В нашей стране за последнее десятилетие создано множество информационных систем и сетей на основе, прежде всего зарубежных технических средств и программных продуктов. Относительно этих систем возникает совершенно обоснованное опасение о возможности существования в них так называемых "недекларированных возможностей", т.е. скрытых от пользователя свойств, которые позволяют управлять этими средствами независимо от пользователя.
В подобных случаях возникают естественные опасения, что в таких системах их поставщиком или изготовителем могут быть заложены некие скрытые возможности, обеспечивающие внешний контроль всех процессов и данных, обращающихся в системе. С помощью таких средств возможен также вывод из строя систем целиком или по частям по командам извне.
Как следствие, такие системы вызывают определенные опасения при применении в особо ответственных объектах и структурах. Технические элементы, устанавливаемые в особо ответственных системах, тщательно и глубоко исследуются, программные элементы тоже тестируются в специализированных организациях, однако определенные сомнения могут оставаться и после таких испытаний.
|
|
Для того чтобы снять у пользователя и потребителя эти опасения, производители технических и программных средств представляют свои изделия на официальную сертификацию. С этой целью компания-поставщик представляет детальную документацию на изделия и сами изделия с тем, чтобы на этом основании можно было уверенно выявить во всей полноте функции, выполняемые данным изделием.
Известная американская фирма Novell в конце 1997 г. выставила свои программные продукты на получение в России сертификата безопасности. Государственная техническая комиссия при Президенте России (официальный орган российской власти, уполномоченный решать такие вопросы) приняла решение начать сертификацию по вопросам сетевой безопасности всех продуктов компании Novell, продаваемых в России. Сертификация поможет убедиться в отсутствии в программных продуктах компании «недекларируемых возможностей». Сертификационные испытания являются весьма объемными и продолжаются достаточно долго. При благоприятном заключении Гостехкомиссии Россия официально признает безопасность сетевых программных продуктов компании Novell.
По представлению американской компании Oracle ее известная СУБД Oracle 8 успешно прошла такие сертификационные испытания в России, которая стала третьей после США и Великобритании страной, сертифицировавшей сервер баз данных Oracle 8 на соответствие требованиям безопасности по классу систем, пригодных для хранения документов, которые содержат государственную тайну. Об этом свидетельствует врученный фирме сертификат №168 Гостехкомиссии РФ.
Это событие уникально, во-первых, потому что Oracle 8 – первая и единственная пока СУБД иностранного производства, сертифицированная по столь высокому классу безопасности; во-вторых, сам процесс сертификации оказался беспрецедентным. Он обошелся Oracle в общей сложности в 1 млн. долл. Длилась сертификация полтора года, за это время состоялось около 12 тыс. штатных и 5 тыс. специализированных испытаний.