Журнал "Information Security/ Информационная безопасность" #2, 2019

В связи с созданием тре- бований доверия ФСТЭК России ставит перед собой задачу доработать требова- ния к средствам защиты информации, которые были утверждены в 2011 г. Потребитель, который эксплуатирует СЗИ, должен следить за тем, чтобы при- менение средства соответ- ствовало требованиям к безопасности информации. осуществляет производство и поставку сертифицированных СЗИ. Если срок закончился, заявитель может подать заявку на его продление. Потребитель, который эксплуатирует СЗИ, должен следить за тем, чтобы применение средств соответ- ствовало требованиям к без- опасности информации. Напри- мер, если приказом предусмот- рено применение того или иного класса защищенности СЗИ, то применять средства более низ- кого класса, не соответствую- щего этим требованиям, нельзя. Чтобы потребитель СЗИ мог планировать процедуры по его замене и модернизации, заяви- тели на сертификацию должны будут представить информацию о предполагаемых сроках под- держки. Эта процедура поможет планировать применение сред- ства защиты информации и установить срок эксплуатации. В соответствии с Положением в заявке на сертификацию ука- зывается назначение СЗИ. "К сожалению, мы отклонили огромное количество заявок только потому, что в графе "назначение" были указаны сферы, которые не относятся к компетенции нашей структуры. Это защита коммерческой тайны, программное обеспече- ние игровых автоматов и другие сферы. В этом разделе заявки необходимо привести катего- рию объекта информатизации, класса защищенности госу- дарственных систем, автомати- зированных систем управления производственными технологи- ческими процессами, категории значимости объектов критиче- ской информационной инфра- структуры, уровень защищен- ности персональных данных. Вопросы применения сертифи- цированных решений регламен- тированы законодательством РФ. Если в графе будет указана иная информация, то решение о проведении сертификации не будет принято", – отметил Дмит- рий Шевцов. Положение предусматривает, что заявитель определяет тип и указывает его в заявке на сер- тификацию. То есть он относит свое средство к тому или иному типу средств защиты информа- ции. Во-первых, это позволит сделать правильный вывод о тех требованиях безопасности, которые должны предъявляться к данному СЗИ. Во-вторых, поз- волит заявителю на стадии подачи заявки на сертифика- цию правильно выбрать требо- вания по безопасности инфор- мации. В-третьих, поможет про- анализировать данные, приве- денные в государственном рее- стре сертифицированных средств защиты информации. Требования к новым типам СЗИ Следующее направление – разработка требований к новым типам средств защиты инфор- мации. Это требования к сред- ствам управлению потоками информации, к средствам вир- туализации, а также иным типам средств защиты информации. В июле 2018 г. приказом ФСТЭК России утверждены тре- бования доверия, а в ноябре было принято решение о том, что в течение шести месяцев требования доводятся до испы- тательных лабораторий заяви- телей на осуществление серти- фикации. Сейчас данный доку- мент подготовлен к изданию и его можно заказывать в уста- новленном порядке. Документ имеет пометку "Для служебного пользования", порядок получе- ния приведен на сайте ФСТЭК России. В мае 2019 г. будет опублико- вано информационное сообще- ние о применении требований доверия и методики по выявле- нию уязвимости НДВ. Все заявки во ФСТЭК после 1 мая должны подаваться на соответ- ствие требованиям данного документа. Также с 1 мая 2019 г. заявки с указанием РД НДВ не принимаются. Информационное сообщение поможет опреде- литься с требованиями к тем типам средств, которые утвер- ждены с 2011 г. Это средства антивирусной защиты, системы обнаружения вторжений. С 1 мая 2019 г. должны при- меняться новые требования доверия. Данные требования не устанавливают уровень, кото- рый характеризует безопас- ность применения средств для обработки и защиты информа- ции ограниченного доступа. Кроме того, требования доверия являются обязательными при проведении сертификации средств защиты информации в системе сертификации ФСТЭК России. Документом устанавливается шесть уровней доверия, из кото- рых низкий уровень – шестой, а самый высокий – первый. "Мы не изобретали новые классификации, новые катего- рирования. У нас классы средств защиты информации четко соответствуют уровням доверия – их у нас шесть, как и шесть уровней доверия", – отме- тил Дмитрий Шевцов. Требования доверия содержат три блока информации Во-первых, это требования к разработке и производству средств защиты информации. В них указаны требования по разработке безопасного ПО, которые повышаются в зависи- мости от уровня доверия. Во-вторых, требования к про- ведению испытаний СЗИ, кото- рые включают в себя требова- ния к испытаниям по выявлению уязвимостей и недекларируе- мых возможностей средств защиты информации. В этом разделе приведено соответ- ствие требований методическим документам – методике выявле- ния уязвимостей и недеклари- руемых возможностей. В-третьих, это требования к поддержке безопасности средств. От шестого уровня доверия к первому требования повышаются. Например, если на шестом требуется достаточ- ное информирование обеспече- ния целостности, то на более высоких уровнях уже необходи- мо, чтобы данное обновление осуществлялось исключительно с ресурсов заявителя на клас- сификацию. Кроме того, уже на четвертом уровне требуется, чтобы заявитель на осуществ- ление сертификации имел информацию о том, кто экс- плуатирует средства защиты, и мог его своевременно инфор- мировать о вышедших обнов- лениях и появлениях уязвимости средств защиты информации. "Требования доверия нераз- рывно связаны с новым мето- дическим документом, который 11 февраля был утвержден ФСТЭК России. Естественно, методика применяется при про- ведении сертификации СЗИ в системе сертификации на соот- ветствие требованиям доверия. Кроме того, любой документ позволяет пользоваться им и для иных целей, например для проведения приемки, испытаний средств защиты информации. Вы можете брать положения этого документа и использовать их для того, чтобы обеспечить безопасность коммерческой тайны или провести испытания тех средств, которые у вас для этого применяются. Но прежде 8 • В ФОКУСЕ