По словам Лютикова, уже готовы два документа ФСТЭК — "Методика определения актуальных угроз безопасности информации в информационной системе" и "Содержание мер по защите информации для классов защищенности информационной системы". Предполагается, что системы, защищенные в соответствии с этими документами, автоматически будут отвечать и аналогичным требованиям закона "О персональных данных". Одним из важных нововведений является аттестация не всей системы целиком, а только ее типовых элементов, реализующих полную технологию обработки информации. Таким образом, владельцам госсистем достаточно внедрить типовые решения, которые будут сертифицироваться централизованно, и процедура получения аттестата соответствия будет достаточно простой. В результате государственные информационные системы в поликлиниках, отделах ЗАГСов, государственных детских садах и различных реестрах будут централизованно сертифицироваться и устанавливаться на местах, тем самым будет обеспечено соответствие требованиям закона.
Впрочем, аттестационные испытания, призванные проверить, как работает защита в конкретной госсистеме, в соответствии с подготовленными документами сводятся к анализу возможных уязвимостей перед вводом системы в эксплуатацию. "Владелец системы может проводить аудит уязвимостей и на более ранних этапах построения информационной системы, но только перед вводом в эксплуатацию он будет обязательным", — пояснил Лютиков. Если в результате этого анализа будет обнаружено какое-то число незакрытых уязвимостей, то организации придется уточнять модель угроз и устанавливать дополнительные инструменты защиты. Такое нововведение стимулирует развитие рынка как автоматизированных средств анализа защищенности, так и услуг в этой области. Анализ на уязвимости предполагается регулярно проводить и в течение срока эксплуатации системы. В новых документах предусмотрены также средства защиты среды виртуализации
Еще одним существенным нововведением является решение проблемы обновлений. Прежде подразумевалось, что установка исправлений лишает систему сертификата соответствия и вся система перестает соответствовать требованиям защиты. Новая методика относит обновления к категории изменения конфигурации системы, что не влечет за собой новой сертификации продукта. "Сейчас защита без обновлений уже будет небезопасна, поэтому требовать неизменность проверенной системы неправильно", — пояснил Лютиков. Впрочем, определенные требования на внесение этих изменений все-таки в документе предусмотрены — в частности, повторное проведение анализа уязвимостей. Повторная сертификация продуктов может потребоваться в случае выпуска производителем новой версии продукта.
Следует отметить, что в прошлом году были приняты новые стандарты (они вступили в силу с 1 января 2013 года), регламентирующие российские алгоритмы шифрования на эллиптических кривых (ГОСТ Р 34.10-2012) и функцию хэширования (ГОСТ Р 34.11-2012). В связи с этим потребуется пересертификация всех криптографических средств защиты. Разработчики средств криптографической защиты должны реализовать новые алгоритмы шифрования в своих продуктах и обеспечить постепенный переход на них пользователей. Причем какое-то время разработчикам придется поддерживать оба стандарта на шифрование, чтобы сохранить совместимость со старыми системами и вместе с тем обеспечить переход на новые алгоритмы. Предполагается, что этот процесс перехода займет год, после чего системы, реализующие только старый стандарт, перестанут соответствовать требованиям ФСБ.
OSP News