На главную страницу
О журнале План выхода Подписка Интернет-Магазин Реклама Контакты и реквизиты English На главную страницу Карта сайта Поиск по сайту Обратная связь

перейти к Содержанию номера

№ 4 июль-август 2006 г.
Тема номера:
КОРПОРАТИВНЫЕ ПРОГРАММЫ ОБУЧЕНИЯ ВОПРОСАМ БЕЗОПАСНОСТИ


Материалы членов Ассоциации «ЕВРААС»
ГАРМОНИЗАЦИЯ НОРМАТИВНЫХ БАЗ ПО ИБ: МИФЫ И РЕАЛЬНОСТЬ

А. П. Трубачев, заместитель председателя по научной работе ООО «Центр безопасности информации»
И. А. Калайда, вице-президент Ассоциации «ЕВРААС»


Предыдущая статьяСледующая статья

Состояние сферы обеспечения безопасности информационных технологий (ИТ) определяется рядом факторов, основными из которых являются:

  • развитие нормативной базы;
  • развитие рынка продукции и услуг;
  • эффективность регулирующих механизмов;
  • экономические возможности.

Каждый из них является значимым, однако общий эффект достигается только при оптимальном сочетании всей совокупности указанных факторов.

В настоящее время в России нормативная база по безопасности ИТ формируется рядом федеральных органов, регулирующих эту сферу деятельности: ФСТЭК, ФСБ, МО, СВР и МВД. Обилие нормативных документов, их несогласованность, зачастую неоправданная закрытость в значительной мере затрудняет их эффективное использование и приводит к излишним финансовым затратам на обеспечение безопасности ИТ. Те же недостатки свойственны и регулирующим механизмам, определяющим порядок задания требований, сертификации продуктов ИТ, аттестации АС и объектов информатизации, надзора за обеспечением безопасности ИТ.

Рынок средств и услуг по безопасности ИТ характеризуется следующими особенностями.

На рынке присутствуют как оте-чественные, так и зарубежные компании, причем количество последних непрерывно расширяется, что свидетельствует о привлекательности этого рынка. Продукция отечественных производителей доминирует на рынке СЗИ, предназначенных для защиты государственной тайны и другой информации ограниченного доступа, а также для использования в государственных структурах, где обязательным является использование сертифицированных продуктов и предоставление исходных текстов программ. Продукция зарубежных компаний широко применяется там, где не требуется обязательного наличия сертификата на соответствие требованиям по защите информации. В последние годы зарубежные игроки стали активно проникать на рынок СЗИ ограниченного доступа, выполняя упомянутые выше требования российского законодательства.

Определенная сдержанность зарубежных производителей в предо-ставлении своей продукции на рынок СЗИ ограниченного доступа связана не только с необходимостью предо-ставления исходных текстов программ, но и с необходимостью нести дополнительные затраты на сертификацию своей продукции в России, даже при наличии сертификатов на соответствие международным стандартам безопасности ИТ.

Учитывая указанные обстоятельства, ФСТЭК (Гостехкомиссией) России в начале 2000 годов было принято направление развития нормативной базы безопасности ИТ, ориентированные на ее соответствие международным стандартам, которое было одобрено Межведомственной комиссией Совета безопасности РФ.

В рамках его реализации ФСТЭК (Гостехкомиссия) России подготовила проект национального стандарта ГОСТ Р ИСО/МЭК 15402-2002 «Критерии оценки безопасности информационных технологий», аутентичного соответствующему международному стандарту (Общим критериям). Был также принят Руководящий документ Гостехкомиссии России, аналогичный указанному стандарту (РД ОК). В поддержку РД была разработана серия проектов нормативных и методических документов, обеспечивающая условия для его эффективного применения.

Проведенная за последующие годы апробация РД ОК показала его высокую эффективность при задании требований и сертификации продуктов ИТ. За 4 года на соответствие этому РД было сертифицировано 24 продукта ИТ отечественных и зарубежных производителей, и этот процесс продолжает развиваться.

Принятие ГОСТ Р ИСО/МЭК 15408 стимулировало развитие рынка продуктов и услуг для защиты информации ограниченного доступа. Однако, несмотря на значительный прогресс, темпы насыщения рынка сертифицированными СЗИ еще не соответствуют потребностям. Это обусловлено тем, что два других рассмотренных выше фактора (эффективность регулирующих механизмов и экономические аспекты) не претерпели изменений, адекватных изменениям в нормативной базе.

