Журнал "Information Security/ Информационная безопасность" #2, 2019

За последний год про- изошли изменения в серти- фикации СЗИ и вышли новые нормативные доку- менты. Прежде всего это Положение о системе серти- фикации, Требования по безопасности информации, устанавливающие уровни доверия к средствам техни- ческой защиты информации и средствам обеспечения безопасности информацион- ных технологий средств защиты информации, а также Методика выявле- ния уязвимостей и недекла- рированных возможностей в программном обеспече- нии. В новом Положении уве- личен срок действия серти- фиката до пяти лет, в зави- симости от того, какой срок указан в заявке на проведе- ние сертификации. С 1 авгу- ста 2018 г. все сертификаты выдаются на пять лет. Сред- ства защиты информации могут измениться по оконча- нии срока действия серти- фиката соответствия при условии выполнения требо- ваний по безопасности информации и осуществле- ние технической поддержки данного средства заявите- лем. издания документа. Перечень будет дополнен сносками, поясняющими, что такое эко- логические последствия, пре- кращение или нарушение функ- ционирования значимого объ- екта. Это исключит неоднознач- ные трактовки терминов. Для уточнения понятия субъ- екта планируется введение дополнительных граф. Напри- мер, отдельная графа будет утверждена для указания типа объекта. Приказы 235 и 239 ФСТЭК России пересмотрят, соответственно, и в 235-м и в 239-м приказе уточнят процеду- ры, связанные с вновь созда- ваемыми объектами. В доку- ментах появятся уточнения тре- бований к уровню подготовки и образования специалистов, которые будут работать с доку- ментами и обеспечивать без- опасность значимых объектов. Естественно, меры доверия также должны быть внедрены в данные требования. Методические документы Помимо нормативно-право- вых актов, будет разработан ряд методических документов. Они помогут субъектам реали- зовывать те требования, кото- рые предписывает законода- тельство. Прежде всего это методика категорирования объектов КИИ. Данный документ даст реко- мендации по форме акта кате- горирования, опишет порядок проведения категорирования, формирование работы комис- сии, методы выявления значи- мых объектов, подлежащих категорированию, и порядок взаимодействия с регуляторами в области безопасности значи- мых объектов. Вторым важным документом станет методика оценки пока- зателей в различных областях, таких как экономическая, соци- альная и экологическая значи- мость. Моделирование угроз В области моделирования угроз появятся два типа доку- ментов. Прежде всего это описа- ния типовых моделей угроз без- опасности информации, привя- занных к архитектуре систем, в первую очередь к распределен- ной системе, SKADA-системе. Вторая группа документов будет посвящена описанию базовых моделей угроз, кото- рые характерны для объектов, функционирующих в опреде- ленной сфере деятельности, например здравоохранении и ТЭК. Документы этих групп облегчат выбор рассматривае- мых угроз. Порядок сертификации и требования к средствам защиты информации Положение о системе серти- фикации средств защиты информации устанавливало порядок сертификации СЗИ с 1995 г., но с 1 августа 2018 г. этот документ не применяется при проведении сертификации средств защиты информации в системе сертификации ФСТЭК России. Документ, известный как РД НДВ, с мая 2019 г. при проведении сертификации новых СЗИ не используется. Процедуры сертификации фактически не изменились, но вместе с тем в документе были уточнены процедуры и установ- лены конкретные сроки их осу- ществления. Это сделано для упрощения работы с заявите- лем, лабораторией и органом по сертификации. Теперь про- цесс сертификации можно конт- ролировать, а лаборатории органов по сертификации не будут затягивать сроки испол- нения работы. В документе четко установ- лены критерии, связанные с отказом в принятии решения по проведению сертификации, критерии для принятия решения о приостановлении и прекра- щении сроков действия серти- фикатов соответствия. В Положении также установ- лено, кто может являться заяви- телем на сертификацию. Это прежде всего изготовитель средств защиты информации, который разрабатывает и про- изводит это средство. Данный тип заявителя для ФСТЭК Рос- сии является преимуществен- ным. Однако заявку может подать и организация, которая планирует эксплуатировать средство защиты информации. "Желательно, чтобы перед заказом средства защиты орга- низация запросила у постав- щика этого средства действую- щий сертификат соответствия ФСТЭК России, – подчеркнул начальник управления ФСТЭК России Дмитрий Шевцов, – но зачастую организации задумы- ваются об этом гораздо позже и попадают в безвыходную ситуацию. Тем не менее реше- ние этой проблемы должно быть. Организации, которые эксплуатируют средства, могут выступать в качестве заявителя на проведение сертификации средств защиты информации, а затем будут поддерживать безопасность этого средства: обновлять его, взаимодейство- вать с разработчиком. Правда, зачастую у этого типа заявите- лей таких возможностей нет. Необходимо иметь в виду, что в процессе сертификации дан- ные будут проверяться и в слу- чае невелизации процедур по поддержке и невозможности их реализации положительного решения о выдаче сертифика- тов соответствия не будет. Кроме того, организации, экс- плуатирующие СЗИ, могут подать заявку на сертификацию такого средства защиты только в том случае, если на рынке сертифицированных средств защиты информации отсут- ствуют идентичные СЗИ серий- ного производства. Мы это учли при рассмотрении заявок на получение сертификации". Также в документе прописаны требования к изготовителю средств защиты информации в части наличия у него лицензии ФСТЭК России на деятельность по технической защите инфор- мации, содержащей и остав- ляющей государственную тайну, а также на проведение работ по СЗИ, содержащей сведения, составляющие государственную тайну, если планируется приме- нение средств для защиты дан- ной информации, или на дея- тельность по разработке про- изводств средств защиты кон- фиденциальной информации. Если при подаче заявки на сер- тификацию у разработчика нет лицензии ФСТЭК России на соответствующий вид деятель- ности, решение о проведении сертификации не может быть принято. В новом Положении увеличен срок действия сертификата до пяти лет, в зависимости от того, какой срок указан в заявке на проведение сертификации. С 1 августа 2018 г. все сертифи- каты выдаются на пять лет. Сред- ства защиты информации могут измениться по окончании срока действия сертификата соответ- ствия при условии выполнения требований по безопасности информации и осуществление технической поддержки данного средства заявителем. Срок действия сертификата необходим для заявителя. В рамках этого срока заявитель 6 • В ФОКУСЕ