Привет, Хабр! Меня зовут Александр, я ведущий специалист аналитического отдела компании «ИнфоТеКС». Сегодня речь пойдет о процедуре оценки влияния среды функционирования. Немного затронем и тему сертификации, начатую в предыдущем материале.
Статья будет интересна разработчикам ПО, которым необходимо обеспечить защиту информации в своем продукте с использованием средств криптографической защиты информации (СКЗИ). В каких случаях при этом необходимо прохождение сертификации у регулятора, а когда достаточно провести процедуру оценки влияния среды функционирования?
Статья поможет разобраться, что такое оценка влияния, как понять, что она вам нужна, каковы примерные сроки проведения такой процедуры и можно ли использовать в своем продукте несертифицированное СКЗИ.
Нормативная база
В части оценки влияния основополагающим документом является Положение о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005), утвержденное приказом ФСБ России от 9 февраля 2005 года № 66 (далее – ПКЗ-2005). Хоть документ и был разработан чуть менее 20 лет назад, своей актуальности он не потерял.
Термин «оценка влияния» встречается нам в пункте 35 ПКЗ-2005, который, в том числе, гласит следующее: «оценка влияния аппаратных, программно-аппаратных и программных средств сети (системы) конфиденциальной связи, совместно с которыми предполагается штатное функционирование СКЗИ, на выполнение предъявленных к ним требований осуществляется разработчиком СКЗИ совместно со специализированной организацией». Также, в пункте 36 указывается, что «результаты … оценки влияния аппаратных, программно-аппаратных и программных средств сети (системы) конфиденциальной связи, совместно с которыми предполагается штатное функционирование СКЗИ, на выполнение предъявленных к ним требований, … передаются в ФСБ России для проведения экспертизы». Указанные пункты описывают нам порядок действий по проведению оценки влияния.
Кроме того, немаловажным в нашем случае является пункт 46 ПКЗ-2005, в котором говорится, что «СКЗИ эксплуатируются в соответствии с правилами пользования ими». Нарушение этого требования может привести к административной ответственности, предусмотренной частью 6 статьи ст. 13.12 Кодекса Российской Федерации об административных правонарушениях.
Зачем и когда?
Для чего проводится оценка влияния? Допустим, компания разрабатывает программный продукт, использующий встроенное в него криптосредство для выполнения определённых функций. Где гарантия того, что используемые функции сертифицированного СКЗИ вызываются правильно и вызовы не подменяются? Чтобы убедиться, что разрабатываемый продукт действительно вызывает криптографический функционал и делает это корректно, проводится оценка влияния.
Посмотрим на конкретный пример. В правилах пользования ViPNet CSP 4.4 (как говорилось ранее, их соблюдение обязательно в соответствии с пунктом 46 ПКЗ-2005) указано, что разработка прикладного ПО на основе ViPNet CSP может производиться без создания нового СКЗИ в случае использования вызовов функций из перечня, приведенного в Приложении А. В случае использования прочих вызовов необходимо производить разработку отдельного СКЗИ в соответствии с действующей нормативной базой (в частности, с Постановлением Правительства Российской Федерации от 16 апреля 2012 г. № 313 и ПКЗ-2005). Случаи, когда необходимо проводить оценку влияния, указаны также и в формуляре на данное СКЗИ.
То есть, если вы берете сертифицированное СКЗИ и используете список функций, представленных в правилах пользования, то проведения оценки влияния вам будет достаточно. Если же встраиваемое вами СКЗИ не сертифицировано или продукт вызывает функции, отсутствующие в правилах пользования, то фактически вам предстоит создание нового СКЗИ.
Разница между сертификацией СКЗИ и оценкой влияния существенная. Для проведения оценки влияния достаточно наличия лицензии на разработку защищенных с использованием шифровальных (криптографических) средств информационных систем. Также, встраивая СКЗИ с использованием функций из правил пользования, для последующего проведения процедуры оценки влияния вы можете обратиться в любую организацию, имеющую соответствующую лицензию – оформлять её самим не обязательно.
