На конференции ФСТЭК, которая прошла в рамках выставки «Технологии безопасности 2015», представители Службы рассказали о планах выпуска документов, регламентирующих защиту государственных информационных систем (ГИС) и АСУ ТП на критически важных объектах. Полный комплект документов, дополняющий Приказы №17 и №31, намечено сформировать до конца 2016г.
В 2015 г. ФСТЭК планирует выпустить следующие документы, связанные с ГИС (по данным эксперта сообщества BISA Андрея Прозорова):
Аналогичный набор документов решено разработать и для защиты АСУ критически важных объектов. В частности, к 2016 г. планируется создать следующие документы:
Артём Агеев, заместитель генерального директора по информационной безопасности компании «РосИнтеграция», отмечает в своём блоге: «Главная новость, пожалуй, –долгожданная смена парадигмы аттестации. Мы постепенно уходим от периодической проверки требований к обеспечению необходимого уровня ИБ. Новая аттестация должна быть ориентирована на блокировку актуальных угроз, постоянное выявление уязвимостей и разработку процедур поддержания ИБ на заданном уровне. Под эту концепцию создаётся и новая методика разработки модели угроз, а с начала марта запускается web-сайт с описанием угроз и выявленных уязвимостей. Кроме того, ФСТЭК сфокусируется на защите ГИС и АСУ ТП».
Сейчас, по данным Андрея Прозорова, в структуру системы сертификации ФСТЭК включены 9 органов по сертификации (более 100 экспертов), 350 разработчиков и производителей, 42 испытательные лаборатории (свыше 600 специалистов), 425 органов по аттестации (более 10 тыс. специалистов). Прозоров отмечает и изменение системы сертификации: «По сути, сегодня всеми силами стараются уйти от сертификации СЗИ по ТУ. Те СЗИ, для которых разработаны профили защиты (по стандарту ISO 15408), необходимо сертифицировать именно по ним».
Пока профили имеются только для средств обнаружения вторжений, антивирусной защиты, доверенной загрузки и контроля над съемными носителями. Впрочем, к 2016г. ФСТЭК собирается подготовить профили защиты и для следующих средств:
Таким образом, к 2016 г. система контроля над средствами защиты ГИС и АСУ ТП критически важных систем будет приведена в соответствие с критериями международного стандарта ISO 15408. Впрочем, как отмечает заместитель начальника Управления ФСТЭК Виталий Лютиков, для того чтобы требования к АСУ ТП критически важных объектов стали обязательными, необходимо ещё и модернизировать законодательную базу.
© Издание 12NEWS (ИП Маринин А.Л.) 12news.ru, 2015