Лаборатория НИЦ «Спецтест» была создана компанией Kraftway в 2010 г. для проведения специальных исследований и проверок технических средств на соответствие требованиям законодательства в области защиты информации. Кроме того, она занимается разработкой защищенных систем. Об основных направлениях деятельности этого подразделения мы беседовали с генеральным директором НИЦ «Спецтест» Анатолием Забродоцким.
Intelligent Enterprise: Что стало поводом для создания лаборатории «Спецтест»? Это было пожелание заказчиков, или тому способствовали меры, предпринятые государственными органами (вступление в силу закона № 152‑ФЗ, других законов и иных нормативных актов)?
Анатолий Забродоцкий: Решение было принято руководством компании. Оно было вызвано тем, что Kraftway является крупнейшим поставщиком технических средств для государственного сектора. Естественно, что настольные ПК и иные автоматизированные системы, которые поставляются «под ключ», должны соответствовать нормам и требованиям по защите информации. Чтобы предоставить заказчикам весь комплекс услуг, включая работы по защите информации, и была открыта лаборатория «Спецтест». Деятельность лаборатории направлена на решение задач в области защиты информации, которые стоят как перед органами государственной власти, министерствами, спецслужбами и иными государственными организациями, работающими с государственной тайной, так и перед коммерческими организациями, заинтересованными в соблюдении принципов информационной безопасности. Соединение на одной территории производственных возможностей Kraftway с возможностями организации работ в области информационной безопасности позволяет компании оперативно выпускать продукцию с необходимым пакетом документации, снижать собственные издержки на производство такой продукции и экономить время и средства заказчиков.
Означает ли успешное прохождение тестов, проведенных специалистами лаборатории, отсутствие претензий у контролирующих органов?
Да, мы несем полную ответственность за выполненные работы и контролируемся соответствующими органами, о чем свидетельствует ряд лицензий, полученных организацией. Все претензии контролирующих органов после прохождения тестов, проведенных специалистами лаборатории, будут предъявляться к лаборатории.
Как проходит аттестация систем? Как к ним готовиться? Вы аттестуете только свое оборудование — или и других производителей тоже?
Аттестация объекта начинается с информационного обследования. Нам предоставляется доступ к соответствующим системам. Исходя из оценки систем, специалисты лаборатории дают свои предложения по эффективной защите информации на объекте. Затем в соответствии с руководящими документами готовится полный перечень испытаний и проверок. При успешном прохождении испытаний выдается аттестат на соответствие системы требования по защите информации.
Важно отметить, что деятельность лаборатории интегрирована в производственный процесс завода Kraftway, что позволяет сократить затраты и время на проведение необходимых тестов и испытаний, а также сохранить гарантийные обязательства. Основное преимущество для заказчиков — быстрое и качественное выполнение специальных работ, особенно в случае приобретения оборудования, производимого Kraftway на заводе в Обнинске. Это и выявление устройств перехвата информации, что в обиходе называют «жучками», и специальные исследования побочных электромагнитных излучений и наводок. Мы также реализуем комплексный подход в проектировании, создании и аттестации объектов информатизации. Надежность решений обеспечивается поставкой на объекты современных сертифицированных систем, осуществлением силами наших сотрудников всех работ, включая монтаж, ввод в эксплуатацию защищенных объектов и сопровождение в течение всего срока эксплуатации. Работы по аттестации объектов информатизации проводятся специалистами лаборатории в строгом соответствии с руководящими документами.
А какие аппаратные компоненты особенно проблемны в отношении безопасности? Ведь ни для кого не секрет — практически все ПК и серверы собраны из зарубежной элементной базы, что вызывает известные опасения. И эти опасения иногда подогреваются тем, что время от времени выявляются всякие недоработки, которые, скажем так, сильно облегчают работу потенциальным злоумышленникам.
Это, прежде всего, беспроводные сети — Wi-Fi и Bluetooth — и стандарты связи GSM, CDMA. Ими оснащены практически все мобильные устройства, от мобильного телефона или плеера до ноутбука. Тут ничем не ограничены возможности снять информацию незаметно для пользователя. Поэтому существует ряд мер по противодействию возможности перехвата информации в данных технических средствах, которые мы и реализуем в процессе работы. Это и физическое изъятие, и применение сертифицированных средств защиты информации.
Связана ли определенная специфика с отраслевой принадлежностью потенциального заказчика? Учитывается ли она при проведении проверок?
Да, такая специфика есть. У каждого ведомства свои требования по проверке оборудования, а некоторым необходимо пройти лицензирование по данному виду деятельности. Часто приходиться писать и согласовывать технические задания на разные виды работ под конкретного заказчика.
В целом обязательной аттестации подлежат системы, обрабатывающие сведения, содержащие государственную тайну, управляющие опасными и экологически вредными производствами, а также помещения для проведения секретных переговоров. На объектах же информатизации, где требуется добровольная аттестация, все происходит по желанию владельца. Вступление в силу закона № 152‑ФЗ, предъявляющего требования по защите персональных данных, также подразумевает проведение аттестаций систем, обрабатывающих такие данные. Это часть комплекса мер технического и организационного характера. Однако из‑за недостаточного финансирования заказчиков под данный вид деятельности исполнение закона выполняется не в полном объеме.
В целом, мы планируем в будущем проводить аттестацию систем, обрабатывающих персональные данные. Хотя основной упор делается на защиту государственной тайны.
Источники информации свидетельствуют, что ваша лаборатория может вести поиск закладочных устройств. А бывали случаи, что таковые обнаруживались? В чем была их опасность? Можно ли провести эти работы своими силами?
Все правильно, перечень наших лицензий это включает. А что касается возможности самостоятельного выявления такого рода устройств, то это непростая задача. Мы регулярно проводим обучение наших сотрудников. С любым комплектом профессионального сертифицированного оборудования, направленного на поиск закладочных устройств, необходимы навыки и опыт работы. Кроме того, такая деятельность является предметом лицензирования. Поэтому мы настоятельно рекомендуем не осуществлять поиск своими силами.
Означает ли успешное прохождение всех тестов абсолютную невозможность утечки данных?
Ничего абсолютного в нашем мире не бывает, однако можем заверить, что после успешного прохождения всех тестов защищаемую информацию дешевле купить, разработать или произвести, чем украсть.
