Лагоша О.Н. - Сертификация информационных систем (2021). Курс лекций по дисциплине Сертификация информационных систем. Предназначено для студентов специальности Информационные системы и программирование
Скачать 5.4 Mb.
|
3. Виды SSL-сертификатов Между собой сертификаты отличаются свойствами и уровнем валидации. Типы сертификатов по типу валидации: – сертификаты, которые подтверждают только доменное имя (Domain Validation — DV); – сертификаты, которые подтверждают домен и организацию (Organiza- tion Validation — OV); – сертификаты с расширенной проверкой (Extendet Validation — EV). Сертификаты, подтверждающие только домен, — это самые простые сертификаты, это ваш выбор, если сертификат вам нужен срочно, так как вы- пускаются они автоматически и моментально. При проверке такого сертифика- та отсылается письмо со специальной ссылкой, по которой нужно кликнуть, чтобы подтвердить выпуск сертификата. Важный момент, что это письмо может быть отправлено только на так называемый approver email, который вы указываете при заказе сертификата. И к адресу approver email есть определенные требования, он должен быть либо в том же домене, для которого вы заказываете сертификат, либо он должен быть указан в whois домена. Если вы указываете email в том же домене, что и серти- фикат, то указывать любой emal тоже нельзя, он должен соответствовать одно- му из шаблонов: admin@, administrator@, hostmaster@, postmaster@, webmaster@. Еще один важный момент: иногда сертификаты с моментальным выпус- ком попадают на дополнительную ручную проверку Центром сертификации сертификаты для проверки выбираются случайным образом. Так что всегда 7 / 10 98 стоит помнить, что есть небольшой шанс, что ваш сертификат будет выпущен не моментально. Сертификаты SSL с валидацией домена выпускаются, когда центр серти- фикации проверил, что заявитель имеет права на указанное доменное имя. Про- верка информации об организации не проводится, и никакая информация об организации в сертификате не отображается. Сертификаты с валидацией организации. В таком сертификате уже бу- дет указано название организации. Такой сертификат частное лицо получить не может. Срок выдачи таких сертификатов, как правило, от 3 до 10 рабочих дней и зависит от центра сертификации. После получения запроса на выпуск сертификата с проверкой организа- ции центр сертификации производит проверку, реально ли существует такая организация, как указано в CSR, и принадлежит ли ей указанный домен. Сертификаты с расширенной проверкой. Это самые дорогие сертифи- каты, и получить их сложнее всего. В таких сертификатах есть так называемый green bar — т. е. при входе не сайт, где установлен такой сертификат, в адрес- ной строке браузера посетителя появится зеленая строка, в которой будет ука- зано название организации, получившей сертификат. Вот как это выглядит на сайте у Thawte (рис. 23). Рис. 23 Зеленая строка Такие сертификаты обладают наибольшим уровнем доверия среди про- двинутых посетителей вашего сайта, поскольку сертификат указывает, что компания реально существует, прошла полную проверку и сайт действительно принадлежит ей. SSL-cертификаты с расширенной проверкой (EV) выпускаются только тогда, когда центр сертификации (CA) выполняет две проверки, чтобы убедить- ся, что организация имеет право использовать определенный домен, к тому же центр сертификации выполняет тщательную проверку самой организации. Процесс выпуска сертификатов EV стандартизирован и должен строго соотве- ствовать правилам EV, которые были созданы на специализированном форуме CA/Browser Forum в 2007 г. EV-сертификаты используются для всех типов бизнеса, в том числе для государственных и некоммерческих организаций. Для выпуска необходимо 10– 14 дней. Типы SSL-сертификатов по своим свойствам: – обычные SSL-сертификаты — это сертификаты, которые выпускают- ся автоматически и подтверждают только домен. Подходят для всех сайтов; – SGC-сертификаты — сертификаты с поддержкой повышения уровня шифрования. Актуально для очень старых браузеров, которые поддерживали 8 / 10 99 только 40- или 56-битное шифрование. При использовании этого сертификата уровень шифрования принудительно повышается до 128 бит; – Wildcard-сертификаты — нужны в том случае, когда кроме основного домена нужно обеспечить шифрование также на всех поддоменах одного доме- на. Например, есть домен domain.com и вам нужно установить такой же серти- фикат на support.domain.com, forum.domain.com и billing.domain.com; – SAN-сертификаты — применяется, если необходимо использовать один сертификат для нескольких разных доменов, размещенных на одном сер- вере. Обычно в такой сертификат входит 5 доменов, и их количество можно увеличивать с шагом в 5; – EV-сертификаты — это сертификаты с расширенной проверкой и зе- леной строкой в браузере. Получить их может только