Русификация международного опыта

В четверг Государственная техническая комиссия (Гостехкомиссия) рассказала о плане работ по внедрению одного из самых серьезных стандартов в области информационной безопасности (ИБ). Во всем мире он называется Common Criteria (СС), у нас он превратился в серию ГОСТов под номером 15408. Россия в данной области находится в самом начале пути и пока только формирует вопросы, на которые ей придется отвечать. Обычно российские стандарты безопасности (не только информационной) опережают по строгости международные. Часто наши стандарты возникали раньше международных. В случае с Common Criteria Россия стала внедрять международный стандарт практически без изменений, разделив его на три ГОСТа под одним номером 15408 (см. справку). Сейчас в ряде стран наличие сертификата СС обязательно для информационных систем, важных с точки зрения национальной безопасности. Серия новых ГОСТов вступает в действие в России с 1 января 2004 года. Начальник управления Гостехкомиссии Юрий Лаврухин заявил, что сейчас его ведомство пытается понять, насколько реализуемы в России нормы новых стандартов. Для этого Гостехкомиссия приняла на сертификацию у компании Microsoft операционные системы (ОС) Windows XP и Windows Server 2003. На вопрос "Известий" о программном обеспечении других компаний, которое будет сертифицироваться по новому ГОСТу, Юрий Лаврухин ответил, что Гостехкомиссия рассматривает различные варианты. При этом он отметил, что процесс сертификации ПО идет не быстро. Гостехкомиссии еще придется ответить на ряд вопросов. С одной стороны, сертификация операционной системы позволит ответить на вопрос о ее надежности. С другой стороны, ПО склонно постоянно меняться. Компания Microsoft постоянно выпускает "заплатки" к своим ОС, закрывающие обнаруженные уязвимости программ, например, к хакерским атакам. ОС с набором таких "заплаток" можно считать уже модифицированным продуктом, и его прежняя сертификация именно в области ИБ будет подвергаться сомнению. Пока представители Гостехкомиссии дают уклончивые ответы. Юрий Лаврухин по этому поводу сказал: "Мы будем следить, чтобы не было никаких "левых" моментов". В корпорации Oracle, одной из самых упорных соперников Microsoft, "Известиям" не подтвердили и не опровергли того, что компания собирается в ближайшее время начать работы по сертификации своих программ по новому российскому ГОСТу. В компании сообщили, что многие продукты имеют сертификат как Гостехкомиссии, так и Common Criteria. Судя по всему, Гостехкомиссия решила "потренироваться" именно на Microsoft и в процессе сертификации ее программ выработать методику использования новых ГОСТов. Стоит отметить, что и для Microsoft процесс сертификации будет в известном смысле "моментом истины". Как заявил руководитель отдела стратегических платформ .NET московского представительства Microsoft Алексей Чубарь, "мы сможем понять, насколько в России применимы общемировые стандарты". Справка "Известий" Сертификация по Common Criteria является международным стандартом ISO-IEC 15408, введенным для оценки защищенности инфраструктурного ПО. СС разрабатывался Канадой, Францией, Германией и США. Сейчас СС ратифицирован в 14 странах.