2014-10-30
429
Существующая в стране система нормативно-технической документации, которая обеспечивает решение задач информационной защиты, включает в более 20 государственных и негосударственных стандартов, восемь руководящих документов ФСТЭК и свыше 40 отраслевых стандартов.
В цепях совершенствования отечественной нормативной базы ФСТЭК (Гостехкомиссия) совместно с другими заинтересованными министерствами и ведомствами реализуют новые инициативы в этом направлении. В частности, утверждены три государственных стандарта, определяющих критерии оценки безопасности информационных технологий, которые устанавливают требования к формированию заданий по оценке безопасности в соответствии с положениями международных стандартов. По линии ФСТЭК создано несколько руководящих документов, в том числе «Руководство по разработке профилей защиты», «Руководство по регистрации профилей защиты», «Методология оценки безопасности информационных технологий» и «Автоматизированный комплекс разработки профилей защиты».
|
|
|
Перечисленные документы, по сути, представляют собой прямую трансляцию положений международных стандартов ISO на российскую нормативно-техническую базу. В дополнение к ним создаются еще шесть спецификаций на защитные профили для операционных систем, межсетевых экранов, систем управления базами данных, автоматизированных систем учета и т.д.
«Программа комплексной стандартизации в области защиты информации на 2002-2010 годы» предусматривала создание 38 новых государственных стандартов в данной сфере. В свою очередь, Росстандарт разработал и представил на утверждение в Правительство РФ ряд документов, однако на сегодняшний день существенных сдвигов по разработке документов в рамках этой программы нет.
В ходе реализации «Программы по разработке технических регламентов на 2003-2010 годы» планировалось создать следующие документы:
«Общий технический регламент безопасности информационных технологий», «Общий технический регламент требований к системам безопасности информационных технологий», «Общий технический регламент требований по защите информации, обрабатываемой на объектах информатизации» и «Специальный технический регламент требований по защите информации в оборонной промышленности».
Анализ, показывает, что хотя в рамках этих программ должны были разрабатываться более конкретные документы, нежели федеральные законы, однако эти документы полностью не решают вопросы нормативного обеспечения деятельности частных компаний по защите информации по двум причинам:
программы направлены в основном на разработку нормативных документов для государственных органов;
разрабатываемые документы будут стандартизовывать и регламентировать не сами процедуры по защите информации, а методики разработки документов по защите информации, оценке уровня защищенности информационных систем и т.д.
