Сертификация,+ее+роль+в+повышении+качества+продукции. Лекция 11. Сертификация, ее роль в повышении качества продукции
Скачать 63.6 Kb.
|
- для схем сертификации. При этом в схемах декларирования указывают обозначения ближайших по смыслу модулей оценки соответствия, принятых в европейских директивах. Заявитель (изготовитель, продавец) на основе декларации о соответствии или сертификата соответствия маркирует продукцию знаком обращения на рынке. Конкретные требования к маркированию знаком обращения на рынке установлены техническим регламентом на эту продукцию.Лекция 11. Сертификация, ее роль в повышении качества продукции и развитие на международном, региональном и национальном уровнях. Сущность сертификации. Основные цели и объекты сертификации. Обязательная и добровольная сертификация. Схема проведения сертификации. До недавнего времени сертификация главным образом касалась силовых министерств и предприятий промышленности, выполняющих государственные заказы, а основная масса специалистов в области информационных технологий мало интересовалась данной проблемой. Ситуация значительно изменилась с принятием ФЗ-152 «О персональных данных» и последовавших за ним нормативно-методических документов. Оказалось, что сертификация программного обеспечения и аттестация объектов информатизации необходима большинству коммерческих компаний и всем государственным организациям, работающим в области медицины, образования, транспорта. Это немедленно породило множество вопросов и, как правило, негативных суждений, связанных в большинстве случаев с недопониманием сути и процессов сертификации. В общем случае под сертификацией принято понимать независимое подтверждение соответствия тех или иных характеристик товаров или услуг некоторым требованиям. В нашем случае речь идет о программных средствах защиты или программ в защищенном исполнении – соответственно в качестве требований выступают нормативные документы и документация, касающаяся безопасности информации. Сертификация – форма осуществляемого органом по сертификации подтверждения соответствия объектов требованиям технических регламентов, положениям стандартов или условиям договоров; Система сертификации – совокупность правил выполнения работ по сертификации, ее участников и правил функционирования системы сертификации в целом; Аккредитация – официальное признание органом по аккредитации компетентности физического или юридического лица выполнять работы в определенной области оценки соответствия. В начале 90-х годов в России сформировалась нормативная и техническая база для создания национальной системы сертификации. С 1 мая 1992 г. в России введена в действие система обязательной сертификации ГОСТ Р. Деятельность по сертификации в России законодательно регулируется и обеспечивается: Законом «О техническом регулировании» (Федеральный закон 184-ФЗ О техническом регулировании от 27.12.2002), подзаконными актами, направленными на решение отдельных социально-экономических задач и предусматривающими использование для этой цели обязательной сертификации; указами Президента и нормативными актами Правительства РФ. Сертификация соответствия непосредственно связана с действием третьей стороны, которой является «лицо или орган, признаваемые независимыми от участвующих сторон» в рассматриваемом вопросе. Распространяется сертификации соответствия на продукцию, процессы и услуги, в том числе процессы управления качеством на предприятиях (системы управления качеством и системы экологического управления) и персонал. На стадии проектирования процесса сертификации должны быть учтены все факторы, влияющие на качество: пожелания клиентов, требования законодательства, организационные, технические и научно-методические аспекты деятельности органов по сертификации и ИЛ. Важное значение имеет документирование и сохранение архивов всех процессов, обеспечение конфиденциальности информации, содержащей коммерческую тайну. Внешний аудит осуществляют органы по аккредитации в рамках инспекционного контроля или независимые эксперты. Все виды контроля там, где это возможно, проводятся на основе статистических методов. Окончательный контроль результатов сертификации осуществляется при принятии решения о выдаче сертификата. Качество после сертификационной деятельности определяется: реестром сертифицированной продукции, услуг, систем качества, экологического контроля, персонала, который должен содержать всю необходимую информацию об объекте сертификации и быть доступным широкому кругу