Цикл статей в 3-х частях
Еще 20 лет назад редко приходилось слышать про «безопасность программного обеспечения» в прессе и даже в кулуарах. Начиная с 2010-х тема безопасности стала все чаще появляться в заголовках статей и просто в разговорах менеджмента компаний. Примерно в то же время начались тектонические сдвиги в разработке требований безопасности к различным средствам защиты информации и требований по разработке безопасного программного обеспечения.
За 20 лет ситуация кардинально поменялась. Теперь о безопасности говорят постоянно. Сдвиги в этой области были обусловлены бурным развитием ИТ-технологий, на рынке появилась каста людей, именуемых «Разработчики», которые писали код, автоматизировали все, что можно было автоматизировать, создавали пользовательские сервисы и информационные системы, способные обслуживать бизнес и государственные структуры.
Большинство из этих разработчиков обладали навыками программирования на различных языках, но ничего не знали о безопасных методах разработки. Не знали они и об уязвимостях, которые вносили в код использованием небезопасных конструкций. С этим надо было что-то делать, и работа над ошибками началась. В 2016 году ФСТЭК России утвердил приказом № 119 требования безопасности к операционным системам. С того времени началось бурное развитие продуктов данного класса на рынке. На сегодняшний день мы имеем порядка 15 операционных систем, имеющих сертификат соответствия данным требованиям.
После 2022 года начался массовый отток из РФ привычных нам зарубежных вендоров программного обеспечения, в том числе и вендоров операционных систем, таких как Microsoft, Red Hat и прочих. Российский бизнес стал массово импортозамещать программное обеспечение, на котором работал десятилетиями. Одними из самых частых вопросов при замещении операционных систем стали:
Какую операционную систему выбрать? Какая из 15 существующих операционных систем безопаснее и больше подойдет для решения наших задач?
В цикле статей на эту тему предлагаю ответить на данные вопросы и помочь читателям разобраться в том, что сейчас происходит на рынке, а также развеять существующие на рынке мифы.
Миф № 1. «Если я приобрету сертифицированную ОС, то могу быть уверенным в ее безопасности».
Часто наличие сертификата соответствия не говорит о полной безопасности продукта. Сертификат соответствия — это всего лишь свидетельство того, что обладающий им продукт соответствует тем или иным требованиям, предъявляемым регулятором в конкретной области. Например, сертифицированные ОС на рынке обычно соответствуют требованиям к ОС согласно приказу № 119 ФСТЭК России, Профилю защиты операционных систем, а также Требованиям доверия согласно приказу № 76 ФСТЭК России.
По сути, приказ № 119 определяет сводные требования безопасности для всех типов ОС (общего назначения, встраиваемые и реального времени) и классов их защиты (с 1-го по 6-ой). Данные требования детализируются и предъявляются в Профиле защиты для ОС конкретного типа и класса защиты. В нем определены различные угрозы для ОС и среды ее функционирования, устанавливаются цели обеспечения безопасности и приводятся функциональные требования безопасности к ОС. Таким образом — наличие сертификата соответствия ОС требованиям приказа № 119 и Профилю защиты конкретного типа и класса защиты будет гарантировать, что ОС реализует функционал, предъявляемый Профилем защиты, а также может противостоять определенным в Профиле защиты угрозам.
Приказ № 76 предъявляет определенные требования к процессу разработки и производства программных и программно-технических средств (далее по тексту - средств), процессу проведения испытаний средств и поддержки уровня заявленной безопасности в процессе эксплуатации средств. В документе предъявляются серьезные требования, направленные на достижение высокого уровня безопасности продуктов, реализация которых при разработке и эксплуатации ОС могла бы свидетельствовать о реальной безопасности программного обеспечения. К сожалению, в современных реалиях не все требования реализуются вендорами так, как предполагалось документом, не все испытания, направленные на обнаружение уязвимостей, приносят результат из-за недостаточной квалификации специалистов, их проводящих. Не все процессы, организованные у вендора, проверяются от начала и до конца их выполнения из-за невозможности валидации процесса в связи с ограниченным по времени сроком сертификации, что зачастую приводит к проверке некоторых процессов путем документального соответствия реализации предписанных процессов и верификации полученных результатов в ходе их выполнения.
