Журнал "Information Security/ Информационная безопасность" #5, 2023

• 47 50 лет ФСТЭК РоССии www.itsec.ru – Какие нормативные требова- ния вам показались наиболее интересными для реализации в вашей практической деятельно- сти? – Среди уже достаточно объемной нормативной базы ФСТЭК России я бы выделил требования по обеспечению безопасности критической информа- ционной инфраструктуры, так как данный документ чрезвычайно актуален в настоящее время. Следует отметить также требования по безопасности информации, устанавливающие уровни доверия к средствам технической защи- ты информации и средствам обеспече- ния безопасности (Требования доверия) и Методику оценки угроз безопасности информации. Требования доверия являются документом, положения кото- рого обязательны для реализации во всех средствах обеспечения информа- ционной безопасности, соответствие которому дает гарантии отсутствия недо- кументированных возможностей (в том числе уязвимостей), потенциально спо- собных приводить к нарушениям в рабо- те устройств. Методика оценки угроз безопасности информации имеет очень большое практическое значение, которое трудно переоценить. Ведь практически любая организация, которая задумалась над проблемой своей информационной безопасности, получила доступный инструмент, который позволяет сфор- мировать перечень актуальных для нее угроз и построить соответствующую систему защиты. – Какие требования стоит осо- временить или даже отменить, с учетом изменившейся реально- сти в вашей области? – Следует отметить, что ФСТЭК Рос- сии достаточно оперативно реагирует на изменения области безопасности информации. Например, в требования по обеспечению безопасности критиче- ской информационной инфраструктуры, утвержденные в декабре 2017 г., уже трижды вносились изменения: в 2018, 2019 и 2020 гг. А доработка Методики оценки угроз, принятой в начале 2021 г., запланирована на 2024 г. – Для каких изменений в нор- мативные требования настало время или настанет в ближайшие 2–3 года в вашей области? – Нужно понимать, что, вводя в дей- ствие новый нормативный документ, ФСТЭК России в первую очередь ста- вит задачу перед собой, так как имен- но ФСТЭК России сама должна выпол- нять большой объем работ по внедре- нию документа, его популяризации (формирования понимания, зачем он нужен и как с ним работать) и контро- лю его исполнения. При этом зачастую ФСТЭК России это делает за счет маневра уже имеющимися у нее ресур- сами. Поэтому и с учетом сказанного выше я не берусь предлагать какой- то развернутый план работы на бли- жайшую и среднесрочную перспекти- вы для Службы, но мы бы хотели обратить внимание на направление обеспечения и обоснования доверия к аппаратной базе или программно- аппаратным комплексам в целом по типу Требований доверия, о которых говорилось выше. Дмитрий Сатанин, руководитель направления по работе с госорганами АО “Лаборатория Касперского” За последние 20 лет ФСТЭК России прошла большой путь развития, существенно нарастив вес и авторитет в отрасли защиты информации. Если в начале 2000-х название “ Гостехкомиссия" знал узкий круг профессионалов (большей частью из госорганов), в круг обязанностей которых входили вопросы обеспечения безопасности информации ограниченного распространения и организации электронного документооборота, то сейчас с нормативной базой ФСТЭК России работает практически любая организация, как минимум по вопросам защиты персональных данных. Стоит отметить и открытость ФСТЭК России: уже более десяти лет Служба практикует открытое обсуждение проектов нормативных документов с представителями отрасли. Искренне желаю ФСТЭК России дальнейшей плодотворной работы на очень непростой ниве защиты информации и во благо нашей Родины, а сотрудникам Службы – здоровья и простого человеческого счастья! – Какие нормативные требования вам показались наиболее инте- ресными для реализации в вашей практической деятельности? – Таковыми, по моему мнению, являются Требования по безопасности информации, устанавливающие уровни доверия к сред- ствам технической защиты информации и средствам обеспечения безопасности информационных технологий (утв. прика- зом ФСТЭК России от 2 июня 2020 г. №76) и ГОСТ 56939–2016 "Защита инфор- мации. Разработка безопасного программ- ного обеспечения. Общие требования", поскольку оба этих документа существенно, а порой и принципиально меняют подходы к организации жизненного цикла СЗИ. – Какие требования стоит осо- временить или даже отменить, с учетом изменившейся реально- сти в вашей области? Виктор Иванов, руководитель проектного направления, группа сертификации и лицензирования InfoWatch Наиболее сильными качествами работы Службы, по моему мнению, в настоящее время являются продуктивность деятельности по формированию требований к современным СЗИ, достаточно высокое качество проработки данных требований, активное взаимодействие с разработчиками СЗИ при разработке проектов нормативных документов, определенная гибкость в отношении ранее принятых решений, несвоевременных в текущей ситуации. Компания InfoWatch поздравляет ФСТЭК России с 50-летием и искренне желает долгих лет плодотворной работы!