Немного об особенностях отечественной системы сертификации средств защиты информации

Помните рубрику "Приколы нашего городка" в программе "Городок"? Готовя тут один документ, составил список приколов и в "нашем" городке, имя которому "сертификация средств защиты информации в РФ". Надо заметить, что ко многим из них мы (разработчики, продавцы, потребители, органы по сертификации, испытательные лаборатории, регуляторы) настолько привыкли (или закрываем глаза), что даже не задумываемся над сложившейся практикой сертификации средств защиты, которая почти не менялась с серидины 90-х годов, когда появились 608-е Постановление Правительства и 199-й приказ. Но под влиянием внешних факторов задумался и вот что получилось (в немного юмористической и местами утрированной форме):

  1. Только в РФ регулятор выдает сертификат на СЗИ даже не спросив о легальности испытаний с точки зрения прав на интеллектуальную собственность 
  2. Только в России продавец может подать средство защиты на сертификацию, не поставив в известность вендора и нарушив партнерский договор
  3. Только в России потребитель может подать средство защиты на сертификацию, не поставив в известность вендора и нарушив лицензионный договор
  4. Только в России, чтобы сертифицировать СКЗИ для мобильной платформы, производитель ОФИЦИАЛЬНО рекомендует сделать jailbreak ;)
  5. Только в России за сертификацию средств защиты (исключая ГТ) несет ответственность НЕ их производитель, а потребитель ;)
  6. Только в России испытательная лаборатория и орган по сертификации могут сосуществовать в одном юридическом лице, извлекающем прибыль из своей деятельности, что позволяет органу по сертификации, получив результаты интеллектуальной собственности и ноу-хау разработчиков и других испытательных лабораторий, использовать их как свои наработки будучи уже в качестве испытательной лаборатории по другим проектам.
  7. Только в России испытательная лаборатория и орган по сертификации могут сосуществовать в одном юридическом лице, участвовать борьбе за заказчика как ИЛ, а если проиграет, стать для выигравшего конкурента органом по сертификации и отомстить.
  8. Только в России производителем средства защиты может считаться не тот, кто реально его разработал и производит, а тот, кто подал его на сертификацию.
  9. Только в России качество и возможности средства защиты определяются не его реальными характеристиками и защитными свойствами, а голограммой и копией сертификата.
  10. Только в России средство защиты может быть сертифицировано на соответствие ТУ или ЗБ, которые тщательно скрываются от потребителя. 
  11. Только в России сертификация на отсутствие недекларированных возможностей, требующая обязательного предоставления исходных кодов, может быть проведена без предоставления исходных кодов. 
  12. Только в России в один момент времени могут существовать несколько копий одной версии одного средства защиты, сертифицированные по разным требованиям и даже по разным классам защищенности. 
  13. Только в России сертификат соответствия на средство защиты, сертифицированное в одной системе сертификации, не признается в другой системе сертификации, даже если он там сертифицировался по тем же самым требованиям.
  14. Только в России срок действия сертификата на средство защиты определяется не сроком эксплуатации сертифицированного средства защиты в условиях неизменности среды функционирования, а сроком, установленным Правительством. 
  15. Только в России условия применения, ограничения по использованию и другие характеристики сертифицированного средства защиты могут быть отнесены к коммерческой тайне и не выдаваться по запросу потребителей или разработчиков. 
  16. Только в России специалист по сертификации средств защиты может быть не знаком с принципами функционирования оцениваемого им средства защиты и вообще не видеть его в глаза. 
  17. Только в России пройдя всего лишь по 10-20% всех ветвей алгоритма исходных кодов ПО средства защиты испытательная лаборатория делает вывод об отсутствии недекларированных возможностей. 

Сейчас только ФСТЭК затеяла обновление своего старого "Положения о сертификации средств защиты информации по требованиям безопасности информации" (199-й приказ). Уже разработан проект положения об оценке соответствия продукции (работ, услуг), используемой для защиты информации ограниченного доступа, а также процессов ее разработки, производства, монтажа, наладки, эксплуатации и хранения. Но желаемых изменений в этом проекте нет ;-( Зато явно прописано, что теперь оценка соответствия будет распространяться не только на традиционные средства защиты, но и на "средства, в которых они реализованы, т.е. многофункциональные программные, технические, программно-технические средства, которые могут использоваться в целях защиты информации, а также объекты информатизации". Зато срок действия сертификата (при единичных экземплярах и партии) становится бессрочным ;-) Может быть и остальные недостатки действующей системы исправят?

Все, что творится в недрах 8-го центра ФСБ и ЦЛСЗ, обычно является тайной за семью печатями, но насколько я понимаю, никаких изменений не планируется.

Алексей Лукацкий