Продолжаю вспоминать конференцию ФСТЭК. На этот раз поговорим о выступлении Дмитрий Шевцова, который представил нововведения по части сертификации средств защиты информации. Начну с критики - любовь наших госорганов к статистике иногда затмевает смысл ее использования. Вот возьмем к примеру слайд с количеством сертифицированных средств защиты. Что он означает? Количество наименований? Количество типов? Количество копий? Количество сертификатов? А фиг знает. Аналогичный вопрос и по количеству произведенных средств защиты. Что значит произведенных? Как вообще можно сравнивать, например, число произведенных МСЭ и СЗИ от НСД?
Ну да ладно. ФСТЭК отметил в этом году перелом - число сертифицированных средств защиты отечественного производства впервые превысило число импортных средств защиты. В условиях текущей геополитической ситуации это логично; хотя разрыв мог бы расти быстрее. Особенно в условиях взятого курса на импортозамещение.
ФСТЭК видит в качестве основных направлений совершенствования системы сертификации средств защиты три темы:
Большинство потребителей интересует в первую очередь первое направление. Оно и понятно. Наибольшее число потребителей сталкивается именно с ними и их интересует, что будет делать регулятор в ближайшее время. А будет он расширять число типов средств защиты, под которые будут "подложены" свои требования. ФСТЭК в данном случае последовательно выполняет обещанное при выпуске 17-го приказа - под каждое требование, которое может быть закрыто средством защиты, разрабатывает свой РД с требованиями к средствам защиты.
Помимо отображенных на рисунке типов средств защиты информации ФСТЭК также планирует разработать требования для:
Еще одним направлением, которое ФСТЭК взяла на флаг, совпадает с тем, чем сейчас занимается Банк России, - повышение качества ПО. Специально для этого ФСТЭК не только выпускает ГОСТы по управлению уязвимостями (разработаны и должны быть скоро опубликованы) и ГОСТ по разработке защищенного ПО, но и анонсирует базу уязвимостей, о которой я еще напишу.
Про новые правила аккредитации испытательных лабораторий и органов по сертификации я писать не буду, а вот анонсированный на конференции ФСТЭК новый порядок и организация проведения сертификации продукции, используемой в целях защиты информации конфиденциального характера, у меня вызвал интерес. Разрабатывается он во исполнение пресловутого и уже порядком подзабытого ПП-330, с которого решили сдуть пыль. Деталей про этот новый порядок озвучено не было - видимо документ только находится на начальной стадии своей разработки.
Ну и в заключение Дмитрий Шевцов анонсировал порядок продления сертификатов ФСТЭК на средства защиты информации, у которых подходит срок окончания сертификатов. Сам порядок уже выложен на сайте регулятора.
Ну да ладно. ФСТЭК отметил в этом году перелом - число сертифицированных средств защиты отечественного производства впервые превысило число импортных средств защиты. В условиях текущей геополитической ситуации это логично; хотя разрыв мог бы расти быстрее. Особенно в условиях взятого курса на импортозамещение.
ФСТЭК видит в качестве основных направлений совершенствования системы сертификации средств защиты три темы:
- разработка и совершенствование требований к средствами защиты информации и методических подходов к их сертификации
- совершенствование порядка аккредитации органов по сертификации и испытаттельных лабораторий
- совершенствование порядка сертификации средств защиты информации.
Большинство потребителей интересует в первую очередь первое направление. Оно и понятно. Наибольшее число потребителей сталкивается именно с ними и их интересует, что будет делать регулятор в ближайшее время. А будет он расширять число типов средств защиты, под которые будут "подложены" свои требования. ФСТЭК в данном случае последовательно выполняет обещанное при выпуске 17-го приказа - под каждое требование, которое может быть закрыто средством защиты, разрабатывает свой РД с требованиями к средствам защиты.
Помимо отображенных на рисунке типов средств защиты информации ФСТЭК также планирует разработать требования для:
- средств защиты виртуализации
- BIOS (у ФСБ есть аналогичный документ)
- операционных систем (в свое время проекты таких профилей уже были сделаны)
- СУБД.
По части защиты от утечек по техническим каналам у ФСТЭК тоже большие планы. Планируется утвердить РД для:
- Средств активной защиты информации от утечки по каналам ПЭМИН (утверждены, направлены в Минюст на регистрацию).
- Средств виброакустической защиты информации (утверждены, направлены в Минюст на регистрацию).
- ПЭВМ, защищенным от утечки информации по каналам ПЭМИН (2015 год).
- Средств пассивной защиты информации от утечки по каналам ПЭМИН (2016 год).
- Средств защиты информации от утечки за счет микрофонного эффекта (2016 год).
Те, кто занимается сертификацией, знает, что испытательные лаборатории иногда, мягко говоря, спустя рукава подходят к процессу. Поэтому ФСТЭК уже пару лет назад как запланировал выпуск типовых программ и методик сертификационных испытаний средств защиты информации. В нынешнем году это должно произойти. Кстати, американцы, проводящие сертификацию по "Общим критериям" уже пару лет также идут в этом направлении.
Еще одним направлением, которое ФСТЭК взяла на флаг, совпадает с тем, чем сейчас занимается Банк России, - повышение качества ПО. Специально для этого ФСТЭК не только выпускает ГОСТы по управлению уязвимостями (разработаны и должны быть скоро опубликованы) и ГОСТ по разработке защищенного ПО, но и анонсирует базу уязвимостей, о которой я еще напишу.
Про новые правила аккредитации испытательных лабораторий и органов по сертификации я писать не буду, а вот анонсированный на конференции ФСТЭК новый порядок и организация проведения сертификации продукции, используемой в целях защиты информации конфиденциального характера, у меня вызвал интерес. Разрабатывается он во исполнение пресловутого и уже порядком подзабытого ПП-330, с которого решили сдуть пыль. Деталей про этот новый порядок озвучено не было - видимо документ только находится на начальной стадии своей разработки.
Ну и в заключение Дмитрий Шевцов анонсировал порядок продления сертификатов ФСТЭК на средства защиты информации, у которых подходит срок окончания сертификатов. Сам порядок уже выложен на сайте регулятора.