пользователей; инспекционным контролем за сертифицированной продукцией со стороны органа по сертификации; информационной деятельностью органа по сертификации, которая заключается в предоставлении общественности сведений о результатах сертификации, обмене опытом о проведении сертификации на национальном и международном уровнях между заинтересованными структурами. Цели сертификации: создание условий для деятельности организаций всех форм собственности на едином товарном рынке России для участия в международном экономическом, научно-техническом сотрудничестве; содействие потребителям в компетентном выборе товара и защите их от недобросовестности изготовителя; контроль безопасности продукции для жизни, здоровья и имущества людей и окружающей среды; подтверждение показателей качества продукции, заявленных изготовителем. Эффект от проведения сертификации продукции и услуг носит социально-экономический характер. В социальной сфере сертификация обеспечивает защиту здоровья и жизни. В периодических изданиях Росстандарта и его институтов должна публиковаться текущая информация о сертификации или об аннулировании сертификатов систем качества (производств) организаций. По истечении срока действия сертификата соответствия заявитель может принять решение о новой сертификации, которая предполагает повторение всех процедур, но с учетом фактора времени. Все это означает постоянное развитие сертификации как процесса установления соответствия и показывает необходимость ее проведения для цивилизованных рыночных отношений. В соответствии с Законом «О защите потребителей» и другими законодательными актами, реализация изготовителем (продавцом) продукции, подлежащей обязательной сертификации, при отсутствии сертификата, влечет соответствующую юридическую ответственность предприятия и его сотрудников. Наличие сертификата обязательно для продукции, реализуемой на территории РФ, в том числе импортной. Сертификаты и знаки соответствия должны быть выданы уполномоченным на то органом РФ. Закон запрещает реализацию импортной продукции, подлежащей обязательной сертификации, без сертификата. Принципы подтверждения соответствия доступности информации о порядке осуществления подтверждения соответствия заинтересованным лицам; недопустимости применения обязательного подтверждения соответствия к объектам, в отношении которых не установлены требования технических регламентов; установления перечня форм и схем обязательного подтверждения соответствия в отношении определенных видов продукции в соответствующем техническом регламенте; уменьшения сроков осуществления обязательного подтверждения соответствия и затрат заявителя; недопустимости принуждения к осуществлению добровольного подтверждения соответствия, в том числе в определенной системе добровольной сертификации; защиты имущественных интересов заявителей, соблюдения коммерческой тайны в отношении сведений, полученных при осуществлении подтверждения соответствия; недопустимости подмены обязательного подтверждения соответствия добровольной сертификацией. Виды сертификации Сертификация соответствия проводится: обязательная сертификация ―в законодательно регулируемой области, добровольная — в законодательно нерегулируемой. Обязательная сертификация распространяется на продукцию и услуги, связанные с обеспечением безопасности окружающей среды, жизни, здоровья и имущества. Законодательно закрепленные требования к этим товарам должны выполняться всеми производителями на внутреннем рынке и импортерами при ввозе на территорию России. Номенклатура товаров и услуг, подлежащих обязательной сертификации в Российской Федерации, определяется Росстандартом России в соответствии с Законом «0 защите прав потребителей». В системах сертификации существуют схемы сертификации, по которым устанавливается соответствие стандартам и другим нормативным документам. Головными органами этих систем являются государственные учреждения Росстандарт, Госстрой, Госгортехнадзор, Госкомсвязи и др. Проведение работ по обязательной сертификации осуществляется органами по сертификации и ИЛ, аккредитованными в рамках существующих систем обязательной сертификации. Обязательная сертификация осуществляется органом по сертификации на основании договора с заявителем. Схемы сертификации, применяемые для сертификации определенных видов продукции, устанавливаются соответствующим техническим регламентом. В настоящее время схемы сертификации продукции разработаны и действуют в России с учетом рекомендаций ИСО /МЭК и