Журнал "Information Security/ Информационная безопасность" #5, 2023

48 • СПЕЦПРОЕКТ – Какие нормативные требова- ния вам показались наиболее интересными для реализации в вашей практической деятельно- сти? – Переход на уровни доверия и ком- плексное изменение системы сертифи- кации крайне положительно сказались на качестве продуктов. С одной стороны, были дерегулированы избыточные тре- бования, которые фактически были пре- вращены в рамочные, опорные. С другой стороны, ужесточились и были отрегу- лированы практические требования к сертифицированным средствам защи- ты информации. Поэтому приказ ФСТЭК России № 76 считаем одним из наиболее значимых (не единственным) и конструк- тивных нормативных документов, кото- рые привнесли много положительного в практику производителей СЗИ. – Какие требования стоит осо- временить или даже отменить, с учетом изменившейся реально- сти в вашей области? – Уже сейчас служба проводит боль- шую работу по формированию отдель- ных требований для сертификации каж- дого вида средств защиты. Мы надеемся, что со временем не останется практиче- ски ни одного решения в области ИБ, которое бы не было в той или иной мере охвачено базовыми требованиями. Это позволит, с одной стороны, более полно подойти к формированию референсных архитектур, с другой – упорядочить толь- ко формирующиеся рынки некоторых классов средств защиты. – Для каких изменений в нор- мативные требования настало время или настанет в ближайшие 2–3 года в вашей области? – Нам кажется, что завершение работы по сертификации процессов безопасной разработки – давно назревшее измене- ние. Проекты нормативных документов уже находятся на экспертизе в Мини- стерстве юстиции. Значимыми будут и уже выпущенный, и последующие документы в этом направлении. Они позволят дополнить существующие тре- бования по сертификации СЗИ и сфор- мировать более безопасную экосистему производства продуктов в целом. Вячеслав Половинко, руководитель направления собственных продуктов АМТ-ГРУП От всей души поздравляем коллектив ФСТЭК России с юбилеем! Приятно отметить, что представители Службы всегда приходят на помощь, стараются дать исчерпывающую информацию по процедурам, указанным в нормативных документах, оказать помощь советом, как на практике следует двигаться в ходе выполнении тех или иных требований. Отзывчивость, адекватная оценка рынка, предметность были и остаются сильными сторонами Службы. Алексей Парфентьев, руководитель отдела аналитики “СёрчИнформ” Специалисты ФСТЭК России не раз помогали нам с экспертизой, всегда активно откликались на различные профессиональные инициативы и открыты для обсуждения проблем и задач ИБ-отрасли. Сотрудники ФСТЭК России принимают участие в наших отраслевых конференциях, выступают с практическими докладами, участвуют в круглых столах и с готовностью откликаются на прямые запросы ИБ-специалистов со стороны компаний-заказчиков. Считаем, что это показатель высокого профессионализма и желания принести максимальную пользу как разработчикам защитных решений, так и организациям, использующим их. Включенность в проблемы отрасли и проактивное стремление усилить инфобез в России – это необходимые условия для благополучия и безопасности нашей страны! – Необходимо актуализировать стан- дарты группы ГОСТ ЕСПД, не обнов- лявшиеся с 70-х гг. XX века и требующие приведения в соответствие с современ- ной практикой разработки ПО. Мы поддерживаем нынешнее развитие процесса сертификации в сторону фак- тического внедрения безопасной разра- ботки, а не построения "потемкинской деревни" в виде разово сертифициро- ванной версии продукта. Однако хотим привлечь внимание к дальнейшей про- работке этого вопроса. Так как в реаль- ной жизни требуется частый выпуск про- дукта, в том числе с целью оперативного устранения уязвимостей и ответов на новые угрозы, то мы выражаем надежду, что в случае сертифицированного про- цесса разработчикам не придется в каж- дом выпуске проходить длительную про- цедуру сертификации. По примеру Рес- публики Беларусь у разработчиков появится возможность сертифицировать- ся автоматом, если нет принципиальных изменений в возможностях функции без- опасности. – Для каких изменений в нор- мативные требования настало время или настанет в ближайшие 2–3 года в вашей области? – На наш взгляд, назрела необходи- мость разработки и ввода в действие следующих документов: l стандартов и/или руководящих документов, определяющих требова- ния к средствам динамического ана- лиза ПО; l методик проверок соответствия про- цессов безопасной разработки требова- ниям (ГОСТ 56939–2016); l стандартов и/или руководящих доку- ментов, определяющих требования к организациям по уровню/качеству конт- роля за обменом информации как внутри организации, так и с внешними контр- агентами; l методик проверок соответствия про- цессов контроля за обменом/оборотом информации в соответствии со стандар- тами.