пятница, 14 февраля 2014 г.

IV конференция. Вопросы сертификации СЗИ.

В продолжение вчерашнего рассказа о IV конференции «Актуальные вопросы защиты информации» нужно отметить выступление начальника управления ФСТЭК России Д. Шевцова, поделившегося планами утверждения документов в области сертификации СЗИ. Чего следует ждать в этом направлении? Прежде всего, утверждения нормативного правового акта «Организация и порядок проведения сертификации продукции, используемой в целях защиты сведений, относимых к охраняемой в соответствии с законодательством Российской Федерации информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну». Предполагается регламентировать процедуру сертификации СЗИ в части установления сроков проведения работ по сертификации. Кроме того, будут прописаны требования по сопровождению разработчиком (заявителем) своих СЗИ и определен порядок инспекционного контроля СЗИ. Как следует из названия документа, он не коснется сертификации СЗИ, применяемых для защиты ГТ. Во всяком случае, пока не коснется. Когда будет наработана новая практика, возможно, ее распространят и на ГТ.

Проект другого нормативного акта: «Рекомендации по обновлению сертифицированных средств защиты информации» уже размещен на сайте регулятора и находится в стадии обсуждения (причем, всего до 20 февраля, так что утверждение не за горами). Суть документа – дифференциация требований к порядку обновления СЗИ в зависимости степени влияния обновления на безопасность СЗИ, а именно:

1 тип обновлений – обновление баз данных СЗИ (сигнатур, решающих правил  и т.п.);
2 тип – устранение вновь выявленных уязвимостей СЗИ;
3 тип – обновление, связанное с добавлением функций безопасности СЗИ, расширение числа поддерживаемых платформ и т.п.;
4 тип – обновление, не связанное с безопасностью СЗИ.

Установлены конкретные сроки, отводимые испытательной лаборатории для работ по сертификации обновлений, что делает документ аналогом административного регламента (и это хорошо!). Более подробно можно почитать в проекте документа, поскольку в рамках блоговой записи много не расскажешь. Да и читателей пока нет : )

В 2014-2015 годах продолжится разработка новых требований к различным типам СЗИ, причем введенная в 2011г «шестиклассная» система профилей защиты сохранится. Как и в уже утвержденных профилях защиты СОВ, САВЗ и средств доверенной загрузки, будут делиться на 6 классов следующие СЗИ:
В 2014 г
Средства контроля съемных носителей информации.
Средства межсетевого экранирования.
Средства управления потоками информации (коммутационное оборудование с встроенными механизмами защиты, средства однонаправленной передачи информации).
Средства аутентификации.
Средства контроля и анализа защищенности.
DLP-системы.

В 2015г
Средства разграничения доступа.
Средства контроля целостности.
Средства очистки памяти.
Средства ограничения программной среды.
Средства защиты среды виртуализации.

Т.о., постепенно уйдут в историю действующие ныне руководящие документы по защите информации от НСД, прообразом которых послужила американская «Оранжевая книга» 1983 года выпуска. Впрочем, профили защиты –  тоже не отечественное изобретение и строятся в соответствии с международными стандартами 15408 (они же «Общие критерии»). Споры о достоинствах и недостатках такого подхода к формированию требований к СЗИ утихнут не скоро. Однако генеральная линия ФСТЭК в области сертификации обозначена достаточно ясно: для каждого типа СЗИ должен быть отдельный пакет методических документов, состоящих из профилей защиты, разделенных на 6 классов. Высшие классы СЗИ (1,2,3) будут применяться для защиты сведений, составляющих ГТ. Остальные (4,5,6) – для защиты того, что когда-то (до 2011г) называлось «конфиденциальная информация».

Комментариев нет:

Отправить комментарий