциальные) влиять на работу модели блокчейн-решения в целом?

Также важны тип и другие характеристики обрабатываемой информации:

• Является ли информация, обрабатываемая в блокчейн-решении, конфиденциальной?
• Нужна ли юридическая значимость совершенных в блокчейн-решении действий?

Вообще говоря, детальное описание уже этих вопросов в ряде случаев позволяет смягчить или конкретизировать требования к используемым в блокчейн-решении СКЗИ, снизив расходы на создание системы. Наиболее сложным является согласование взаимодействия в рамках бизнес-логики между различными ведомствами или организациями, при котором необходимо учитывать их внутренние правила по информационной безопасности, а также требования ведомственных регламентов.

Может возникнуть вопрос: почему блокчейн-решения в разрезе классификации ФСБ России относятся к СКЗИ? При прохождении оценки соответствия требованиям ФСБ для проверяемого средства криптографической защиты информации фиксируется набор его целевых функций: функция шифрования (обеспечение конфиденциальности информации); функция формирования и/или проверки электронной подписи; функция имитозащиты (обеспечение контроля целостности информации и проверки авторства); функция аутентификации (локальная/удаленная, обеспечение авторизованного доступа к функциям СКЗИ или защищаемой информации персонифицированного (одного) пользователя или процесса). При этом данные функции указываются в правилах пользования как интерфейс СКЗИ. Блокчейн-решение формирует качественно новую сущность — достижение консенсуса при реализации протокола, доверие к которому формируется за счет использования криптографических атомарных запросов. Это фактически является определением криптографического протокола, а обеспечение защиты с использованием криптографических протоколов в указанных ранее случаях подпадает под действие Положения ПКЗ-2005.

Другим подводным камнем является объективная оценка времени сертификации. Зачастую у разработчиков блокчейн-решений возникает вопрос о продолжительности выполнения исследований специализированной организацией. К сожалению, этот процесс бывает достаточно долгим и «болезненным». Так, например, согласование ТЗ с ФСБ (в случае отсутствия замечаний) занимает до одного месяца. При проведении тематических исследований какого-либо решения специализированной организацией часто требуется его доработка для исправления выявленных уязвимостей, что может быть связано с отсутствием у разработчика опыта безопасного программирования. В этом случае трассировка вызовов функций может выявить опасные участки кода, что требует переработки разрабатываемого программного обеспечения. В результате процесс тематических исследований может быть остановлен до обновления разработчиком исходного кода, если он является критически важным для остальных элементов системы. Фактически при подобного рода исследованиях происходит доработка ПО. Как показала практика, экспертиза отчетных материалов тематических исследований (после получения всех отчетных материалов) занимает до двух месяцев.

Для упрощения анализа уже на этапе проектирования блокчейн-решения желательно заранее представить разрабатываемое ПО в виде функционально законченных модулей, например криптографического или реализующего сервисы блокчейна. Логическое разделение на функционально законченные модули особенно важно для критических с точки зрения обеспечения информационной безопасности модулей криптографической защиты информации, реализующих криптографические алгоритмы, программирование которых, как уже было отмечено, требует специальных компетенций.

Реализация криптографических функций в виде отдельного модуля позволяет также использовать готовые сервисы внешних криптографических провайдеров. Следует отметить, что если потребуется интеграция разрабатываемого решения в уже работающие системы, то, скорее всего, наиболее удобным будет использование уже развернутого в организации или ведомстве СКЗИ. Несмотря на то что за последние 11 лет на площадке Технического комитета по стандартизации «Криптографическая защита информации» (ТК 26) проведена большая работа по унификации используемых решений, проблема совместимости СКЗИ различных производителей все еще остается актуальной.

Следует отметить еще несколько важных вопросов. Зачастую у разработчиков возникает желание сертифицировать библиотеку, реализующую некоторый блокчейн-сервис. Это невозможно, так как сейчас сертификации подлежат только функционально законченные средства, реализующие защиту в конкретной модели угроз.

Другой вопрос — использование смарт-контрактов, которые вместе с интерпретаторами их языков программирования требуют особого внимания при проведении исследований, поскольку механизм смарт-контрактов в некоторых системах может реализовывать критические функции или юридически значимые действия. Сегодня можно рекомендовать избегать критически важных функций на основе смарт-контрактов.

***

Таким образом, проблема разработки отечественных блокчейн-решений, связанная с использованием криптографических алгоритмов, описанных в национальных стандартах, оказывается ничтожной по сравнению с общим количеством проблем и объемом работ по их устранению, возникающих при создании блокчейн-решений. С технической точки зрения блокчейн-решение — это набор исходных текстов и скомпилированных модулей со всеми вытекающими из этого проблемами в области безопасности. Необходимость реализации, например, усиленной квалифицированной электронной подписи потребует не только использования ГОСТ Р 34.10-2012, но и инфраструктуры открытых ключей. В то же время с 2018 года схема отечественной электронной подписи ГОСТ Р 34.10-2012 и функции хэширования ГОСТ Р 34.11-2012 признаны в качестве стандартов СНГ (ГОСТ 34.10-2018, ГОСТ 34.11-2018) и международных стандартов (ISO/IEC 14888-3, ISO/IEC 10118-3).

Андрей Елистратов (elistratov_aa@tc26.ru), Григорий Маршалко (marshalko_gb@tc26.ru), Владимир Светушкин (svetuschkin_vv@tc26.ru) — сотрудники ФСБ РФ (Москва).

Статья подготовлена на основе материалов выступления на конференции «Технологии блокчейна 2019».