Вопросы сертификации СЗИ на ТБ-форуме

Наибольше внимание на конференции «Актуальные вопросы защиты информации» (8 февраля, г. Москва) представители ФСТЭК традиционно уделили вопросам сертификации СЗИ. Презентация начальника 2 управления ФСТЭК Д.Н. Шевцова так и называлась: «Проблемные вопросы сертификации СЗИ». Наибольшим вниманием со стороны регулятора в данной области пользуются следующие направления:

            -   Разработка и внедрение требований к СЗИ;
-   Качество поддержки сертифицированных СЗИ;
 -  Прекращение поддержки сертифицированных СЗИ;
-   Выявление и устранение уязвимостей в СЗИ заявителями на сертификацию, испытательными лабораториями и операторами ИС.

Дмитрий Николаевич напомнил, какие документы, определяющие требования к СЗИ были утверждены начиная с 2011 г. В 2017 году планируется утвердить требования:

Дальнейшие планы разработки требований озвучены не были, чтобы не подвергаться критике за то, что иногда заявленные сроки выхода документов не соблюдаются.

Поскольку после ввода в действие новых требований к МЭ возникло много вопросов, ФСТЭК готовит по этому поводу специальное инф. Сообщение, в котором будут разъяснены следующие вопросы:

Разумеется, находящиеся сейчас в эксплуатации МЭ, сертифицированные по требованиям 1997 года можно использовать до окончания срока действия сертификата. Продлять такие сертификаты ФСТЭК будет в индивидуальном порядке при условии отсутствия в них актуальных уязвимостей.

Так же в презентации показано, какие МЭ уже получили сертификаты на соответствие новым требованиям:

 В настоящее время процедуру сертификации проходит еще ряд продуктов.

Что больше всего беспокоит ФСТЭК в области сертификации и эксплуатации СЗИ? Этому посвящен следующий слайд:

Еще по прошлым конференциям мы знаем, что регулятор занимает жесткую позицию в отношении поддержки производителями сертифицированных продуктов. Об обязанности устранения уязвимостей в них писалось уже много. Представитель ФСТЭК отметил, что будет оцениваться даже качество техподдержки производителя СЗИ. Озвучена рекомендация информировать ФСТЭК о случаях, когда техподдержка месяцами не дает ответы на вопросы, которые задают эксплуатанты СЗИ. Т.о., с техподдержкой СЗИ ФСТЭК так же намерена навести порядок.

Д.Н. Шевцов перечислил основные недостатки разработки и эксплуатации СЗИ:

 Как видим, и разработчики СЗИ и операторы ИС должны регламентировать порядок устранения уязвимостей  в своих организационно-распорядительных документах. Операторы ИС, кроме того, должны регламентировать и процедуры обновления СЗИ. Т.е. «по наитию», в рабочем порядке, эти вопросы решаться не должны: должна быть определена внутренняя процедура.

На слайде 11 показана последовательность действий участников системы сертификации по устранению уязвимостей в СЗИ:

Напомнил докладчик и об утверждении нового ГОСТ по разработке безопасного ПО (о нем я, кстати, уже писал):

 Этим стандартом должны руководствоваться разработчики, желающие пройти сертификацию во ФСТЭК России.

Кроме того, ФСТЭК  подготовила проект методического документа по вопросам анализа уязвимостей и НДВ в ПО СЗИ. В нем будут определены следующие вопросы:

 

Если я не ошибаюсь, такой слайд мы уже видели на прошлой конференции, однако на сегодняшний день документ практически готов к утверждению.

Конечно, следует сказать спасибо ФСТЭК за готовность к диалогу и стремление разъяснить представителям отрасли свою позицию. Мне кажется, только такой подход и дает право называть любой ФОИВ не надзирателем, а именно регулятором конкретной области.