В случае создания нового СКЗИ необходима лицензия на разработку шифровальных (криптографических) средств, для получения которой необходимо в том числе наличие допуска к выполнению работ и оказанию услуг, связанных с использованием сведений, составляющих государственную тайну. Если вы сами встраиваете несертифицированное СКЗИ или используете вызов не упомянутых в правилах пользования на сертифицированное СКЗИ функций, то вы сами становитесь разработчиком нового СКЗИ и лицензия нужна непосредственно вам. Оформлять соответствующую лицензию нужно перед тем, как приступать к созданию нового СКЗИ, потому что факт разработки при отсутствии лицензии уже является правонарушением.
Предположим, вы создали новое СКЗИ. Что дальше? Бытует мнение, что все СКЗИ в России должны быть сертифицированы. Это не так, формально такого требования нет. Но если компания планирует выходить на рынок, масштабировать продукт, защищать информацию, тем более предлагать свои решения государственным органам для государственных информационных систем, сертификация разрабатываемых ей СКЗИ обязательна.
Что нужно для проведения оценки влияния, ее сроки и стоимость
Вернемся к более простой ситуации, когда вы используете в своем ПО сертифицированное СКЗИ и оно вызывает функции из «разрешенного» списка.
Для проведения оценки влияния необходимо соответствующее техническое задание (ТЗ). Обычно написание ТЗ инициируется разработчиком и осуществляется им во взаимодействии со спецорганизацией, а далее согласовывается с 8 Центром ФСБ России. В ТЗ указываются, в частности, основные параметры системы и модули, осуществляющие взаимодействие с СКЗИ.
Стоит отметить, что для отдельных продуктов ИнфоТеКС разработаны «типовые» ТЗ на основе уже согласованных регулятором, что упрощает подготовку конкретных ТЗ при встраивании наших изделий.
Помимо ТЗ необходимы также:
Комплект программной конструкторской и эксплуатационной документации на компоненты системы, включающей исходные коды как минимум тех компонентов системы, которые взаимодействуют с СКЗИ;
Дистрибутивы компонентов системы для проведения испытаний и фиксации контрольных сумм компонентов системы.
Стоимость работ зависит от сложности ИС и объёма решаемых задач по криптозащите. Чтобы не вводить никого в заблуждение, стоимость мы приводить здесь не будем.
Что же касается сроков работ, то специализированная организация (лаборатория) проводит исследование по оценке влияния одной информационной системы на функционирование одного СКЗИ около трех месяцев. Работа завершается отправкой отчета лаборатории в экспертную организацию (ФСБ России). Экспертная организация проводит экспертизу отчетных материалов по оценке влияния одной информационной системы на функционирование одного СКЗИ около двух месяцев. Стоит заметить, что сроки указаны средние. На длительность исследований и экспертиз сильно влияют оперативность ответов представителя заказчика на запросы лаборатории, чёткость их формулировок и т.д. Для сравнения – процедура сертификации изделия как СКЗИ того или иного класса в среднем занимает около года. Таким образом, процедура оценки влияния не только менее трудозатратна, но и проводится значительно быстрее сертификации нового продукта.
Когда оценка влияния не нужна
Проводить оценку влияния не нужно, если об этом написано в документации на используемое вами СКЗИ. Например, в правилах пользования ViPNet OSSL прописано, что проводить оценку влияния ПО при использовании продукта в связке с web-сервисами Apache, nginx и stunnel не требуется. Фактически это означает, что мы, как разработчики СКЗИ, уже провели необходимые исследования в отношении указанного ПО и получили соответствующее одобрение регулятора.
Возможен случай, что на организацию-разработчика не распространяется действие ПКЗ-2005. Сфера действия данного документа определена пунктом 3. Но на практике такой случай крайне маловероятен и практически все, кто выходит на более-менее крупный рынок и начинает работать с конфиденциальной информацией (персональные данные есть практически во всех информационных системах и законом обусловлена их защита), столкнется с необходимостью проведения оценки влияния или даже сертификации.
Был ли у вас опыт проведения оценки влияния? Задавайте вопросы в комментариях, постараемся на них ответить.