И в заключение еще пара документов, которые так и не увидели свет :-( Первый должен был дополнить набор документов по "Общим критериям", который в середине 2000-х годов был принят в России, но так и не получил адекватного распространения. Сейчас ФСТЭК к нему вернулась, выпуская новые РД с требованиями к средствам защиты в виде адаптированных "Общих критериев".
Второй документ более интересен. Он определяет основные направления совершенствования нормативно-методической базы и организационных основ проведения оценки соответствия автоматизированных систем требованиям безопасности.
Иными словами, ФСТЭК в 2004-м году хотела уйти от устаревших подходов к аттестации АС, которые в документе и были перечислены:
Второй документ более интересен. Он определяет основные направления совершенствования нормативно-методической базы и организационных основ проведения оценки соответствия автоматизированных систем требованиям безопасности.
Иными словами, ФСТЭК в 2004-м году хотела уйти от устаревших подходов к аттестации АС, которые в документе и были перечислены:
- статичность и неконкретность требований, слабый учет особенностей АС и имеющихся угроз, непроработанность процедурных и методических аспектов оценки соответствия АС;
- преобладание технических мер по отношению к организационным и технологическим;
- дисбаланс между нормативной базой сертификации изделий ИТ и нормативной базой оценки соответствия АС.
А дальше на 25-ти страницах описывалось, как можно эти недостатки устранить. Но как и с предыдущими документами ФСТЭК, описанными мной на этой неделе, не сложилось. Строить догадки, почему 10 лет назад эти документы так и не были приняты, не буду :-) Резюмировать тоже. Остается только надеяться, что сегодня ФСТЭК, уже сильно продвинувшаяся вперед в части нормативно-методического обеспечения деятельности по защите информации, сможет учесть в своей работе разработанные в ее же недрах проекты.