практики подтверждения соответствия в ЕС. Соответствие продукции требованиям технических регламентов подтверждается сертификатом соответствия, выдаваемым заявителю органом по сертификации. Форма сертификата соответствия утверждается федеральным органом исполнительной власти по техническому регулированию. Добровольная сертификация Добровольная сертификация проводится в тех случаях, когда соблюдение требований существующих стандартов или другой нормативной документации на продукцию, услуги или процессы государством не предусмотрено, т. е. когда стандарты или нормы не касаются требований безопасности они носят добровольный характер для товаропроизводителя. Потребность в добровольной сертификации появляется, как правило, когда несоответствие стандартам или другим нормативам на объекты сертификации затрагивает экономические интересы крупных финансово-промышленных групп, отраслей индустрии и сферы услуг. Добровольной сертификации подлежит продукция, на которую отсутствуют обязательные к выполнению требования по безопасности. В то же время ее проведение ограничивает доступ на рынок некачественных изделий за счет проверки таких показателей, как надежность, эстетичность, экономичность и др. При этом добровольная сертификация не подменяет обязательную и ее результаты не являются основанием для запрета продукции. Она в первую очередь направлена на борьбу за потребителя. При добровольной сертификации на бланке отсутствует знак соответствия в левом верхнем углу. Условия проведения сертификации При сертификации должны быть обеспечены: Добровольность. Сертификация осуществляется только по инициативе заявителя при наличии от него письменной заявки (если иное не предусмотрено законом). Бездискриминационный доступ к участию в процессах сертификации. К сертификации в Регистре допускаются все организации, подавшие заявку на сертификацию и признающие принципы, требования и правила, установленные в Регистре. Исключается любая дискриминация заявителя и любого участника процесса сертификации (цена, завышенная в сравнении с другими заявителями, неоправданная задержка по срокам, необоснованный отказ в приеме заявки и пр.). Объективность оценок обеспечивается независимостью органа по сертификации и привлекаемых им к работе экспертов от заявителя или других сторон, заинтересованных в результатах оценки и сертификации, а также полнотой состава комиссии экспертов. В совокупности комиссия по сертификации должна знать стандарты на систему качества, владеть техникой проверки, знать особенности производства продукции и нормативных требований к ней. В составе должен быть специалист по проверяемому виду экономической деятельности. При необходимости в состав комиссии могут быть включены специалисты по метрологии, экономике и др. Объективность оценок обеспечивается также компетентностью экспертов, проводящих сертификацию (эксперт должен быть аттестован на право проведения сертификации систем качества или производств и зарегистрирован в Государственном реестре Госстандарта России). Воспроизводимость результатов оценок обеспечивается: применением при проведении проверок и оценок систем качества (производств) правил и процедур, основанных на единых требованиях; проведением оценок на основе фактических данных; документальным оформлением результатов оценок и сертификации; четкой организацией системы учета и хранения документации органом по сертификации. Конфиденциальность. Орган по сертификации, его эксперты и все привлекаемые к участию в работе комиссии специалисты должны соблюдать конфиденциальность всей информации об организациях, полученной на всех этапах сертификации, а также выводов, характеризующих состояние системы качества и соответствие персонала. Условие конфиденциальности информации не соблюдают в тех случаях, когда продукция (услуга), производимая предприятием, а также условия производства могут угрожать здоровью потребителей и представлять опасность для экологии. Информативность. В Регистре обеспечивается ежегодная публикация официальной информации о сертифицированных системах качества. В периодических изданиях Госстандарта России и его институтов публикуется текущая информация о сертификации или об аннулировании сертификатов систем качества. Мотивы сертификации: Внешние мотивы: Предприятия к сертификации систем качества побуждает возможность повышения конкурентоспособности; удовлетворения требований заказчика; повышения цены на продукцию (услуги); льготного кредитования и страхования; возможность получения