Выставка «Технологии безопасности 2013», которая была посвящена вопросам безопасности, начиная с противопожарной и заканчивая информационной, проходила в Москве в середине февраля текущего года. Из всех мероприятий, которые были организованы для специалистов в информационной безопасности, наиболее интересной оказалась конференция на тему «Передовые методы и средства защиты конфиденциальной информации». Вел эту конференцию заместитель начальника управления ФСТЭК Виталий Лютиков. На такой же конференции, которая была проведена в 2012 году, рассматривались документы по системам обнаружения вторжений. В этом же году были представлены документы по защите государственных информационных систем. Как заявил г-н Лютиков, сегодня подготовлено 2 документа ФСТЭК, это: «Содержание мер по защите информации для классов защищенности информационной системы» и «Методика определения актуальных угроз безопасности информации в информационной системе». В ведомстве утверждают, что если системы будут защищены в соответствии с данными документами, то они также будут отвечать всем требованиям, которые изложены в законе «О персональных данных». В соответствии с одним из последних нововведений предлагается проводить аттестацию не всей системы полностью, а лишь ее типовых элементов, которые задействованы во всей технологии обработки информации. Теперь владельцы госсистем могут внедрять типовые решения, сертифицируемые централизованно, причем получить сам аттестат будет очень просто. Получается, что государственные информационные системы отделов ЗАГСов, поликлиник, государственных детских садов и прочих реестров будут сертифицироваться централизованно, а также устанавливаться прямо на местах, что полностью соответствует положениям закона. Говоря об аттестационных испытаниях, целью которых является проверка работы защиты каждой конкретной госсистемы, можно сказать, что исходя из подготовленных документов, она состоит в том, что перед вводом в эксплуатацию анализируются возможные уязвимые места. Как объясняет г-н Лютиков, у владельца системы существует возможность проводить проверку уязвимостей даже на ранних этапах формирования информсистемы. Хотя перед вводом в эксплуатацию такой аудит будет все равно необходим. Если же в результате аудита будут выявлены какие-то новые уязвимые места, организация будет выяснять модель угроз, а также создавать дополнительные защитные инструменты. Благодаря такому нововведению будет стимулироваться развитие рынка автоматизированных средств проверки защищенности и услуг, связанных с этой областью. В течение срока эксплуатации системы необходимо будет регулярно проводить анализ на уязвимость. Кроме того, новые документы предусматривают средства защиты среды виртуализации. Решение проблемы обновлений стало еще одним существенным нововведением. Ранее считалось, что установка исправлений исключает из системы сертификата соответствия, из-за чего система больше не может соответствовать защитным требованиям. Согласно новой методике, обновления, теперь входят в категорию изменения конфигураций системы, а это исключает необходимость в новой сертификации. Лютиков поясняет, что на данный момент, лишенная обновлений защита, не может быть эффективной, а значит, что неверно было бы требовать сохранять неизменной проверенную систему. Хотя документ все же предусматривает некоторые требования по внесению таких изменений. Так, например, здесь говориться о повторном проведении анализа на уязвимость. Если производитель выпустит новую версию продукта, то может потребоваться его повторная сертификация. С начала этого года были приняты новые стандарты, которые регламентируют функцию хэширования (ГОСТ Р 34.11-2012) и отечественные алгоритмы шифрования на эллиптических кривых (ГОСТ Р 34.10-2012). В этой связи возникает необходимость в пересертификации всех криптографических защитных средств. Перед разработчиками средств криптографической защиты стоит задача реализовывать в своих продуктах новые алгоритмы шифрования, а также помочь их пользователям осуществить переход на них. Первое время разработчики будут вынуждены придерживаться двух стандартов шифрования, сохраняя, таким образом, совместимость с системами, которые были ранее, и обеспечивая переход к новым алгоритмам. Планируется, что в течение года этот переход будет завершен и только тогда реализующие старые стандарты системы больше не станут удовлетворять требования ФСБ.
|