юридическое лицо, ком- мерческая, некоммерческая или государственная организация; – сертификаты c поддержкой IDN — как правило, не у всех центров сертификации указана эта опция в описании сертификата, но не все сертифика- ты поддерживают работу с IDN-доменами. Список сертификатов, у которых есть такая поддержка: Thawte SSL123 Certificate, Thawte SSL Web Server, Sy- mantec Secure Site, Thawte SGC SuperCerts, Thawte SSL Web Server Wildcard, Thawte SSL Web Server with EV, Symantec Secure Site Pro, Symantec Secure Site with EV, Symantec Secure Site Pro with EV. 9 / 10 100 ЛЕКЦИЯ 13. СЕРТИФИКАТЫ БЕЗОПАСНОСТИ Сертификация программного обеспечения — это подтверждение соот- ветствия показателей надежности, мобильности, эффективности, корректности и других его характеристик, а также заявленных свойств требованиям норма- тивных документов (например, в соответствии с ГОСТ 28195-89 или ГОСТ Р ИСО/МЭК 9126-93). Для сертификации программ применяются стандарты и методы оценки, используемые в международной практике (ИСО/МЭК), которые достоверно могут определить соответствие программных средств требованиям норматив- ных документов. К обязательным требованиям к продукции законодательно отнесены: безопасность (электрическая, пожарная, гигиеническая, электромагнитная со- вместимость) для жизни и здоровья населения, охрана окружающей среды, со- вместимость и взаимозаменяемость, а также требования по защите информации (государственная и военная тайна). Особое место занимает направление серти- фикации в сфере информатизации по требованиям информационной безопасно- сти, которое включает как обязательные требования, так и необязательные с точки зрения закона. 1. Сертификация средств информатизации в Российской Федерации В соответствии с действующими законодательными и нормативными до- кументами сертификация средств информатизации проводится в Российской Федерации в следующих основных направлениях: – обязательная сертификация средств информатизации на соответствие требованиям электромагнитной совместимости, а также требованиям, обеспе- чивающим безопасность жизни, здоровья, имущества потребителей и охрану среды обитания; – обязательная сертификация средств защиты информации; – добровольная сертификация функциональных параметров средств и систем информатизации по номенклатуре и характеристикам, устанавливаемым отраслевыми (фирменными) стандартами и учитывающим различные аспекты применения аппаратуры и программного обеспечения. Обязательная сертификация по требованиям электромагнитной со- вместимости и параметрам безопасности. В соответствии с действующими законодательными и нормативными документами выполнение работ по серти- фикации средств информатизации в данном направлении возложено на Гос- стандарт России. В 1994 г. Госстандарт России ввел в действие нормативный документ «Номенклатура продукции и услуг, подлежащих обязательной серти- фикации в Российской Федерации». Этот документ ежегодно пересматривается и уточняется с учетом практики, условий торговли, производства и тенденций научно-технического развития. 10 / 10 101 Указанным документом к продукции, подлежащей обязательной серти- фикации в рассматриваемом направлении, отнесены следующие средства ин- форматизации: 1) вычислительные машины и комплексы; 2) персональные ЭВМ; 3) устройства внешней памяти, ввода-вывода и отображения информа- ции; 4) устройства подготовки и телеобработки данных. Поскольку основу сертификации по параметрам безопасности составляют общие требования к оборудованию, остановимся подробнее на специфической для средств информатизации характеристике — электромагнитной совмести- мости. Обеспечение электромагнитной совместимости заключается в выполне- нии требований по допустимым уровням электромагнитных помех, создавае- мых функционирующими средствами, и требований к помехоустойчивости технических средств при воздействии внешних электромагнитных помех. Невыполнение требований электромагнитной совместимости приводит к неэффективному использованию радиочастотного спектра, являющегося хотя и нерасходуемым, но ограниченным ресурсом, к различным нарушениям в работе технических средств, а в ряде случаев и к аварийным ситуациям. Сертификация средств информатизации по требованиям электромагнит- ной совместимости и параметрам безопасности возложена на Госстандарт Рос- сии и проводится органами (центрами) сертификации, аккредитованными Гос- стандартом в рамках Системы сертификации ГОСТ Р. Для получения сертифи- ката изготовитель или поставщик технических средств информатизации должен обратиться в аккредитованный Госстандартом России орган сертификации, представив комплект документов, определяемый правилами сертификации. Ор- ган сертификации организует проведение соответствующих испытаний (прове- рок) и при положительном результате испытаний выдает сертификат