Журнал "Information Security/ Информационная безопасность" #5, 2023

• 49 50 лет ФСТЭК РоССии www.itsec.ru – Какие нормативные требова- ния вам показались наиболее интересными для реализации в вашей практической деятель- ности? – Наиболее значимым я считаю пере- ход на требования по уровням доверия, потому что этот процесс регулирует не только проверку самого исходного кода продукта, но и процесса разра- ботки: придерживается ли вендор без- опасных принципов разработки, про- водит ли проверки самостоятельно, следит ли за версионностью исходни- ков, как происходят обновления. Все это говорит о серьезном подходе к без- опасности на системном уровне, а не какого-то одного сертифицированного продукта. – Какие требования стоит осо- временить или даже отменить, с учетом изменившейся реально- сти в вашей области? – Количество угроз ИБ стремительно растет, но методика оценки НДВ остается прежней. Доработка продукта, затраги- вающая функции безопасности (а в СЗИ практически любые функции – это функ- ции безопасности), по сути, означает пере- проверку ПО, которая занимает время, так как сертификат присваивается кон- кретным чек-суммам исполняемых фай- лов. У функциональных заказчиков этого времени нет, им нужно прямо сейчас закрывать Zero-Day, но они становятся перед выбором: ждать безопасной прове- ренной версии СЗИ либо же использовать пока не сертифицированные версии. – Для каких изменений в нор- мативные требования настало время или настанет в ближайшие 2–3 года в вашей области? – Убежден, что необходима офици- альная методика, государственный стан- дарт по защите от разглашения либо утечки конфиденциальных данных, в том числе ПДн граждан России. Эта пробле- ма на данный момент носит массовый характер, а по количеству инцидентов и реальному ущербу обгоняет иные киберпреступления, такие как целена- правленные атаки либо атаки на отказ в обслуживании. На данный же момент такого стандарта нет. Более того, нет и обязательных мер в приказах по борь- бе с утечками по вине внутреннего нару- шителя. – Какие нормативные требова- ния вам показались наиболее интересными для реализации в вашей практической деятель- ности? – Персонально для меня и для моих служебных обязанностей наиболее интересными показались приказы № 19, № 21 и № 31 о защите данных, не являющихся гостайной, ПДн и техноло- гических систем. В свое время эти при- казы хорошо стандартизировали тре- бования по защите информации. В буду- щем хорошим ходом было бы разрабо- тать требования по защите критической ИТ-инфраструктуры. Работы по данному направлению действительно важны, и разнообразные мероприятия типа Standoff и других соревнований среди пентестеров многократно подтвердили необходимость защиты такой инфра- структуры. – Какие требования стоит осо- временить или даже отменить, с учетом изменившейся реально- сти в вашей области? – Я бы не сказал, что у нас надо что- то отменять в срочном порядке. Лучшим подходом стало бы создание единых государственных стандартов в области информационной безопасности для всех типов обрабатываемой информации. Например, свежий набор приказов, чтобы любой сотрудник организации мог самостоятельно классифицировать информацию, выбирать необходимый уровень защиты или как минимум про- верить существующие системы защиты на соответствие требованиям. – Для каких изменений в нор- мативные требования настало время или настанет в ближайшие 2–3 года в вашей области? – Как человеку, который погружен в тематику мошеннических звонков, социальной инженерии, поддельных номеров и спама, мне кажется, что при- шло время достаточно серьезно заняться проработкой вопросов поражения в соци- альных правах дроперов и организаторов подставных фирм. С технической сторо- ны уже все готово: есть государственная антифрод-система, есть точечные систе- мы в банках. ФСТЭК России могла бы выступить в роли координатора и техни- ческого руководителя в борьбе с подоб- ными преступными деяниями на стыке ИТ и реального мира. Важным направ- лением, я уверен, становятся работы в части безопасной разработки про- граммного обеспечения и стимулирова- ния использования безопасного года с самых ранних стадий разработки. Я считаю, что с растущей ИБ-грамот- ностью разработчиков ПО будет повы- шаться и общая защищенность инфор- мационных систем. Дмитрий Овчинников, главный специалист отдела комплексных систем защиты ООО “Газинформсервис” Многие мои коллеги, работающие в ИТ-сфере считают, что разные регуляторы только мешают им работать. Однако на самом деле в любой зрелой отрасли, в любом взрослом государстве появляется необходимость в госрегулировании. И ФСТЭК России отлично справляется с этой непростой работой. Ведь в интересах всей страны необходимо защищать информационные системы, причем делать это системно. И всем участникам процесса важно работать в одном направлении. Именно эту работу и выполняют сотрудники ФСТЭК России. Я хотел бы пожелать им терпения, ведь не все инициативы можно оценить сразу. Как говорил классик, “ большое видится на расстоянии". Ваше мнение и вопросы присылайте по адресу is@groteck.ru