госзаказа. Внутренние мотивы: более полное удовлетворение требований потребителя; улучшение качества продукции и работ; сокращение издержек; уменьшение аудиторских проверок потребителем; большая осведомленность о качестве; сокращение переделок; позитивные культурные изменения, улучшение документации; повышение ответственности за качество; корпоративная стратегия и др. Сертификация на соответствие экологическим требованиям – одно из наиболее активно развивающихся направлений сертификации. Оценке соответствия может подлежать не только готовая продукция, предназначенная для потребителя, но и система экологического управления (СЭУ) предприятия в целом. СЭУ, согласно этим стандартам, определяется как составная часть общества. Техническое регулирование и оценка соответствия Техническое регулирование состоит из двух крупных блоков. Первый блок включает в себя обязательные нормы - технические регламенты и добровольные нормы – стандарты. Второй блок – оценка соответствия; механизм, позволяющий контролировать соблюдение не только обязательных, но в том числе и добровольных норм с целью повышения конкурентоспособности и качества продукции. Процесс оценки соответствия зависит от факторов, различающихся между собой: по стадиям жизненного цикла (СЖЦ) (разработки продукции, включая проектирование, производство, контроль, испытания и др.); методам оценки, включая контроль документации, испытания типового образца, сертификацию системы менеджмента качества (СМК) (на СЖЦ продукции), оценку состояния производства и др.; видам и объемам выполняемых работ; сложности объекта технического регулирования; исполнителям (физическое или юридическое лицо), включая изготовителя, вторую или третью сторону. Подтверждение соответствия продукции требованиям технических регламентов в рамках установленной формы обязательного подтверждения соответствия осуществляется согласно схемам обязательного подтверждения соответствия, которые представляют собой набор операций по подтверждению соответствия и действия участников подтверждения соответствия (исполнителей операций). Применение схем позволяет формализовать приемы доказательства соответствия, заранее известные участникам подтверждения соответствия, органам государственного контроля (надзора) и другим заинтересованным сторонам. Схемы обязательного подтверждения соответствия включают схемы декларирования соответствия, гармонизированные с европейскими модулями, и схемы обязательной сертификации, установленные документами Системы сертификации ГОСТ Р. Применение декларации о соответствии предусмотрено постановлением Правительства РФ от 07.07.1999г. В нем утверждены порядок принятия декларации о соответствии, ее регистрации в уполномоченных органах, перечень продукции, соответствие которой может быть подтверждено таким образом. Декларация о соответствии — документ, в котором изготовитель, продавец или исполнитель удостоверяет, что поставляемая, продаваемая им продукция или оказываемая услуга соответствует требованиям, предусмотренным для обязательной сертификации данной продукции или услуги. Декларацию о соответствии вправе принимать российские изготовители (продавцы, исполнители) или зарегистрированные в качестве юридических лиц в РФ организации, представляющие интересы соответствующих иностранных изготовителей. В качестве документов, являющихся основанием для ее принятия, могут использоваться: протоколы приемочных, приемосдаточных и других контрольных испытаний продукции, проведенных изготовителем и/или сторонними компетентными ИЛ; сертификаты соответствия или протоколы испытаний на сырье, материалы, комплектующие изделия; документы, предусмотренные для данной продукции соответствующими федеральными законами (гигиенические заключения, ветеринарные свидетельства, сертификаты пожарной безопасности и др.); сертификаты на систему качества или производства; другие документы, прямо или косвенно подтверждающие соответствие продукции. Декларация о соответствии заполняется по установленной форме и подписывается руководителем организации изготовителя или индивидуальным предпринимателем. Декларация о соответствии имеет юридическую силу наравне с сертификатом соответствия. Зарегистрированная декларация о соответствии является основанием для маркирования изготовителем продукции знаком соответствия. В качестве видов продукции, на которые распространяется возможность принятия декларации о соответствии, отметим: продукция резинотехническая; инструмент слесарно-монтажный; приборы и аппараты