соответст- вия. В тексте сертификата указываются конкретные виды требований, по кото- рым проведены испытания, и соответствующие им нормативные документы. Необходимо иметь в виду, что сертификат соответствия по требованиям электромагнитной совместимости и параметрам безопасности является необхо- димым, но в ряде случаев недостаточным условием полноты сертификации средств информатизации. Это объясняется тем, что данный сертификат соот- ветствия практически не затрагивает функциональные характеристики объекта и соответствие их современным требованиям. Такой сертификат дает только определенную уверенность в том, что предлагаемое оборудование не создает недопустимого уровня помех и безопасно в эксплуатации. Упрощенно говоря, объект может не выполнять ряда возложенных на него, согласно имеющейся документации, функций или выполнять их некачественно, но в полном соответ- ствии с установленными правилами может получить сертификат по электро- магнитной совместимости и безопасности. Обязательная сертификация средств защиты информации. Законом «Об информации, информатизации и защите информации» определено, что ин- 1 / 9 102 формационные ресурсы, т. е. отдельные документы или массивы документов, в том числе и в информационных системах, являясь объектом отношений физи- ческих, юридических лиц и государства, подлежат обязательному учету и за- щите как всякое материальное имущество собственника. При этом собственни- ку предоставляется право самостоятельно, в пределах своей компетенции, ус- танавливать режим защиты информационных ресурсов и доступа к ним. Российская Федерация и ее субъекты являются собственниками инфор- мационных ресурсов, создаваемых за счет средств федерального бюджета и бюджетов субъектов Российской Федерации. Законом «Об информации, информатизации и защите информации» вве- дено также понятие документированной информации с ограниченным досту- пом, которая подразделяется на информацию, отнесенную к государственной тайне, и конфиденциальную (т. е. представляющую коммерческую, личную, служебную и другие тайны). В соответствии с положениями этого закона собственник информацион- ных ресурсов, содержащих государственную тайну, вправе распоряжаться этой собственностью только с разрешения соответствующих органов государствен- ной власти. Таким образом, законодательно определяется некоторая категория ин- формации, которая требует определенных ограничений в ее использовании, а сама информация требует защиты. Целями защиты информации упомянутый Закон определяет: 1) предотвращение утечки, хищения, утраты, искажения, подделки ин- формации; 2) предотвращение угроз безопасности личности, общества, государства; 3) предотвращение несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию информации; 4) предотвращение других форм незаконного вмешательства в информа- ционные ресурсы и информационные системы, обеспечение правового режима документированной информации как объекта собственности; 5) защиту конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах; 6) сохранение государственной тайны, конфиденциальности документи- рованной информации в соответствии с законодательством; 7) обеспечение прав субъектов в информационных процессах при разра- ботке, производстве и применении информационных систем, технологий и средств их обеспечения. Государство, владея информацией, составляющей национальное достоя- ние или содержащей сведения ограниченного доступа, неправомерное обраще- ние с которой может нанести ущерб ее собственнику, изыскивает специальные меры, обеспечивающие контроль ее использования и качества защиты. Одной из таких мер является сертификация средств защиты информации. Необходимость сертификации средств защиты, применяемых при обра- ботке информации, составляющей государственную тайну, закреплена в Законе 2 / 9 103 Российской Федерации «О государственной тайне». Сертификации подлежат защищенные технические, программно-технические, программные средства, системы, сети вычислительной техники и связи, средства защиты и средства контроля эффективности защиты. Обязательной сертификации подлежат сред- ства, в том числе и иностранного производства, предназначенные для обработ- ки информации с ограниченным доступом, и прежде всего составляющей госу- дарственную тайну, а также использующиеся в управлении экологически опас- ными объектами, вооружением и военной техникой, и средства их защиты. На- личие у владельца информационной системы сертифицированных средств об- работки информации является гарантией надежности ее защиты и дает ему преимущества при осуществлении страхования. Порядок сертификации средств защиты информации в Российской Феде- рации и ее учреждениях за рубежом установлен Положением «О сертификации средств защиты информации», утвержденным Постановлением Правительства Российской Федерации от 