Программа «Цифровая экономика» предлагает назначить единый госорган, ответственный за требования к ИБ

Как отмечается в плане мероприятий программы «Цифровая экономика» по разделу «Информационная безопасность», современные средства защиты информации носят комплексный характер и попадают под действие сразу обоих систем сертификации: ФСБ и ФСТЭК. Частично требования этих систем сертификации пересекаются: например, в части проверок на отсутствие незадокументированных возможностей, общих требований безопасности аппаратных платформ и операционных систем и пр.

Проект плана мероприятий разработанной по распоряжению Президента России Владимира Путина программы «Цифровая экономика» по разделу «Информационная безопасность» предлагает назначить единый государственный орган, ответственный за гармонизацию требований к информационной безопасности.

Гармонизация требований государственных и добровольных систем сертификации средств информационной безопасности и раскрытие этих требований предусмотрены проектом плана мероприятий раздела «Информационная безопасность». Этот раздел программы «Цифровая экономика» разработан Сбербанком.

В настоящее время вопросами лицензирования и сертификации в сфере информационной безопасности занимаются два ведомства: Федеральная служба технического и экспортного контроля (ФСТЭК) и Федеральная служба безопасности (ФСБ) в лице Центра по лицензированию, сертификации и защите и государственной тайны.

ФСТЭК занимается регулированием средств защиты информации (СЗИ), использующих некриптографические методы, а также противодействию иностранным техническим разведкам и экспортным контролям.

ФСБ в лице Центра по лицензированию и сертификации регулирует разработку и распространение средств криптографической информации (СкЗИ), а также работы по защите информации, содержащей гостайну, и оборот специальных технических средств для негласного получения информации.

«В настоящее время приходится дважды проводить по сути одни и те же проверки в разных системах сертификации, что приводит к увеличению сроков и стоимости сертификации продуктов в целом, что сказывается на динамике вывода новой продукции на рынок, - сетуют авторы документа. - В среднем такая комплексная сертификация занимает от одного до двух лет».

В качестве «хорошего примера» по гармонизации требований в области информационной безопасности авторы документа приводят американский Национальный институт стандартов и технологий (NIST), отвечающий за выпуск всех требований в области ИБ в США. Европейские же стандарты в области ИБ зачастую ссылаются на документы NIST или попросту их копируют.

Определение единого органа, ответственного за гармонизацию систем сертификации в сфере ИБ, вместе с гармонизаций самих систем сертификации, исключением дублирования и открытие установленных требований должны уменьшить для вендоров время и затраты на сертификацию.

Впрочем, опрошенные эксперты и участники рынка информационной безопасности сомневаются в реалистично реализации данной инициативы. Для определения единого госоргана в области требований к информационной безопасности кому-то - или ФСБ, или ФСТЭК - придется поделиться полномочиями, а никто из них этого не захочет делать.

Топ-менеджер одной из ИБ-компаний вообще считает существующую систему регулирования в данной сфере логичной. ФСТЭК занимается лицензированием деятельности по Защиты информации и сертификацией СЗИ, а если организации требуется криптография по ГОСТ или высокие классы защиты, тогда ей необходим сертификат ФСБ.

Другое предлагаемое мероприятие в данной сфере - это государственная поддержка технических комитетов по направлению информационной безопасности. Сейчас деятельность таких комитетов осуществляется почти на общественных началах за счет средств компаний-экспертов.

«Это нормальная практика для развитого зарубежного рынка информационной безопасности, где масштаб компаний-экспертов и их финансовые возможности не сравнимы ни с одной российской компанией, - указывают авторы документа. - Для российских компаний, участников рынка ИБ, такая деятельность на постоянной основе оказывается серьезной финансовой нагрузкой. Участие в международных комитетах не является системным, не позволяет эффективно отстаивать интересы России на уровне государства».

Кроме того, предлагается создание системы добровольного декларирования уровня безопасности продуктов и услуг ИТК - Декларации информационной безопасности. Для этого необходимо создать положение о саморегулируемых организациях (СРО), действующих в сфере производства товаров и услуг в области информационной безопасности. К 2020 г. должно появиться три соответствующих СРО.

В рамках данного мероприятия предлагается разработать и внедрить дифференцируемый подход к требованиям к криптосредствам и другим СЗИ. Средства защиты информации для негосударственных систем, в том числе для интернета вещей, по своим требованиям должны отличаться от требованиям к средствам защиты информации для государственных информационных систем и и информационных систем персональных данных.

Также предлагается вырабатывать набор требований регуляторов к СКЗИ и СЗИ для негосударственных нужд и интернета вещей на основе методологии Common Criteria for Information Technology Security Evaluation - российского и международного стандарта по компьютерной безопасности. Это позволит распространить гармонизированный набор требований к средствам защиты информации на более широкий круг стран и больший спектр товаров и услуг.

Источник: cnews

.