оптические; подшипники; садово-огородный инвентарь (инструмент); неэлектрифицированные приборы для механизации кухонных работ; продукция деревообработки; продукция текстильной и легкой промышленности; продукция пищевой промышленности, животноводства, растениеводства; медицинские изделия; корма растительного происхождения. В схемах декларирования завершающей операцией является принятие заявителем декларации о соответствии, в схемах сертификации - выдача заявителю сертификата соответствия. Схемы обязательного подтверждения соответствия на конкретные виды продукции выбирают из числа рекомендованных в специальном техническом регламенте таким образом, чтобы они обеспечивали достижение поставленных в регламенте целей применительно к объекту технического регулирования. В основе выбора схем и форм обязательного подтверждения соответствия должен лежать известный принцип: чем более опасна продукция (выше риск причинения вреда), тем более жесткой должна быть схема подтверждения соответствия. Схемы в техническом регламенте на конкретные виды продукции рекомендуется выбирать из числа описанных в Рекомендациях Р 50.1.046-2003. При этом желательно по возможности устанавливать для одной и той же продукции несколько схем, равнозначных по степени доказательности. Это позволит заявителю выбрать наиболее приемлемую для него схему. Схемы согласно Закону «О техническом регулировании» (ст. 24 и 25) подразделяются на два вида: - схемы декларирования; - схемы сертификации. Обозначение схем в рекомендациях образуется порядковым номером с буквой «д Схема проведения сертификации Принципиальная особенность любых сертификационных испытаний — это независимость испытательной лаборатории, проводящей испытания, и сертифицирующей организации, осуществляющей независимый контроль результатов испытаний, проведенных лабораторией. В общем случае схема проведения сертификации выглядит следующим образом. Заявитель (разработчик либо другая компания, заинтересованная в проведении сертификации) подает в федеральный орган (ФСБ, ФСТЭК или Минобороны) по сертификации заявку на проведение сертификационных испытаний некоторого продукта. Федеральный орган определяет аккредитованную испытательную лабораторию и орган по сертификации. Испытательная лаборатория совместно с заявителем проводит сертификационные испытания. Если в процессе испытаний выявляются те или иные несоответствия заявленным требованиям, то они могут быть устранены заявителем в рабочем порядке, что и происходит в большинстве случаев, либо может быть принято решение об изменении требований к продукту, например о снижении класса защищенности. Возможен вариант, когда сертификационные испытания завершаются с отрицательным результатом. Наиболее нашумевшим в прессе примером можно назвать случай, когда испытательная лаборатория НИИ ВМФ после года проверок выдала отрицательное сертификационное заключение на программные изделия специального назначения. Известны как минимум пять случаев, когда определенные версии ОС и СУБД не смогли получить сертификат на отсутствие недекларированных возможностей по причине потери части исходного кода старых модулей. Если посмотреть реестр ФСТЭК, то можно заметить, что ряд программных систем защиты (например, СУБД Oracle и система безопасности приложений IBM Guardium) получили сертификаты лишь на соответствие ТУ, а не на соответствие руководящему документу Гостехкомиссии — это значит, что орган по сертификации посчитал, что не все требования руководящего документа подтверждены при испытаниях. Материалы испытаний передаются в орган по сертификации, который проводит их независимую экспертизу. Как правило, в экспертизе участвуют не менее двух экспертов, которые независимо друг от друга подтверждают корректность и полноту проведения испытаний. Федеральный орган по сертификации на основании заключения органа по сертификации оформляет сертификат соответствия. Надо сказать, что в случае выявления каких-либо несоответствий федеральный орган может провести дополнительную экспертизу с привлечением экспертов из различных аккредитованных лабораторий и органов. В системах обязательной сертификации имеется практика отзыва и приостановления лицензий и аттестатов аккредитаций в случае выявления грубых нарушений в процессе сертификации. Были случаи, когда под сомнение на продолжение деятельности подпали три лаборатории и орган по сертификации, в результате чего две организации прекратили дальнейшую активность в области сертификации. Кроме того, в случае возникновения