26 июня 1995 г. № 608. Основной объем работ по сертификации средств защиты информации в пределах Российской Федерации возлагается на Гостехкомиссию России и Федеральное агентство правительст- венной связи и информации (ФАПСИ). Координация работ по организации сер- тификации этой продукции возложена на Межведомственную комиссию по за- щите государственной тайны. Государственная техническая комиссия при Президенте Российской Фе- дерации (Гостехкомиссия России) является федеральным органом исполни- тельной власти, осуществляющим межотраслевую координацию и функцио- нальное регулирование деятельности по обеспечению защиты информации не- криптографическими методами. В ведении Гостехкомиссии России находится сертификация программ- ных и технических средств защиты информации, не использующих методы криптографии (шифрования), а в ведении ФАПСИ — сертификация средств защиты информации, использующих эти методы. В соответствии с установленным распределением сфер деятельности Гос- техкомиссии России и ФАПСИ в Российской Федерации созданы и функцио- нируют две системы сертификации средств защиты информации: «Система сертификации средств защиты информации по требованиям безопасности информации», разработанная Гостехкомиссией России и зареги- стрированная Госстандартом за № РОСС RU.OOOI.OIBHOO; «Система сертификации средств криптографической защиты информации (СКЗИ)», разработанная ФАПСИ и зарегистрированная Госстандартом за № РОСС RU.OOO 1.030001. Эти системы сертификации технических и программных средств направ- лены на защиту интересов государства и государственного информационного ресурса, а также интересов и прав собственников и владельцев информации — предпринимателей и граждан России, потребителей продукции и услуг от не- добросовестной работы исполнителей. Добровольная сертификация по функциональным параметрам. Доб- ровольная сертификация применяется для средств информатизации, не подле- 3 / 9 104 жащих в соответствии с законодательными актами Российской Федерации обя- зательной сертификации, и проводится по требованиям, на соответствие кото- рым законодательными актами Российской Федерации не предусмотрено про- ведение обязательной сертификации. Добровольная сертификация проводится для удостоверения качества средств и систем информатизации с целью повы- шения их конкурентоспособности, расширения сферы использования и получе- ния дополнительных экономических преимуществ. В общем случае упрощенную схему добровольной сертификации можно представить следующим образом. Необходимость добровольной сертификации обычно определяет разработчик или поставщик средств информатизации, руко- водствуясь при этом указанными выше соображениями. Разработчик или по- ставщик обращается в аккредитованный в установленном порядке сертифика- ционный центр и финансирует проведение работ по сертификации. Совокупность и значения показателей качества, по которым проводится сертификация, формируются совместно заявителем и сертификационным цен- тром. При положительных результатах испытаний средств информатизации, представленных для сертификации, заявитель получает сертификат соответст- вия, который используется, например, для рекламы при взаимодействии с по- тенциальным пользователем или потребителем. Последние не имеют непосред- ственных контактов с сертификационным центром. В случае выявления недос- татков в сертифицированном изделии они обращаются непосредственно к по- ставщику, который обязан обеспечить доработку и повторные сертификацион- ные испытания. В соответствии с действующим законодательством добровольная серти- фикация средств информатизации может проводиться как в Системе сертифи- кации ГОСТ Р, так и в других системах сертификации, зарегистрированных Госстандартом России в установленном порядке. Обязательная сертификациянеобходима для ИС и ПС, выполняющих особо ответственные функции, в которых недостаточное качество и ошибки могут нанести большой ущерб или опасны для жизни и здоровья людей. Этот ущерб может определяться степенью безопасности применения комплексов программ в авиации, для управления в космосе, в атомной энерге- тике, в военных системах; или большими экономическими потерями в резуль- тате низкого качества функционирования ПС в системах государственного управления, в финансовых, банковских, транспортных системах. В подобных системах обязательная сертификация программных продуктов способствует значительному снижению риска заказчика и повышению безопасности функ- ционирования программного продукта у потребителя до необходимого уровня. В этих случаях разработчики и поставщики программного продукта обязаны подвергать свои изделия сертификации на соответствие требованиям качества и безопасности для получения разрешения компетентных органов на их реальную эксплуатацию и применение по прямому назначению. 4 / 9 |