Какие же шаги необходимо предпринять, чтобы достичь требуемого эффекта от внедрения современной нормативной базы для обеспечения безопасности ИТ?

Прежде всего, ввести в действие разработанные нормативные документы, которые призваны обеспечить эффективное применение новой нормативной базы при создании, сертификации продуктов ИТ и аттестации АС.

Далее, необходимо наконец-то принять решение о присоединении России к международному соглашению о признании сертификатов соответствия Общим критериям (CCRA), к которому в настоящее время присоединилось уже 22 государства. Участники данного Соглашения преследуют следующие общие цели:

  • обеспечить единые высокие стандарты оценки продуктов ИТ, чтобы эти оценки рассматривались как важный элемент доверия к данным продуктам;
  • повысить доступность прошедших оценку, предпочтительных с точки зрения безопасности продуктов ИТ;
  • избежать затрат, связанных с дублированием оценок продуктов ИТ;
  • постоянно повышать результативность и экономическую эффективность процессов оценки и сертификации продуктов ИТ.

Как легко заметить, цели соглашения CCRA в полной мере соответствуют тем потребностям, испытываемым в России для обеспечения безопасности ИТ. Самое же главное, присоединение к Соглашению даст возможность России активно влиять на дальнейшее развитие международной нормативной базы, реализуя при этом свои национальные интересы.

Между тем, мы продолжаем слышать заявления о том, что вступление в CCRA не отвечает национальным интересам России и подорвет ее информационную безопасность. Дескать, наш рынок заполонят продукты зарубежных производителей, в которых будут внедрены программные закладки, а отечественные производители не смогут конкурировать с зарубежными и уйдут с рынка. Лозунги известные, мы их уже слышали, когда принималось решение о внедрении Общих критериев. Слава Богу, Совету безопасности хватило компетентности, чтобы одобрить внедрение Общих критериев, и ничего, кроме пользы, это не принесло.

Что же на самом деле влечет за собой присоединение к CCRA?

Напомним, первой целью CCRA является «обеспечить единые высокие стандарты оценки продуктов ИТ, чтобы эти оценки рассматривались как важный элемент доверия к данным продуктам». Именно повысить доверие, а не внедрить закладки. И это – не пустые слова: чтобы иметь возможность выдавать международные сертификаты, органы сертификации и испытательные лаборатории должны удовлетворять очень жестким требованиям. Кстати, аналогичные отечественные структуры в настоящий момент таким требованиям не удовлетворяют, но мы почему-то их сертификатам вполне доверяем.

Очень важно понимать, что участие в CCRA не предполагает обязательности признания любого сертификата, полученного по Общим критериям, о чем говорится в ст. 3 Соглашения. Признавая сертификат, мы можем при необходимости потребовать отдельного исследования программного обеспечения на предмет отсутствия недекларированных возможностей.

Ну а как же быть с вредом для отечественных производителей СЗИ, который несет в себе возможное присоединение? А кому стало плохо от того, что на нашем рынке появилась продукция импортных автопроизводителей? Мы ездим на хороших автомобилях, с рынка ушли те, кто делал совершенно не годную продукцию, а остальные подтянулись и стали конкурировать с мировыми лидерами в своих рыночных сегментах. В области СЗИ у нас есть очень даже неплохие продукты для обеспечения безопасности ИТ, и присоединение к CCRA, наоборот, даст их производителям возможность выйти на зарубежные рынки без дополнительных затрат на сертификацию, так как осуществив ее один раз в России (что выполняется ими и так), они получат международный сертификат.

< ... >


 

Полную версию статьи смотрите на страницах журнала «Защита информации. Инсайд»


Обращайтесь!!!
e-mail:    magazine@inside-zi.ru
тел.:        +7 (921) 958-25-50, +7 (911) 921-68-24


Предыдущая статья    СОДЕРЖАНИЕ НОМЕРА    Следующая статья

 

| Начало | О журнале | План выхода | Подписка | Интернет-магазин | Реклама | Координаты |

Copyright © 2004-2013 «Защита информации. Инсайд». Все права защищены
webmaster@inside-zi.ru

Rambler's Top100