инцидентов на объектах информатизации, связанных с утечкой информации, регулирующие органы могут проинспектировать лабораторию, которая проводила испытания. Сертификационные испытания: Сертификационные испытания ПС осуществляются в два этапа: технологические испытания проводятся с использованием современных методов и средств по формализованным правилам, удостоверяющим соответствие реальных количественных и качественных показателей тем, которые зафиксированы в НТД или программной документации; оценка, проводимая экспертами. В ходе испытаний выполняют: идентификацию объекта испытаний путем проверки характеристик идентификации программного средства (полное название ПС, версия и дата выпуска ПС, сведения о разработчике ПС, сведения о входящих в состав компонентах, основные выполняемые функции, состав программной документации); инсталляцию путем установки программного продукта на компьютеры, на которые до этого данный программный продукт не был установлен; экспертизу программной документации на соответствие требованиям Государственных стандартов ГОСТ Р ИСО/МЭК 12119— 2000 (п. 3.2), ГОСТ Р ИСО 9127-94 (пп. 5, 6.1, 6.3-6.5); проверку и оценку качества сертифицируемого программного продукта в соответствии с требованиями нормативных документов (список документов определяется в процессе разработки методики), проверку программного продукта на соответствие выполняемых функций по руководству пользователя и требованиям технического задания. Системы сертификации и требования Деятельность российских систем сертификации в РФ регламентируется Федеральным законом № 184 «О техническом регулировании». Сертификация средств защиты информации может быть добровольной или обязательной — проводимой главным образом в рамках Минобороны, ФСБ и ФСТЭК. Для большинства коммерческих компаний термин «сертификация» является синонимом понятий «сертификация в системе ФСБ» для криптографических средств защиты и «сертификация в системе ФСТЭК» для всех остальных продуктов. Однако необходимо иметь в виду, что, помимо криптографии, к компетенции ФСБ относятся средства защиты информации, применяемые в высших органах государственной власти. Система сертификации средств защиты информации Минобороны, в свою очередь, ориентирована на программные изделия, применяемые на объектах военного назначения. Добровольные системы сертификации средств защиты информации на сегодняшний день пока еще не получили широкого распространения. Единственной сколь бы то ни было заметной из такого рода систем является «АйТи-Сертифика». К сожалению, несмотря на то что в добровольных системах можно получить сертификат на соответствие любому нормативному документу по защите конфиденциальной информации, при аттестации объектов информатизации такие сертификаты ФСТЭК России не признаются. Что касается документов, на соответствие которым проводятся сертификационные испытания, то они практически идентичны во всех системах сертификации. Существуют два основных подхода к сертификации – и соответственно два типа нормативных документов. Функциональное тестирование средств защиты информации, позволяющее убедиться в том, что продукт действительно реализует заявленные функции. Это тестирование чаще всего проводится на соответствие конкретному нормативному документу – например, одному из руководящих документов Росстандарт России. Такие документы установлены, например, для межсетевых экранов и средств защиты от несанкционированного доступа. Если же не существует документа, которому сертифицируемый продукт соответствовал бы в полной мере, то функциональные требования могут быть сформулированы в явном виде – например, в технических условиях, или в виде задания по безопасности (в соответствии с положениями стандарта ГОСТ Р 15408). Структурное тестирование программного кода на отсутствие недекларированных возможностей. Классическим примером недекларированных возможностей являются программные закладки, которые при возникновении определенных условий инициируют выполнение не описанных в документации функций, позволяющих осуществлять несанкционированные воздействия на информацию (по ГОСТ Р 51275-99). Выявление недекларированных возможностей предполагает проведение серии тестов исходных текстов программ, предоставление которых является необходимым условием для возможности проведения сертификационных испытаний. В большинстве случаев средство защиты информации должно быть сертифицировано как в части основного функционала, так и на предмет отсутствия недекларированных