Виталий Лютиков представил нововведения в требованиях ФСТЭК к государственным информационным системам |
Из организованных в рамках мероприятия конференций для специалистов по информационной безопасности самой тематически близкой стала конференция «Передовые методы и средства защиты конфиденциальной информациис, которую провел Виталий Лютиков, заместитель начальника управления ФСТЭК. В прошлом году на аналогичной конференции обсуждались документы по системам обнаружения вторжений (см. «Требования для СОВ», Computerworld Россия, № 4, 2012), а в этом — набор документов по защите государственных информационных систем.
По словам Лютикова, уже готовы два документа ФСТЭК — «Методика определения актуальных угроз безопасности информации в информационной системе» и «Содержание мер по защите информации для классов защищенности информационной системы». Предполагается, что системы, защищенные в соответствии с этими документами, автоматически будут отвечать и аналогичным требованиям закона «О персональных данных». Одним из важных нововведений является аттестация не всей системы целиком, а только ее типовых элементов, реализующих полную технологию обработки информации. Таким образом, владельцам госсистем достаточно внедрить типовые решения, которые будут сертифицироваться централизованно, и процедура получения аттестата соответствия будет достаточно простой. В результате государственные информационные системы в поликлиниках, отделах ЗАГСов, государственных детских садах и различных реестрах будут централизованно сертифицироваться и устанавливаться на местах, тем самым будет обеспечено соответствие требованиям закона.
Впрочем, аттестационные испытания, призванные проверить, как работает защита в конкретной госсистеме, в соответствии с подготовленными документами сводятся к анализу возможных уязвимостей перед вводом системы в эксплуатацию. «Владелец системы может проводить аудит уязвимостей и на более ранних этапах построения информационной системы, но только перед вводом в эксплуатацию он будет обязательным», — пояснил Лютиков. Если в результате этого анализа будет обнаружено какое-то число незакрытых уязвимостей, то организации придется уточнять модель угроз и устанавливать дополнительные инструменты защиты. Такое нововведение стимулирует развитие рынка как автоматизированных средств анализа защищенности, так и услуг в этой области. Анализ на уязвимости предполагается регулярно проводить и в течение срока эксплуатации системы. В новых документах предусмотрены также средства защиты среды виртуализации
Еще одним существенным нововведением является решение проблемы обновлений. Прежде подразумевалось, что установка исправлений лишает систему сертификата соответствия и вся система перестает соответствовать требованиям защиты. Новая методика относит обновления к категории изменения конфигурации системы, что не влечет за собой новой сертификации продукта. «Сейчас защита без обновлений уже будет небезопасна, поэтому требовать неизменность проверенной системы неправильно», — пояснил Лютиков. Впрочем, определенные требования на внесение этих изменений все-таки в документе предусмотрены — в частности, повторное проведение анализа уязвимостей. Повторная сертификация продуктов может потребоваться в случае выпуска производителем новой версии продукта.
Следует отметить, что в прошлом году были приняты новые стандарты (они вступили в силу с 1 января 2013 года), регламентирующие российские алгоритмы шифрования на эллиптических кривых (ГОСТ Р 34.10-2012) и функцию хэширования (ГОСТ Р 34.11-2012). В связи с этим потребуется пересертификация всех криптографических средств защиты. Разработчики средств криптографической защиты должны реализовать новые алгоритмы шифрования в своих продуктах и обеспечить постепенный переход на них пользователей. Причем какое-то время разработчикам придется поддерживать оба стандарта на шифрование, чтобы сохранить совместимость со старыми системами и вместе с тем обеспечить переход на новые алгоритмы. Предполагается, что этот процесс перехода займет год, после чего системы, реализующие только старый стандарт, перестанут соответствовать требованиям ФСБ.