органы обеспечения информационной безопасности

В чьём ведении останется информационная безопасность?

Автор Владимир в . Опубликовано Без рубрики

Президент Российской Федерации предложил реализовать проект «Цифровая экономика», в рамках которого контроль над соблюдением и стандартизацией требований кибербезопасности должен быть вручен одному ведомству.

Напомним, что сейчас этой сферой ведают две службы:

  • Федеральная служба технического и экспортного контроля (ФСТЭК) выдает сертификаты тех. средствам защиты информации, проверяет соответствие оснащения информационных объектов требованиям кибербезопасности и принимает контрмеры против технических разведок других стран. В компетенцию ФСТЭК входят средства защиты данных, которые не работают с шифровальными протоколами.
  • Федеральная служба безопасности (ФСБ) имеет специальный отдел, занимающийся выдачей лицензий и сертификатов. Этот отдел контролирует работу со средствами, позволяющими скрыто получить информацию, следит за сохранением гостайны, а также за созданием и распространением средств защиты данных, использующих методы шифрования.

Трудность состоит в том, что современные комплексные решения, предлагающие наиболее полную защиту информации, нередко попадают в сферу ответственности обеих служб. Следовательно, разработчики этих решений вынуждены представлять свой продукт для проверки и ФСТЭК, и ФСБ. Получение сертификата на продукцию затягивается, растут кипы необходимых документов, что ведет к повышению цены продукта и неизбежной утрате им актуальности: к тому времени, как сертифицированное средство защиты появляется на рынке, оно уже не может должным образом противостоять последним вредоносным разработкам.

К примеру, в Соединенных Штатах иной подход к вопросу регулирования защиты информации: там за сферу кибербезопасности отвечает единственное учреждение – Национальный институт стандартов и технологий (NIST). Нормы и стандарты средств, обеспечивающих надежную охрану данных, которыми пользуется вся Америка, а вслед за ней и Европа, разрабатываются именно Национальным институтом.

Специалисты по информационным технологиям предлагают использовать американский опыт, аргументируя это тем, что в таком случае срок и объемы сертификации значительно сократятся, а требования к разработчикам средств защиты станут более общими и доступными. Особенно актуально этот вопрос встаёт именно сейчас, в условиях острой нехватки специалистов по ИБ, когда России всё сложнее конкурировать с развитыми странами в сфере защиты информации. Помимо унификации требований создают и другие стимулирующие предпосылки для российских фирм-разработчиков ПО: например, налоговые льготы и приоритет при выходе на рынок госзаказов.

Однако часть специалистов видит на этом пути неизбежные трудности. Так, если все полномочия в данной сфере перейдут к одной из служб – ФСБ или ФСТЭК – вторая вряд ли с этим согласится, т.к. это означает потерю значительной доли контроля. Кроме того, существующее разделение некоторые эксперты считают логичным: ФСТЭК отвечает за более общие вопросы по сертификации и контролю за СЗИ, а ФСБ – за работу в сфере информационной безопасности более серьезного уровня, требующую лицензии на работу с государственной тайной или предполагающие использование шифрования для защиты информации.

Идея о том, чтобы передать какой-то одной из служб всю полноту обязанностей по унификации и гарантии соблюдения требований защиты данных, муссируется уже какое-то время. Так, этот вопрос поднимали при обсуждении закона о безопасности критической информационной инфраструктуры, а также при внесении поправок в закон о защите информации. В среде экспертов по информационным технологиям эта тема также провоцирует оживленные дискуссии. Однако на данный момент окончательное решение пока не принято.

Есть вопросы по сертификации или оформлению лицензии ФСТЭК ТЗКИ? Звоните, поможем разобраться.

Заказать звонок

Трекбэк с Вашего сайта.

Оставить комментарий