возможностей. Делается исключение для систем обработки персональных данных второго и третьего класса с целью снижения затрат на защиту информации для небольших частных организаций. Если программное средство не имеет каких-либо механизмов защиты информации, оно может быть сертифицировано только на предмет отсутствия недекларированных возможностей. особенности сертификации Процесс организации и проведения испытаний в любой системе сертификации жестко формализован, однако отсутствие у большинства ИТ-специалистов опыта участия в таких испытаниях, а также взаимодействия с регуляторами рождает ряд мифов и заблуждений, касающихся вопросов сертификации. Миф №1: сертификация – это не торговля. К сожалению, часть потребителей искренне считает любую сертификацию формальной процедурой получения разрешительной документации, естественно, коррумпированной и абсолютно бесполезной. Поэтому для многих заявителей становится шоком тот факт, что предъявляемые для сертификации средства защиты действительно серьезно проверяются, причем результат проверки может быть отрицательным. Независимый контроль органов по сертификации над испытательными лабораториями гарантирует отсутствие сговора между заявителем и лабораторией. Миф №2: сертификацию могут проводить коммерческие структуры. Безусловно, федеральные органы всех обязательных систем сертификации являются государственными, однако испытательные лаборатории и органы по сертификации могут иметь любую форму собственности, и на практике большинство из них – коммерческие организации. Миф № 3: сертификация нужна не только для средств защиты гостайны. На сегодняшний день более 80% средств защиты информации сертифицируются для использования исключительно в автоматизированных системах, не содержащих сведений, составляющих государственную тайну. Миф № 4: сертификация нужна не только госструктурам. На самом деле конечного заказчика интересует аттестация объекта информатизации – формальное подтверждение того, что автоматизированная система является защищенной. В большинстве случаев для успешного прохождения аттестации система должна строиться с использованием исключительно сертифицированных средств защиты – это справедливо не только для систем, относящихся к государственному информационному ресурсу, но и для систем, связанных с обработкой персональных данных. Можно встретить требования по обязательной сертификации программной продукции даже независимо от вида защищаемых тайн; например, такие требования имеются для систем, работающих с кредитными историями граждан, игровых систем в случаях предоставлении доступа к ресурсам из сетей международного обмена и др. Миф № 5: зарубежный продукт можно сертифицировать. В действительности продукты таких разработчиков, как Microsoft, IBM, SAP, Symantec, Trend Micro и т. д., успешно проходят сертификационные испытания, в том числе и на отсутствие недекларированных возможностей. Как правило, зарубежные компании не передают исходные тексты в Россию, поэтому испытания проводятся с выездом к разработчику. Разумеется, программные коды предоставляются под абсолютным контролем служб безопасности разработчиков, исключающих какую-либо утечку. Проведение работ в таком режиме является довольно сложным и требует высокой квалификации специалистов, поэтому не каждая испытательная лаборатория готова предложить такие услуги. Однако число зарубежных продуктов, проходящих сертификацию в России, с каждым годом увеличивается. Сегодня около 20 зарубежных компаний, в том числе Microsoft, IBM, Oracle и SAP, предоставили исходные коды своих продуктов для сертификационных испытаний. В этом отношении примечательна инициатива корпорации Microsoft — Government Security Program, согласно которой базовый код всех продуктов компании передан на территорию России для исследования. За последние пять лет почти 40 зарубежных продуктов получили сертификаты на отсутствие недекларированных возможностей. Миф № 6: сертификация не дает гарантии защищенности. Правильной была бы формулировка: продукт сертифицирован – значит соответствует тем или иным требованиям. При этом потребитель должен четко понимать, на соответствие чему именно сертифицировано средство защиты, чтобы убедиться, действительно ли в ходе проведения испытаний проверялись характеристики продукта, которые интересуют заказчика. Если испытания продукта проводились на соответствие техническим условиям, то в сертификате это соответствие будет зафиксировано, но при этом потребитель, не прочитав технические условия на