Журнал "Information Security/ Информационная безопасность" #1, 2020

Последний из перечисленных доку- ментов является также последним и по времени. Он относится к непосред- ственно исполняемым всеми нами, работающими в области ТЗИ. Что суще- ственного и, на мой взгляд, наиболее важного можно извлечь из этих доку- ментов при первом, достаточно беглом, взгляде? Первые выводы Во-первых, формулировки докумен- тов почти всех уровней предусматри- вают обязательную сертификацию только и единственно "средств защиты информации". Причем в расшифровках понятий, включаемых законодатель- ством в этот термин, "средства контроля защищенности информации" (т.е., по сути, "средства измерения") не попада- ют! Причем "ценные указания", много- кратно выслушиваемые автором в каби- нетах второго управления ФСТЭК на тему "Конечно же, обязательной сер- тификации подлежат и средства конт- роля!", законодательного обоснования на федеральном уровне не имеют. И только на ведомственном уровне появляются упоминания о сертификации средств контроля. В нормативном мето- дическом документе (НМД) под назва- нием "ТТЗИ 2016" (полное наименование приводить воздержусь по понятным соображениям – знающим расшифро- вывать не нужно). Так вот в разделе "Общие требования к…", в п. 2.4 черным по белому написано, что должны применяться только серти- фицированные средства защиты, вклю- чая средства и системы в защищенном исполнении, а также сертифицирован- ные средства контроля. И в приказе ФСТЭК России от 18.06.2015 № 67 есть упоминание о том, что "…при выполнении органом по сер- тификации или испытательной лабора- торией работ по оценке (подтвержде- нию) соответствия в отношении средств защиты информации от утечки по тех- ническим каналам, включая средства, в которых они реализованы, а также средства контроля эффективности защиты информации от утечки по тех- ническим каналам". Разумеется, это здравые формули- ровки, понятные и правильные. Вот толь- ко формальных оснований для них в основополагающих документах нет… И изменения надо вводить в тексты законодательных актов, начиная с № 184-ФЗ и далее, вплоть до самого последнего положения. Во-вторых, в основополагающих доку- ментах государственный контроль за корректностью работы системы серти- фикации прописан только в отношении СВР, ФСБ и МО. А вот в ареале ответ- ственности нашего регулятора некая ответственность записана, хотя и строго не определенная. Ну а контроль и вовсе обойден глухим молчанием. В-третьих, для всех участников "мер- лезонского балета" по всей системе законоуложений нет ни слова об участии в этих процессах каких-либо органов метрологии и/или стандартизации. За исключением разве что упоминаний, кто этим не должен заниматься. В любой системе сертификации, по крайней мере "де-факто", ключевую роль играют аккредитованные испытательные лаборатории. Именно им, по всем "поло- жениям", отвечать за разработку "про- грамм и методик сертификационных испытаний" (ПиМСИ). Именно им испол- нять все методики при испытаниях реаль- ных образцов, именно им отвечать за полноту, воспроизводимость, точность и беспристрастность всех испытаний, сиречь измерений. А все вышеизложен- ное неизбежно приводит к тому, что в настоящее время в системе сертифика- ции РОСС RU.0001.01БИ00 ни одна испытательная лаборатория не имеет ни метрологически аттестованных мето- дик, ни средств измерения (испытатель- ного оборудования), отвечающих пол- ностью требованиям 102-ФЗ, ни сотруд- ников, подтвердивших свою квалифи- кацию как измерителей и экспертов. И ни одна лаборатория не отчитывается перед органами метрологии о своей деятельности. Не лишне будет напомнить и о том, что в соответствии с Положением об осуществлении государственного мет- рологического надзора (утверждено постановлением Правительства Россий- ской Федерации от 06.04.2011 № 246) ФСТЭК в числе ведомств, наделяемых таким правом, отсутствует. Это, так сказать, законодательный фон. Сегодняшнее состояние В результате часть НМД, совершенно легитимно и обоснованно разрабаты- ваемых ФСТЭК, проходит регистрацию в Минюсте России, после которой (прав- да, строгого и однозначного толкования, на основании чего это так, мне пока найти не удалось) данные документы приобретают легитимность и необходи- мую юридическую силу во всех мини- стерствах и ведомствах России. А вот с методиками измерений, включая и мето- дики сертификационных испытаний, это не проходит. Минюст категорически отка- зывается от регистрации такого рода НМД. И, кстати, совершенно обоснован- но. Для подобных НМД существуют орга- ны метрологии и стандартизации, а про- цедура подробно описана в № 102-ФЗ. Но вот НМД на тему "Требований к сертификации…" уже разработано и зарегистрировано в Минюсте с 2014 г. целых четыре (перечислять не буду все по тем же причинам). К некоторым из них уже выпущено не по одному "изме- нению и дополнению". А прилагаемые к каждому "Требованию…" проекты методик сертификационных испытаний так и лежат. никем не утвержденные, нелегитимные и неработающие. Поскольку я их все читал, то имею право утверждать, что в том виде, в кото- ром они написаны, у них нет ни единого шанса на метрологическую аттестацию! По многим причинам, из которых полное несоответствие по форме изложения требованиям ГОСТ Р 8.563–2009 "ГСИ. Методики измерений" – наименьшая из причин. Вот в плане рассмотрения требований к методикам выполнения измерений (МВИ) и постараемся обосновать необхо- димость строгого подхода к измерениям в области технической защиты инфор- мации (ТЗИ). Что требуется (требовалось бы…) по закону – понятно. Что же мы имеем в реальности? А в реальности оба "органа исполни- тельной власти" – наши уважаемые регуляторы – до настоящего времени не аттестовали в области ТЗИ ни одной МВИ! Единственное, что точно известно автору: ФСТЭК выпустила приказ № 65 от 26.02.2009, в котором подтвердила и указала, что: 1. Измерения параметров продукции, используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответ- ствии с законодательством Российской Федерации иной информации ограни- ченного доступа, а также продукции, сведения о которой составляют госу- дарственную тайну, в целях оценки выполнения обязательных требований в области технического регулирования. 2. Измерения параметров окружающей среды, в которой испытывается воору- жение, военная и специальная техника", относятся "к сфере государственного регулирования обеспечения единства измерений, в части компетенции ФСТЭК России". С одной стороны, все однозначно. С другой стороны, изящное определение "…в части компетенции ФСТЭК России" переводит проблему из конкретной плос- кости практической метрологии в совсем иную – в область "компетенций" ува- жаемой службы. Видимо, опираясь имен- но на эту формулировку, уважаемый регулятор более чем успешно уже 12 лет… не делает ничего. Но это совсем иная тема, к инжинирингу не имеющая отношения. Посему пока ее оставим… Погрешности Давайте рассмотрим обоснованность, необходимость метрологической атте- стации МВИ с точки зрения естественной и понятной – с точки зрения "допускае- мой и (или) приписанной неопределен- ности измерений или нормы погрешно- сти и (или) приписанных характеристик погрешности измерений". Напомню уважаемому читателю, что в 2008 г. в области измерений произош- ла тихая революция. И, гармонизируя • 29 СЕРТИФИКАЦИЯ И ИЗМЕРЕНИЯ www.itsec.ru

RkJQdWJsaXNoZXIy Mzk4NzYw