Виталий Лютиков представил набор документов, которые разрабатывает ФСТЭК |
Необходимость изменений в сфере регулирования безопасности связана в том числе и со вступлением России в ВТО, а точнее, с требованием гармонизации законодательства с международными стандартами и лучшими практиками.
Один из важных с точки зрения гармонизации стандартов — «Общие критерии», который в России принят как ИСО/МЭК 15408. Это модульный стандарт, позволяющий описать защиту от любого набора угроз, и именно на его основе, по словам Виталия Лютикова, заместителя начальника управления ФСТЭК, федеральная служба собирается базировать целую серию нормативных требований по защите от несанкционированного доступа и утечек по техническим каналам. Методика подготовки этих документов следующая: из первой части стандарта — каталога выбираются средства защиты, а из третьей — уровни доверия, и исходя из этих данных строятся профили безопасности для соответствующего типа защиты. При этом профилей может быть несколько в зависимости от классификации средств защиты. В процессе сертификации будет выбираться соответствующий профиль и по нему — проверяться наличие тех или иных защитных механизмов.
Осенью 2011 года ФСТЭК уже подготовила требования для систем обнаружения вторжений (СОВ). Разработанный документ находится на утверждении и, возможно, 15 марта вступит в силу. Поскольку в нем есть требования в том числе и для защиты секретных систем, то на нем стоит гриф ДСП, но сотрудники ФСТЭК обещают в ближайшее время опубликовать на сайте федеральной службы выписку из него, где можно будет ознакомиться с большей частью требований, которые относятся к защите несекретных систем. В документе вводится шесть классов СОВ с разделением по применению: на уровне сети или для отдельного компьютера. В целом описано 12 профилей, на соответствие которым будет проводиться сертификация.
В разработке находятся аналогичные документы для антивирусов, средств доверенной загрузки и даже инструментов защиты от утечки информации. Кроме того, предполагается переработать требования к построению защиты государственных информационных систем. В частности, планируется включить в этот документ требования к системам управления информационной безопасностью предприятия в целом.
Следует отметить, что ФСТЭК собирается изменить подход к классификации средств защиты — класс будет определяться по значимости защищаемой информации и уровням угроз для информационной системы. При этом планируется разработать единую классификацию для разных видов тайн: конфиденциальной информации, персональных данных и других, предусмотренных российским законодательством. Такая единая классификация необходима для того, чтобы не нужно было в сертификатах перечислять классы для различных видов тайн, как это приходится делать сейчас.
Лютиков подчеркнул: «Основная задача ФСТЭК — не аттестация систем защиты, но их правильная эксплуатация». В то же время в постановлении правительства № 79 «О лицензировании деятельности по технической защите конфиденциальной информации» эксплуатация исключена из лицензируемых видов деятельности, хотя установка и настройка по-прежнему требуют лицензии. «Впрочем, лицензия фактически заявительная, поскольку экспертиза лицензиата не проводится», — добавил Лютиков. Поскольку регулятор не может контролировать эксплуатацию защиты и его возможности по проведению проверок также ограничены, то важной задачей для обеспечения непрерывной защиты является построение системы управления информационной безопасностью. Пока требования для такой системы есть только в документах для государственных систем.
Также ФСТЭК подготовила национальный стандарт по проведению процедуры аттестации объектов информатизации. Сейчас он направлен в Росстандарт для утверждения его в качестве российского стандарта. Но так как в нем описаны процедуры в том числе и для аттестации по требованиям к защите государственной тайны, то на нем тоже будет гриф ДСП. Кроме того, ФСТЭК совместно с ФСБ участвует в разработке системы защиты для национальной платежной системы. Эта система должна максимально интегрироваться с международными системами, поэтому регуляторы стараются опираться на международные документы, которые сейчас переводятся на русский язык. По словам Лютикова, уже существующей нормативной базы достаточно для построения эффективной системы защиты национальной платежной системы. Таким образом, в этом году ожидается значительное изменение в нормативной базе по информационной безопасности, что приведет к изменению расстановки сил на этом высококонкурентном рынке.