Актуальные вопросы защиты государственных информационных систем в период перехода на импортозамещающие технологии
С момента установления запрета на закупки импортного ПО прошло уже полтора года. ИТ-инфраструктура заказчиков постепенно меняется. В статье представлен довольно широкий взгляд на проблемы, с которыми могут столкнуться операторы государственных информационных систем (ГИС), планирующие перейти на импортозамещающие технологии.
Компания «Конфидент» занимается вопросами защиты информации в госсекторе 25 лет. За прошедшие годы накоплен большой опыт реализации многих тысяч проектов в качестве разработчика и производителя сертифицированных средств защиты информации (СЗИ). Этот опыт позволяет говорить о тенденциях в указанной сфере, вскрывать проблемы, которые не видны с первого взгляда, давать рекомендации заказчикам.
Защита государственных информационных систем. Теория и практика
Существует несколько подходов к отнесению ИС к ГИС и их классификации. Они изложены в № 149-ФЗ, постановлениях Правительства, приказах и руководящих документах ФСТЭК России и других документах. Основными (но не единственными) документами, наиболее полно описывающими требования по защите ГИС, являются: приказ ФСТЭК России от 11.02.2016 г. № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» (в редакции приказа ФСТЭК России от 15.02.2017 № 27) и методический документ «Меры защиты информации в ГИС», утвержденный ФСТЭК России 11 февраля 2014 г. Требования являются обязательными при обработке информации в государственных информационных системах, функционирующих на территории Российской Федерации, а также в муниципальных информационных системах, если иное не установлено законодательством Российской Федерации о местном самоуправлении. Для защиты информации в ГИС используются средства защиты информации (СЗИ), которые сертифицированы на соответствие обязательным требованиям по безопасности информации, установленным ФСТЭК России. Одним из мероприятий для обеспечения защиты информации, содержащейся в ГИС, является аттестация информационной системы по требованиям защиты информации.
Для защиты ГИС применяются сертифицированные СЗИ следующих видов: средства защиты информации от несанкционированного доступа (СЗИ НСД), средства антивирусной защиты (САВЗ), средства доверенной загрузки (СДЗ), межсетевые экраны (МЭ) и системы обнаружения и предотвращения вторжений (СОВ), средства контроля съемных машинных носителей информации (СКН), ОС со встроенными механизмами защиты, а также средства анализа защищенности.
На рис. 1 представлена динамика появления на рынке отдельных видов сертифицированных решений по защите информации. По горизонтальной шкале отмечены даты утверждения требований. По вертикальной шкале – количество решений, доступных для приобретения. Пунктирной линией показан период, в течение которого осуществляются разработка и сертификация решения вендором. Эти периоды в целом имеют тенденцию к уменьшению. На текущий момент пока нет ни одной ОС, сертифицированной по новым требованиям, вступающим в силу с 1 июня 2017 г.
Рис. 1. Динамика появления на рынке отдельных видов сертифицированных решений по защите информации
Для каждой ГИС определяется уникальный набор защитных мер, в том числе с учетом класса ГИС. Таким образом, в каждой конкретной ситуации необходим некий набор сертифицированных решений для защиты информации. Можно с уверенностью сказать, что в подавляющем большинстве случаев для защиты ГИС 1-го и 2-го классов в соответствии с приказом № 17 ФСТЭК России требуются сертифицированные СЗИ от НСД, САВЗ, СКН, СДЗ, МЭ и СОВ.
ПОДЗАГ// Переход на импортозамещающие технологии
В ноябре 2015 г. был установлен запрет на закупки иностранного программного обеспечения для государственных и муниципальных нужд, а с 2016 г. заработал Реестр российских программ для ЭВМ и БД (далее – Реестр). Отдельного рассмотрения заслуживает вопрос критериев отнесения ПО к российскому. Федеральный закон от 29 июня 2015 г. № 188-ФЗ однозначно определяет такие критерии, которые используются при рассмотрении заявок на включение ПО в Реестр российского ПО. Среди них используются: принадлежность исключительных прав российским лицам, возможность свободной реализации на территории РФ, ограничения по суммам выплат иностранным лицам, а также отсутствие в программе сведений, составляющих государственную тайну. В списке критериев нет ни слова про «написание программного кода российскими разработчиками», зато есть указание на то, что Правительством Российской Федерации могут быть установлены дополнительные требования. Таким образом, не ясно, какая часть исходного кода российских программ написана российскими разработчиками. Этот вопрос особенно актуален для программ, основанных на свободном ПО (СПО).
