| Рубрикатор |  |
 |
| Все новости |  |
Новости отрасли | |
|
В России хотят создать мегарегулятора информационной безопасности
| 17 ноября 2017 |
Проект плана мероприятий разработанной по распоряжению Президента России Владимира Путина программы «Цифровая экономика» по разделу «Информационная безопасность» предлагает назначить единый государственный орган, ответственный за гармонизацию требований к информационной безопасности.
Гармонизация требований государственных и добровольных систем сертификации средств информационной безопасности и раскрытие этих требований предусмотрены проектом плана мероприятий раздела «Информационная безопасность». Этот раздел программы «Цифровая экономика» разработан Сбербанком.В настоящее время вопросами лицензирования и сертификации в сфере информационной безопасности занимаются два ведомства: Федеральная служба технического и экспортного контроля (ФСТЭК) и Федеральная служба безопасности (ФСБ) в лице Центра по лицензированию, сертификации и защите и государственной тайны.
ФСТЭК занимается регулированием средств защиты информации (СЗИ), использующих некриптографические методы, а также противодействию иностранным техническим разведкам и экспортным контролям.
ФСБ в лице Центра по лицензированию и сертификации регулирует разработку и распространение средств криптографической информации (СкЗИ), а также работы по защите информации, содержащей гостайну, и оборот специальных технических средств для негласного получения информации.
Как отмечается в плане мероприятий программы «Цифровая экономика» по разделу «Информационная безопасность», современные средства защиты информации носят комплексный характер и попадают под действие сразу обоих систем сертификации: ФСБ и ФСТЭК. Частично требования этих систем сертификации пересекаются: например, в части проверок на отсутствие незадокументированных возможностей, общих требований безопасности аппаратных платформ и операционных систем и пр.
«В настоящее время приходится дважды проводить по сути одни и те же проверки в разных системах сертификации, что приводит к увеличению сроков и стоимости сертификации продуктов в целом, что сказывается на динамике вывода новой продукции на рынок, - сетуют авторы документа. - В среднем такая комплексная сертификация занимает от одного до двух лет».
В качестве «хорошего примера» по гармонизации требований в области информационной безопасности авторы документа приводят американский Национальный институт стандартов и технологий (NIST), отвечающий за выпуск всех требований в области ИБ в США. Европейские же стандарты в области ИБ зачастую ссылаются на документы NIST или попросту их копируют.
Определение единого органа, ответственного за гармонизацию систем сертификации в сфере ИБ, вместе с гармонизаций самих систем сертификации, исключением дублирования и открытие установленных требований должны уменьшить для вендоров время и затраты на сертификацию.
Впрочем, опрошенные CNews эксперты и участники рынка информационной безопасности сомневаются в реалистично реализации данной инициативы. «Для определения единого госоргана в области требований к информационной безопасности кому-то - или ФСБ, или ФСТЭК - придется поделиться полномочиями, а никто из них этого не захочет делать», - говорят собеседники издания.
Топ-менеджер одной из ИБ-компаний вообще считает существующую систему регулирования в данной сфере логичной. «ФСТЭК занимается лицензированием деятельности по Защиты информации и сертификацией СЗИ, а если организации требуется криптография по ГОСТ или высокие классы защиты, тогда ей необходим сертификат ФСБ» - говорит собеседник издания.
Другое предлагаемое мероприятие в данной сфере - это государственная поддержка технических комитетов по направлению информационной безопасности. Сейчас деятельность таких комитетов осуществляется почти на общественных началах за счет средств компаний-экспертов.
«Это нормальная практика для развитого зарубежного рынка информационной безопасности, где масштаб компаний-экспертов и их финансовые возможности не сравнимы ни с одной российской компанией, - указывают авторы документа. - Для российских компаний, участников рынка ИБ, такая деятельность на постоянной основе оказывается серьезной финансовой нагрузкой. Участие в международных комитетах не является системным, не позволяет эффективно отстаивать интересы России на уровне государства».
Кроме того, предлагается создание системы добровольного декларирования уровня безопасности продуктов и услуг ИТК - Декларации информационной безопасности. Для этого необходимо создать положение о саморегулируемых организациях (СРО), действующих в сфере производства товаров и услуг в области информационной безопасности. К 2020 г. должно появиться три соответствующих СРО.
В рамках данного мероприятия предлагается разработать и внедрить дифференцируемый подход к требованиям к криптосредствам и другим СЗИ. Средства защиты информации для негосударственных систем, в том числе для интернета вещей, по своим требованиям должны отличаться от требованиям к средствам защиты информации для государственных информационных систем и и информационных систем персональных данных.
Также предлагается вырабатывать набор требований регуляторов к СКЗИ и СЗИ для негосударственных нужд и интернета вещей на основе методологии Common Criteria for Information Technology Security Evaluation - российского и международного стандарта по компьютерной безопасности. Это позволит распространить гармонизированный набор требований к средствам защиты информации на более широкий круг стран и больший спектр товаров и услуг.
Источник: CNews
Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!
Адрес: 105082, Россия, г. Москва, 2-й Ирининский пер, д. 3
Оставить свой комментарий:
Комментарии по материалу
Данный материал еще не комментировался.