Из этого следует, что нельзя назвать сертифицированную по этим требованиям ОС «полностью безопасной», скорее можно сказать, что ОС может обеспечивать защиту от определенных угроз, а также вендор в состоянии проводить обновление данной системы и оказывать техническую поддержку.
На сегодняшний день на российском рынке присутствуют ОС, которые не сертифицированы по требованиям безопасности информации, но при этом могут обеспечивать уровень безопасности не хуже, чем их сертифицированные конкуренты. В связи с этим вам стоит определиться с целями, которые преследует ваша организация и исходя из них подбирать себе ту ОС, которая сможет покрыть все потребности персонала и обеспечить должную защиту обрабатываемой в ней информации. Если информационная система вашей организации, в которую предполагается ставить ОС, относится к государственным информационным системам (выполняете требования 17 приказа ФСТЭК России), автоматизированным системам управления технологическими и производственными процессами (выполняете требования 31 приказа ФСТЭК России), информационным системам обработки персональных данных (выполняете требования 152-ФЗ), либо предполагается применять ОС в значимом объекте критической информационной инфраструктуры (выполняете требования 187-ФЗ), то проще будет выбрать ту ОС, которая имеет сертификат соответствия требованиям по безопасности информации. Однако, проще — не всегда лучше. Есть и другой путь — применение на данных объектах несертифицированной ОС совместно с наложенными средствами защиты информации. Такой подход не всегда хуже, чем применение сертифицированной ОС, т. к. в сертифицированных версиях зачастую пренебрегают удобством для пользователей и урезают определенный функционал в пользу выполнения требований по безопасности информации. Выбрав этот путь вы сможете получить функциональную и удобную в использовании ОС, отвечающую всем требованиям организации и с помощью установки в ее среду СЗИ от НСД выполнить все требования регулятора, предъявляемые к защите информации в данных информационных системах. О всех плюсах и минусах такого подхода можно рассказать много интересного, но это займет не одну страницу текста. Чтобы не запутать читателя, я подниму эту тему в отдельной статье, где расскажу про все нюансы такого подхода и подсвечу детали, на которые стоит обратить внимание. А сейчас продолжим про выбор именно сертифицированной версии ОС.
Как же понять, какую ОС выбрать и какая из них будет более безопасной?
Для того, чтобы ответить на этот вопрос, придется не просто полагаться на наличие сертификата соответствия требованиям безопасности информации, но также провести определенную аналитическую работу при выборе.
Миф № 2. «Большинство сертифицированных ОС отличаются набором средств защиты».
С точки зрения функций безопасности сертифицированных операционных систем — они у большинства идентичны, при условии сравнения ОС одного и того же типа и класса защиты. Чем выше класс защиты, тем больше функциональных требований к безопасности предъявляет Профиль защиты, но если Вы не обрабатываете на своих системах информацию, составляющую гос. тайну, то нет смысла рассматривать ОС с классами выше четвертого, т.к. пользоваться дополнительными функциями защиты, наподобие мандатного разграничения доступа и маркировки документов, вы все равно не будете. Конечно, могут быть случаи, когда отечественные вендоры предлагают какие-то уникальные механизмы безопасности, отличающие их систему от систем конкурентов, но честно говоря, глобальных функций по защите я не встречал, чаще какие-то незначительные доработки существующего (опенсорсного) функционала. Чаще всего вендор ограничивается реализацией только тех функциональных возможностей по защите, требования к которым предъявляет регулятор в Профиле защиты.
Если все сертифицированные операционные системы обеспечивают одни и те же функции по защите информации, то нет разницы, какую покупать? На самом деле есть – и очень большая. Только рассматривать нужно другие аспекты – их мы обсудим в следующей статье по данной теме.
Как выбрать сертифицированную ОС на российском рынке. Часть 2