Стремление государства перейти на отечественное ПО и поддержать отечественного разработчика понятно, и его можно только поддерживать. Вместе с тем, реалии таковы, что на текущий момент подавляющее большинство программ в инфраструктуре заказчиков, в том числе ПО, включенное в Реестр, работает под управлением ОС Microsoft Windows. Отказываясь от использования ОС Microsoft Windows, заказчики вынуждены отказываться и от ПО российского производства из-за проблем с технической совместимостью. Чтобы действительно перейти на отечественное ПО, необходимо развивать и отечественные ОС, и прикладное ПО под управлением отечественных ОС (включая офисное), и средства разработки, и системное ПО, в том числе системы защиты информации. Процесс этот достаточно долгий, тем более если его реализовывать в масштабах всей страны.
На текущий момент в Реестре содержится 30 отечественных ОС различного назначения. Среди них как серверные ОС, так и ОС для офисного использования на рабочих местах пользователей, а также ОС для решения специализированных задач. Является ли российское происхождение ОС если не гарантией, то хотя бы фактором, указывающим на более высокий уровень защиты информации, обрабатываемой на защищаемых рабочих местах? Ответ на этот вопрос содержится в письме Минкомсвязи России «О необходимости соблюдения государственными заказчиками требований по защите информации» от 15 марта 2016 г. № НН-П11-4736. В документе, в частности, говорится о необходимости самостоятельного принятия решений государственными и муниципальными заказчиками в части необходимых требований по защите информации, содержащейся в ГИС, в том числе в части выбора из Реестра общесистемного, прикладного, специального программного обеспечения, информационных технологий, а также средств защиты информации в соответствии с требованиями приказа № 17 ФСТЭК России, а также № 149-ФЗ от 27 июля 2006 г. и ПП-1119 от 1 ноября 2012 г. Другими словами, выбор ПО из Реестра никак не связан с защитой информации, которая в соответствии с приказом № 17 ФСТЭК России является составной частью работ по созданию и эксплуатации ИС и обеспечивается на всех стадиях (этапах) ее создания и в ходе эксплуатации путем принятия организационных и технических мер защиты информации.
С другой стороны, в Реестре есть ОС с действующими сертификатами ФСТЭК России. Приведем список этих ОС с указанием уровней сертификации и срока действия сертификата соответствия ФСТЭК России (по данным Государственного реестра сертифицированных средств защиты информации № РОСС RU.0001.01БИ00):
- операционная система Альт Линукс СПТ 7.0 – сертифицирована по 4-му классу РД СВТ, по третьему уровню отсутствия НДВ и ТУ. Сертификат действителен до 14 марта 2023 г. (на сайте разработчика указан срок 22 марта 2020 г. – Прим. авт.);
- операционная система специального назначения Astra Linux Special Edition – сертифицирована на соответствие РД СВТ по 3-му классу и РД НДВ по второму уровню. Сертификат действителен до 27 января 2018 г.;
- операционная система РОСА SX «Кобальт» 1.0 со встроенными средствами защиты от несанкционированного доступа к информации – сертифицирована на соответствие РД СВТ по 5-му классу и РД НДВ по четвертому уровню контроля. Сертификат действителен до 7 июля 2017 г.;
- программное изделие «Операционная система с открытым программным кодом «Синергия» – сертифицировано на соответствие РД СВТ по 3-му классу и РД НДВ по второму уровню. Сертификат действителен до 13 декабря 2019 г.
Как видим, на текущий момент указанные ОС имеют сертификаты по РД СВТ и РД НДВ. Это означает, что для построения системы защиты информации в ГИС 1-го и 2-го классов необходимо применять другие сертифицированные СЗИ, включая САВЗ, СКН, СДЗ, МЭ и СОВ, поскольку в составе российских ОС нет соответствующих сертифицированных защитных механизмов. С какими сторонними СЗИ имеется техническая совместимость у отечественных ОС? Во многих случаях совместимость достигается с СДЗ уровня платы расширения и антивирусами. С межсетевыми экранами ситуация чуть хуже, поскольку в части персональных межсетевых экранов не у всех российских ОС есть совместимость с такими решениями. Системы обнаружения и предотвращения вторжений уровня узла не поддерживаются. Средства контроля съемных машинных носителей информации также не поддерживаются. Техническая совместимость на основе данных, приведенных на официальных сайтах производителей российских ОС, содержится в табл. 1.
