Требования к средствам обеспечения безопасности

Проект СТР-46 использует в основном ту же терминологию, 410 и СТР-45. Под средствами обеспечения безопасности инфор­мационных технологий (СОБИТ) авторы проекта понимают средства, реализующие совокупность функций, обеспечивающих БИТ.

Нам это определение представляется довольно расплывчатым. На­пример, система пожаротушения тоже реализует указанные функ­ции (и в СТР-45 приведены требования к ней), но она не являет­ся предметом рассмотрения данного проекта регламента. Дума­ется, что будет правильным ставить знак равенства между исполь­зующимся сейчас термином «средства защиты информации» и СОБИТ. Разработчики обещают в следующих версиях проекта СТР привести исчерпывающий список средств, относящихся к СОБИТ.

Категория СОБИТ устанавливается исходя из того, в ИТ какой максимальной категории его можно использовать. В зависимости от категории к СОБИТ предъявляется определенный набор тре­бований доверия к безопасности. Сравнение с ГОСТ 15408 пока­зывает, что эти наборы требований для различных категорий не совпадают с требованиями оценочных уровней доверия ОК. Taким образом, СОБИТ наивысшей категории не сможет быть авто­матически сертифицирован на соответствие ОК даже по самому низкому уровню доверия. Верно и обратное: выполнение требо­ваний ОК недостаточно для того, чтобы СОБИТ соответствовали СТР-46.

Функциональные требования безопасности к СОБИТ не уста­навливаются в связи с их многообразием. Состав этих требований будет определять разработчик, исходя из парируемых средством угроз, условий применения и его категории. В приложении к проек­ту СТР-46 приведен перечень основных функциональных требо­ваний с пояснениями, что можно рассматривать в качестве мето­дического пособия по данной теме. Между тем, непонятно, для! чего эти материалы предлагается включить в текст закона.

Подтвердить соответствие СОБИТ требованиям безопасности предполагается двумя формами: декларированием соответствия и обязательной сертификацией (для СОБИТ трех старших катего­рий).

Интересным, но до конца непродуманным предложением ав­торов является открытое опубликование результатов сертифика­ционных испытаний. Очевидно, что для СОБИТ высших катего­рий такое опубликование не только нецелесообразно, но и может привести к разглашению государственной тайны.

По аналогии с ИТ, в отношении СОБИТ предлагается прово­дить государственный контроль и надзор. При этом контролю) подвергаются не только разработчики и продавцы СОБИТ, но а пользователи, что, по нашему мнению, неверно. Дело в том, что защищаемые активы появляются только в ИТ, и именно ИТ целе-1 сообразно подвергать контролю (надзору), как это и предусмот­рено СТР-45.

Разработка технических регламентов по информационной безн опасности является, скорее всего, первым опытом открытой разработки документов по защите информации. Нельзя сказать, что «первый блин вышел комом», но существующие варианты проектов пока еще очень далеки от совершенства, в связи с чем неоднократно происходит перенос сроков представления регламен­та и правительственные органы.

Остается неясным вопрос, насколько оправданно создание тех­нических регламентов по информационной безопасности? На наш Взгляд, вместо этого было бы правильным внести в ст.1 ФЗ

«О техническом регулировании» абзац, где бы говорилось об от-1г льном регулировании такой чувствительной области, по аналогии с тем, как это сделано в этом законе для единой сети связи.