продукт, в принципе не может определить, какие характеристики проверялись, что создает предпосылки для обмана неквалифицированного потребителя. Аналогичным образом наличие сертификата на отсутствие недекларированных возможностей ничего не говорит о функциональных возможностях продукта. Очень важно ознакомиться с ограничениями на использование продукта, которые указаны в технических условиях: конкретные операционные среды и платформы, режимы работы, конфигурации, применение дополнительных средств защиты и др. Например, сертификат на некоторые версии операционных систем Windows и МСВС действителен только с модулем доверенной загрузки. Почти все сертификаты на внешние средства защиты действительны только для конкретных версий ОС, а в ограничениях на использование ряда средств доверенной загрузки указывается, что должна быть обеспечена физическая защита компьютера. Известен курьезный случай, когда в ограничениях одного устаревшего средства защиты было указано, что Windows должна работать только в командном режиме. Миф № 7: при сертификации могут быть обнаружены несоответствия стандартам. Независимо от требований нормативных документов, сегодня сложилось негласное правило, по которому в рамках сертификационных испытаний эксперты тщательно инспектируют исходный код (в случае его предоставления), а также проводят различные варианты нагрузочного тестирования. Кроме того, эксперты изучают различные бюллетени по безопасности продуктов и сред их функционирования. В результате этого опытная лаборатория получает список критических уязвимостей, которые заявитель должен исправить или описать в документации. Например, при сертификации выявляются такие уязвимости, как встроенные пароли и алгоритмы их генерации, архитектурные ошибки (некорректная реализация дискретного и мандатного принципов доступа и т. п.), некорректности программирования (уязвимости к переполнению буфера, ошибки операторов логики и времени, гонки, возможность загрузки недоверенных файлов и др.), а также ошибки обработки данных приложений (SQL-инъекции, кросс-сайтовый скриптинг), реализация которых может существенно снизить уровень безопасности системы. Согласно нашей практике, в 70% проверенного коммуникационного оборудования обнаруживались встроенные мастер-пароли, а почти в 30% проверяемых операционных систем были выявлены ошибки реализации системы разграничения доступом. Зафиксированы также случаи, когда в продуктах присутствовали даже логические временные бомбы. Миф № 8: если продукт сертифицирован на отсутствие недекларированных возможностей, это не гарантирует, что в нем нет уязвимостей. На сегодняшний день нет методов гарантированного выявления всех возможных уязвимостей программного обеспечения — успешное прохождение сертификации на отсутствие недекларированных возможностей гарантирует обнаружение лишь определенного класса уязвимостей, выявляемых с использованием конкретных методов. С другой стороны, прохождение сертификации на отсутствие недекларированных возможностей гарантирует наличие у разработчика системы качества производства программ, то есть найдены и зафиксированы все реальные исходные тексты и компиляционная среда, компиляция и сборка могут быть гарантировано повторены, а также имеется русскоязычная документация. Миф № 9: требования по анализу исходного кода существуют только по стандартам РФ, но и по международным стандартам. Часто можно столкнуться с критикой строгости отечественной сертификации, связанной с предоставлением исходных текстов программ. Действительно, в международной системе сертификации Common Criteria допускается проведение испытаний продукции, обрабатывающей информацию, не отнесенную к гостайне, без предоставления исходных кодов, однако в этом случае должны быть обоснованы проверки на отсутствие скрытых каналов и уязвимостей. Для систем обработки гостайны и платежных систем предусмотрен структурный анализ безопасности исходного кода. Требования по аудиту безопасности исходного кода коммерческих программных продуктов можно найти в международных стандартах PCI DSS, PA DSS и NISTIR 4909. Миф № 10: сертификация стоит недорого. Сертификация программного обеспечения по требованиям безопасности информации – это довольно длительный и трудоемкий процесс, который не может быть бесплатным. В то же время наличие сертификата соответствия значительно расширяет рынок сбыта продукта заявителя и увеличивает количество продаж, и тогда стоимость сертификации по отношению к прочим затратам оказывается небольшой. |