Рубрикатор |
Статьи | ИКС № 8 2005 |
Галина БОЛЬШОВА  | 01 августа 2005 |
По-прежнему ждем законов
Памятуя о неполноте отечественной нормативно-законодательной базы (см. «ИКС» № 7’2005, с. 47), особое внимание обратим на эти проблемы. На круглом столе, посвященном информационному законодательству, обсуждались инициативы и детали проектов законов перед их внесением в Госдуму – с преобладанием критики. Основные претензии касались низкого уровня подготовки документов, вносимых на обсуждение (оказывается, депутаты отчитываются по количеству подготовленных документов). Следствие: многие законы, принятые Госдумой, не выполняются или не работают (например, известный закон «Об ЭЦП»). И хотя адекватная оценка причины неудач налицо, судя по тону дискуссии, тенденций к изменению состояния дел ожидать не приходится. Тем более что представители правовых институтов полагают, что понятия, связанные с информацией как предметом правового регулирования, «пока просто не выросли до такого масштаба, чтобы заполнить собой поле федерального закона». А.А. Стрельцов, начальник департамента Совбеза РФ, считает, что юристы уходят от обсуждения вопроса об объекте права в информационном законодательстве: «Если введено понятие собственности на информационные ресурсы, то кто или что является объектом права? Юридических документов, отвечающих на эти вопросы, нет».Обсуждения нормативных технических документов собрали, пожалуй, самую большую аудиторию, но не принесли новостей. Констатация представителем ФСТЭК России И.В. Егоркиным факта существования и успешной деятельности системы сертификации по старым РД и методикам прошлого века, к сожалению, не увенчалась представлением состояния дел в построении новой системы сертификации. Все вопросы, связанные с ее созданием, утверждением необходимых документов (сегодня существующих в проектах), по-прежнему откладываются на неопределенный срок. Переходный период «от РД к ГОСТ Р 154082002», несмотря на обещанное появление в конце 2005 г. технических регламентов, дополняющих закон «О техническом регулировании», продлится еще не менее двух лет. Между тем и регуляторы, и производители СЗИ отмечали полезность введения ГОСТ Р 15408, а также выгоды от ожидаемого взаимопризнания сертификатов как с точки зрения процедурных упрощений, так и для повышения конкурентоспособности продукции.
При обсуждении нового стандарта на системы управления ИБ присутствующим представили два новых (кроме известного уже ISO 17799) подхода. Первый – проект российского стандарта (аналог международного ISO 17791), разрабатываемый Центром безопасности информации в идеологическом русле ГОСТ 15408. Однако, как выяснилось, для ISO 17791 не зафиксировано ни одного случая практического опыта его применения, и поэтому его перспективность, по мнению представителей ФСТЭК, пока неочевидна. Второй подход, представленный IBM, – Method of Architecting Secure Solution (MASS) – позволяет создавать систему ИБ, используя ГОСТ 15408, ISO 17799-2000 и базы знаний компании по ИБ и формализуя процесс построения системы безопасности предприятия и ее систем управления на основе анализа угроз и рисков от начала ее создания до сдачи в эксплуатацию. Что же касается российского аналога стандарта ISO 177992000, появление которого было обещано ФСТЭК в конце 2005 г., то новых сведений о его разработке не поступало.
Ждем новостей.
Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!