Таблица 1
Операционная система | Техническая совместимость со сторонними решениями для защиты информации | ||||
САВЗ | СКН | СДЗ | МЭ | СОВ | |
«Альт Линукс» СПТ 7.0 | + | – | + | + | * |
Astra Linux Special Edition | + | – | + | * | * |
РОСА SX «Кобальт» 1.0 | + | – | + | * | * |
ОС «Синергия» | + | – | + | * | * |
* Поддерживаются только периметровые решения уровня сети (логических границ сети).
Таким образом, для обеспечения защиты информации, содержащейся в ГИС, во многих случаях аттестация информационной системы по требованиям защиты информации ФСТЭК России не представляется возможной.
Даже если не принимать в расчет вопросы, связанные с аттестацией рабочих мест, принято считать, что российские ОС, основанные на СПО, являются наиболее безопасными, так как в них не может быть программных закладок по причине наличия доступа к их исходному коду, в них меньше уязвимостей. В табл. 2 приведена статистика уязвимостей CVE Details за 2016 г.
Таблица 2
Если обратиться к Банку данных угроз безопасности информации ФСТЭК России (http://bdu.fstec.ru/charts) в части количества критических уязвимостей в ПО различных производителей, то ситуация со свободным ПО в части ОС схожая.
Рис. 2
Посмотрим, как устраняются уязвимости. Производители выпускают бюллетени по безопасности. У Astra Linux за 2016 г. выпущен один бюллетень по безопасности (http://www.astra-linux.com/wiki/index.php/Security_Updates_for_1.5), в котором содержится обновление по безопасности с исправлением 11 уязвимостей из БДУ ФСТЭК России. За 2017 г. выпущен пока только один бюллетень – он является кумулятивным обновлением, в котором исправлено чуть более 300 уязвимостей. Для «Альт Линукс» СПТ 7.0 за 2016 г. выпущен один бюллетень по безопасности, как и за 2017 г. (https://cve.basealt.ru/). На сайтах разработчиков РОСА SX «Кобальт» 1.0 и ОС «Синергия» найти информацию об обновлениях по безопасности не удалось. Для сравнения: у компании Майкрософт за 2016 г. около 140 обновлений различного ПО (http://www.cvedetails.com/microsoft-bulletins/2016/), сгруппированных в бюллетени, которые выпускаются ежемесячно на постоянной основе.
В соответствии с требованиями, изложенными в приказе № 17 ФСТЭК России, необходимо выявлять и устранять уязвимости в информационных системах. Такие проверки должны проводиться на различных этапах жизненного цикла ИС. Любая такая проверка – это затраты. Чем больше уязвимостей в ИС, тем выше совокупная стоимость владения ИС. Более того, процесс устранения уязвимостей в сертифицированных СЗИ организационно зачастую более затратный, чем устранение уязвимостей в любом другом ПО. Если в качестве сертифицированного СЗИ мы рассматриваем ОС, а не накладное СЗИ, то ситуация усугубляется многократно ввиду сложности реализации самого продукта и количества уязвимостей в нем. Дело в том, что уязвимости в накладных решениях – это единичные случаи, которые встречаются крайне редко.
ПОДЗАГ// Выводы
Переход на импортозамещающие технологии действительно оказывает влияние на ИТ-инфраструктуру заказчиков. Доля организаций, где используются ОС на базе свободного ПО, увеличивается. Вместе с тем статистика по уязвимостям говорит не в пользу свободного ПО. Возможно, поэтому регуляторы (в частности, ФСТЭК России) уделяют большое внимание вопросам поиска и устранения уязвимостей в информационных системах.
С точки зрения реализации мер по защите информации в соответствии с требованиями регуляторов пока рано говорить о том, что переход на импортозамещающие технологии близок к завершению. До сих пор нет необходимого количества сертифицированных СЗИ, которые способны обеспечить полноценную защиту ГИС, построенных на базе российских ОС. Встроенных в ОС сертифицированных защитных механизмов еще недостаточно для обеспечения защиты информации. Должно пройти некоторое время, чтобы на рынке сертифицированных СЗИ появились соответствующие решения.