Журнал "Information Security/ Информационная безопасность" #2, 2020
ствующих методик сертифика- ционных испытаний, но и имею- щего опыт работы с ними, вынужден отметить, что у этих методик практически нет шанса получить свидетельства о метрологической аттестации. Хотя бы потому, что ни один проект таких методик даже по структуре не совпадает с вышеприведенными требова- ниями. В 2011 г. автор участвовал в разработке и официальной метрологической аттестации классической МВИ "Методика измерений затухания электро- магнитного поля на специ- альных объектах". Автор в то время написал некий текст, как полагал, вполне адекватный, поскольку составлялся он на базе уже действовавших мето- дик, с учетом вышеприведен- ного стандарта, с учетом "МИ 1967-89 ГСИ. Выбор мето- дов и средств измерений при разработке методик выполне- ния измерений. Общие поло- жения" и с учетом ряда иных стандартов. И тем не менее специализи- рованный институт Минобороны России полгода тщательно отрабатывал каждую формули- ровку, пока документ не был реально доведен до ума. Школа была непростая, но крайне эффективная: она дала бесцен- ное понимание того, как именно должен видеть метролог (а не просто радиоинженер) процеду- ру измерения, на чем, как про- цедурно, так и по сути он обязан сосредоточить свое внимание при разработке МВИ. Именно инженер-практик, ТЗИ-шник, СИ-шник понимает, что именно нужно измерять и, главное, для чего. А метролог должен точно и четко описать, как именно это нужно выпол- нять. И если оба аспекта данной задачи может в достаточной степени сформулировать один и тот же человек, результат будет достигнут с минимальны- ми затратами любых ресурсов и он неизбежно будет близок к оптимуму. Более того, после окончания работ на реальном объекте автору совместно с коллегами из Минобороны России при- шлось еще по этой методике и реально работать. Не буду утверждать, что применение документа на практике прошло "без сучка и задоринки", все же это был первый наш опыт. Шероховатости проявились, но тем не менее методика показа- ла себя вполне рабочей и испол- нимой. Этот пример показывает, что для того, чтобы разраба- тывать и, главное, реализо- вывать правильные методики измерений, имеются все воз- можности. l 46 • Сертификация и измерения Сложным является состояние системы сертификации РОСС RU.0001.01БИ00, созданной и поддерживаемой ФСТЭК. Отсутствие требований по обеспечению единства измерений в Положении о системе сертификации средств защиты информации (приказ ФСТЭК № 55 от 03.04.2018 г.), Положении об аккредитации… от 25.11.1994 г.и др. приводят к тому, что под- готовка специалистов, методическое и иное обеспечение испытательных лабораторий не смогут обеспечить полноту и точность сертификационных испытаний. Единые, прошедшие процедуру метрологической аттестации (метрологической экспертизы) методики сертификационных испытаний, как и все предусмотренные законом функции контроля работы ИЛ, отсутствуют. В результате этого возникает риск, что не все образцы сертифицированных средств защиты смогут обеспечить необходимый уровень защищенности информации. Это может привести в конечном итоге к снижению защищенности информационной инфраструктуры страны. Александр Цым, начальник научной лаборатории ФГУП ЦНИИС, д.т.н., с.н.с., профессор кафедры “Перспективные технологии и услуги" МТУСИ, заслуженный работник связи Российской Федерации Комментарий эксперта В советский период Гостехкомиссия СССР всячески тормозила утверждение единых для всей страны методик контроля защищенности, а их соответствие метрологическим нормам и требованиям даже не рассматривалось. Ситуация с тех пор не ухудшилась, но и не сильно улучшилась. Несомненно, что такая область знаний, как ТЗИ, обязательно должна быть в фокусе вни- мания 102-ФЗ. Поднятая тема тем более актуальна, что развитие техники вообще и вычислительной техники (в области защиты которой НИИ "Квант" многие годы выполнял роль головного предприятия страны) в частности также требуют глубокого пересмотра руководящих доку- ментов, начиная с норм защищенности, методик контроля и т.д. Независимая (метрологическая) экспертиза методик, несомненно, повысит их качество и позволит избежать многих сегодняшних к ним претензий. Александр Прелов, в прошлом главный специалист специального отдела НИИ “Квант"; преподаватель (с 1994 г.) факультета информационной безопасности МИФИ Комментарий эксперта Ваше мнение и вопросы присылайте по адресу is@groteck.ru
Made with FlippingBook
RkJQdWJsaXNoZXIy Mzk4NzYw