Задай вопрос ФСТЭК

Задай вопрос ФСТЭК

Игорь Васильевич Егоркин,
начальник отдела лицензирования и сертификации ФСТЭК России

1. Мининформсвязи России, ссылаясь на ряд неразрешимых проблем согласования текста документа, предлагает исключить регламент "О безопасности информационных технологий" из Программы разработки технических регламентов, утвержденной распоряжением Правительства Российской Федерации от 29 мая 2006 г. № 781-р, и прекратить работу над ним. Учитывая, что оба регламента тесно связаны между собой по содержанию, прекращение разработки проекта СТР-45 ведет к исключению возможности принятия СТР-46, так как СТР-45 является для него основополагающим. Минобороны России поддержало предложение Мининформсвязи и, в свою очередь, предложило исключить из Программы СТР-46. Правительственная комиссия по техническому регулированию должна принять решение в апреле. За две недели до этого заседания на той же Правительственной комиссии Мининформсвязи будет утверждать систему технического регулирования в сфере ИТ. Видимо, представители Мининформсвязи придумали что-то очень оригинальное, если предлагают вместо двух технических регламентов создать систему технического регулирования. Поясню. Для определения предметной области отраслевых систем разработчикам необходимо подготовить полный перечень объектов технического регулирования, обосновав появление новых конкретными фактами причинения вреда, статистикой несчастных случаев или расчетом рисков. По каждому обозначенному объекту следует привести набор требований безопасности, указав уровень их гармонизации с международнопризнанными нормами. Каждое требование должно сопровождаться определенной формой оценки соответствия и указанием на орган, осуществляющий оценку соответствия. Особое внимание специалисты Минпромэнерго России предлагают обратить на смежные области техрегулирования в целях исключения двойного регулирования и дублирования устанавливаемых требований и форм оценки соответствия для одного и того же объекта.

По моим оценкам, члены Правительственной комиссии поддержат предложения Мининформсвязи и Минобороны. Думаю, что в этом году тема технических регламентов в области безопасности ИТ будет закрыта.

2. Переход к любой принципиально новой нормативной базе труден. И чем сильнее различия, тем дольше переходный период. К этому добавилась и административная реформа. Тем не менее стандарт работает и применяется для задания требований по безопасности и оценки ИТ. Более того, некоторые принципы, заложенные в стандарт, начинают работать и в других областях. В качестве примера приведу Постановление Правительства РФ от 14 февраля 2007 г. № 94 "О государственной информационной системе миграционного учета". Пункт 33 Положения, утвержденного этим постановлением, гласит: "Уровни и классы используемых средств криптографической защиты информации и других средств защиты информации определяются согласно модели угроз информационной безопасности и действий нарушителя в информационной системе, утверждаемой ФМС России по согласованию с ФСБ России и ФСТЭК России". Здесь явно определено, что система требований должна вытекать из модели угроз нарушения безопасности четко определенных активов. Таким образом, мы постепенно отходим только от качественной классификации нарушителя.

По поводу документов, разработанных в поддержку стандарта, могу сказать, что в этом году большинство из необходимых документов будет принято. Однако даже отсутствие документов не помешало работе стандарта. Чтобы убедиться в этом, достаточно заглянуть в реестр сертифицированных средств защиты информации, размещенный на официальном сайте ФСТЭК России (www.fstec.ru): в реестре более 20 продуктов, сертифицированных на соответствие этому стандарту, и три профиля защиты.

3. Если версия 3.1 будет принята в качестве стандарта ISO/IEC, мы, видимо, будем планировать работу по его введению в России в качестве национального. Напомню, что цикл обновления или переработки стандартов в ISO составляет пять лет. Предыдущая редакция стандарта была выпущена в 2005 г. Сейчас рабочая группа номер три ТК 27 рассматривает вопрос о принятии новой редакции стандарта на базе версии 3.1 "Общих критериев", однако предложенный вариант текста стандарта ISO имеет много отличий от "Общих критериев", и рабочая группа пока не выработала единого мнения о целесообразности принятия нового стандарта в предлагаемой редакции.

Обсуждение этого вопроса запланировано на 34-е заседание объединенного технического комитета 1 подкомитета 27 Международной организации по стандартизации, которое пройдет в мае 2007 г.

Кстати, в рамках проведения этого заседания организаторами запланировано проведение семинаров (информацию о проведении 34-го заседания объединенного технического комитета 1 подкомитета 27 Международной организации по стандартизации можно получить на сайте Ассоциации "ЕВРААС: http://sc27. evraas. ru/) с членами JTC1/SC27, в которых могут принять участие заинтересованные специалисты. Участники смогут получить ответы на интересующие их вопросы по стандартизации в ISO, что называется, "из первых рук".