Требования к средствам обеспечения безопасности
Проект СТР-46 использует в основном ту же терминологию, 410 и СТР-45. Под средствами обеспечения безопасности информационных технологий (СОБИТ) авторы проекта понимают средства, реализующие совокупность функций, обеспечивающих БИТ.
Нам это определение представляется довольно расплывчатым. Например, система пожаротушения тоже реализует указанные функции (и в СТР-45 приведены требования к ней), но она не является предметом рассмотрения данного проекта регламента. Думается, что будет правильным ставить знак равенства между использующимся сейчас термином «средства защиты информации» и СОБИТ. Разработчики обещают в следующих версиях проекта СТР привести исчерпывающий список средств, относящихся к СОБИТ.
Категория СОБИТ устанавливается исходя из того, в ИТ какой максимальной категории его можно использовать. В зависимости от категории к СОБИТ предъявляется определенный набор требований доверия к безопасности. Сравнение с ГОСТ 15408 показывает, что эти наборы требований для различных категорий не совпадают с требованиями оценочных уровней доверия ОК. Taким образом, СОБИТ наивысшей категории не сможет быть автоматически сертифицирован на соответствие ОК даже по самому низкому уровню доверия. Верно и обратное: выполнение требований ОК недостаточно для того, чтобы СОБИТ соответствовали СТР-46.
Функциональные требования безопасности к СОБИТ не устанавливаются в связи с их многообразием. Состав этих требований будет определять разработчик, исходя из парируемых средством угроз, условий применения и его категории. В приложении к проекту СТР-46 приведен перечень основных функциональных требований с пояснениями, что можно рассматривать в качестве методического пособия по данной теме. Между тем, непонятно, для! чего эти материалы предлагается включить в текст закона.
Подтвердить соответствие СОБИТ требованиям безопасности предполагается двумя формами: декларированием соответствия и обязательной сертификацией (для СОБИТ трех старших категорий).
Интересным, но до конца непродуманным предложением авторов является открытое опубликование результатов сертификационных испытаний. Очевидно, что для СОБИТ высших категорий такое опубликование не только нецелесообразно, но и может привести к разглашению государственной тайны.
По аналогии с ИТ, в отношении СОБИТ предлагается проводить государственный контроль и надзор. При этом контролю) подвергаются не только разработчики и продавцы СОБИТ, но а пользователи, что, по нашему мнению, неверно. Дело в том, что защищаемые активы появляются только в ИТ, и именно ИТ целе-1 сообразно подвергать контролю (надзору), как это и предусмотрено СТР-45.
Разработка технических регламентов по информационной безн опасности является, скорее всего, первым опытом открытой разработки документов по защите информации. Нельзя сказать, что «первый блин вышел комом», но существующие варианты проектов пока еще очень далеки от совершенства, в связи с чем неоднократно происходит перенос сроков представления регламента и правительственные органы.
Остается неясным вопрос, насколько оправданно создание технических регламентов по информационной безопасности? На наш Взгляд, вместо этого было бы правильным внести в ст.1 ФЗ
«О техническом регулировании» абзац, где бы говорилось об от-1г льном регулировании такой чувствительной области, по аналогии с тем, как это сделано в этом законе для единой сети связи.