Как известно, в январе Microsoft добилась того, что Гостехкомиссия при президенте Российской Федерации официально признала операционную систему Windows XP пригодной для обработки конфиденциальной информации (см. "Известия" от 18 февраля). Часть из 300 экземпляров программного продукта была роздана госучреждениям. Выяснилось очевидное: без регулярных обновлений системы пользоваться ею нельзя, поскольку сертификатом хакера не испугаешь.
Без возможности обновлений операционной системы по мере исправления в ней ошибок (в том числе и прежде всего - критических, то есть угрожающих информационной безопасности) пользователь обойтись не может. Однако невозможно также изменить хотя бы один бит в загрузочном коде одобренной Гостехкомиссией версии Windows, так как это автоматически ведет к прекращению действия сертификата. Теперь противоречие устранено. На специально созданном сайте можно обновлять систему и при этом не терять "охранной грамоты" Гостехкомиссии.
Проблема здесь скорее бюрократическая, а не техническая. Фактически Microsoft не делает для России ничего специального. Обычная операционная система, и обычные обновления к ней. Пользователь получает их, в конечном итоге, на сайте компании-производителя. Разница только в том, что каждое изменение кода проверяют специально обученные люди (из ЗАО "Алтэкс-Строй 2002", с которой Microsoft наладила сотрудничество).
Случаев, когда результаты работы программистов Microsoft не устроили бы наших проверяющих, до сих пор не было. Так что усложнение привычного всякому пользователю процесса обновлений Windows явно излишне. Существует проект Common Criteria (commoncriteriaportal.org) Международной организации по стандартизации (ISO), к которому присоединились уже 18 стран, включая США, Канаду, Францию, Германию, Австралию, Финляндию, Грецию и Израиль. В рамках Common Criteria разрабатываются процедуры, обеспечивающие информационную безопасность софта. Страны - участницы проекта взаимно признают сертификаты друг друга. При этом государства (точнее, государственные институты вроде нашей Гостехкомиссии) в процесс не вмешиваются, оставляя за собой право признавать или не признавать решения Common Criteria достаточными в том или ином случае. В частности, правила компьютерной обработки сведений, составляющие государственную тайну, каждая страна определяет по-своему.
Common Criteria предусматривает 7 уровней информационной безопасности программного обеспечения, с промежуточными градациями. По этой классификации сертифицированная Гостехкомиссией Windows XP имеет показатель "4+". Для того чтобы вести электронную переписку начальника Генштаба, этого, может быть, недостаточно, и следует предусмотреть дополнительные меры противодействия иностранным техническим разведкам. Но для служб безопасности большинства корпораций и госучреждений годится, поскольку гарантирует (с приемлемой вероятностью) отсутствие в коде функций, не предусмотренных документацией. Иными словами, сертифицированная операционная система не станет без ведома пользователя воровать и отсылать по e-mail ваши данные.
В сущности ничего не изменится, если устранить Гостехкомиссию из процесса сертификации программных продуктов на "4+" в соответствии с Common Criteria. Эксперт Гостехкомиссии Игорь Калайда (его должность - заместитель начальника отдела) отказался высказаться по этому поводу от имени своей организации, но личное его мнение таково: вступление России в проект Common Criteria - вопрос времени.
|