В России хотят создать мегарегулятора информационной безопасности, взяв пример с США

Безопасность Стратегия безопасности Госрегулирование Интернет ИТ в госсекторе
мобильная версия
, Текст: Игорь Королев
В рамках реализации программы «Цифровая экономика» предлагается определить единый госорган, ответственный за требования к средствам информационной безопасности. Это должно ускорить выход новых продуктов на рынок, но эксперты сомневаются, что кто-то из двух существующих регуляторов - ФСБ и ФСТЭК - захотят поделиться своими полномочиями.

Единый регулятор для средств информационной безопасности

Проект плана мероприятий разработанной по распоряжению Президента России Владимира Путина программы «Цифровая экономика» по разделу «Информационная безопасность» предлагает назначить единый государственный орган, ответственный за гармонизацию требований к информационной безопасности.

Гармонизация требований государственных и добровольных систем сертификации средств информационной безопасности и раскрытие этих требований предусмотрены проектом плана мероприятий раздела «Информационная безопасность». Этот раздел программы «Цифровая экономика» разработан Сбербанком.

В настоящее время вопросами лицензирования и сертификации в сфере информационной безопасности занимаются два ведомства: Федеральная служба технического и экспортного контроля (ФСТЭК) и Федеральная служба безопасности (ФСБ) в лице Центра по лицензированию, сертификации и защите и государственной тайны.

ФСТЭК занимается регулированием средств защиты информации (СЗИ), использующих некриптографические методы, а также противодействию иностранным техническим разведкам и экспортным контролям.

Разработанная по распоряжению Владимира Путина программа «Цифровая экономика»
предлагает назначить единый госорган, ответственный за требования к ИБ

ФСБ в лице Центра по лицензированию и сертификации регулирует разработку и распространение средств криптографической информации (СкЗИ), а также работы по защите информации, содержащей гостайну, и оборот специальных технических средств для негласного получения информации.

Брать пример с Америки

Как отмечается в плане мероприятий программы «Цифровая экономика» по разделу «Информационная безопасность», современные средства защиты информации носят комплексный характер и попадают под действие сразу обоих систем сертификации: ФСБ и ФСТЭК. Частично требования этих систем сертификации пересекаются: например, в части проверок на отсутствие незадокументированных возможностей, общих требований безопасности аппаратных платформ и операционных систем и пр.

«В настоящее время приходится дважды проводить по сути одни и те же проверки в разных системах сертификации, что приводит к увеличению сроков и стоимости сертификации продуктов в целом, что сказывается на динамике вывода новой продукции на рынок, - сетуют авторы документа. - В среднем такая комплексная сертификация занимает от одного до двух лет».

В качестве «хорошего примера» по гармонизации требований в области информационной безопасности авторы документа приводят американский Национальный институт стандартов и технологий (NIST), отвечающий за выпуск всех требований в области ИБ в США. Европейские же стандарты в области ИБ зачастую ссылаются на документы NIST или попросту их копируют.

Определение единого органа, ответственного за гармонизацию систем сертификации в сфере ИБ, вместе с гармонизаций самих систем сертификации, исключением дублирования и открытие установленных требований должны уменьшить для вендоров время и затраты на сертификацию.

Спецслужбы не хотят делиться информацией друг с другом

Впрочем, опрошенные CNews эксперты и участники рынка информационной безопасности сомневаются в реалистично реализации данной инициативы. «Для определения единого госоргана в области требований к информационной безопасности кому-то - или ФСБ, или ФСТЭК - придется поделиться полномочиями, а никто из них этого не захочет делать», - говорят собеседники издания.

Топ-менеджер одной из ИБ-компаний вообще считает существующую систему регулирования в данной сфере логичной. «ФСТЭК занимается лицензированием деятельности по Защиты информации и сертификацией СЗИ, а если организации требуется криптография по ГОСТ или высокие классы защиты, тогда ей необходим сертификат ФСБ» - говорит собеседник издания.

Господдержка технических комитетов по информационной безопасности

Другое предлагаемое мероприятие в данной сфере - это государственная поддержка технических комитетов по направлению информационной безопасности. Сейчас деятельность таких комитетов осуществляется почти на общественных началах за счет средств компаний-экспертов.

«Это нормальная практика для развитого зарубежного рынка информационной безопасности, где масштаб компаний-экспертов и их финансовые возможности не сравнимы ни с одной российской компанией, - указывают авторы документа. - Для российских компаний, участников рынка ИБ, такая деятельность на постоянной основе оказывается серьезной финансовой нагрузкой. Участие в международных комитетах не является системным, не позволяет эффективно отстаивать интересы России на уровне государства».

Дифференциация требований к система защиты информации

Кроме того, предлагается создание системы добровольного декларирования уровня безопасности продуктов и услуг ИТК - Декларации информационной безопасности. Для этого необходимо создать положение о саморегулируемых организациях (СРО), действующих в сфере производства товаров и услуг в области информационной безопасности. К 2020 г. должно появиться три соответствующих СРО.

В рамках данного мероприятия предлагается разработать и внедрить дифференцируемый подход к требованиям к криптосредствам и другим СЗИ. Средства защиты информации для негосударственных систем, в том числе для интернета вещей, по своим требованиям должны отличаться от требованиям к средствам защиты информации для государственных информационных систем и и информационных систем персональных данных.

Также предлагается вырабатывать набор требований регуляторов к СКЗИ и СЗИ для негосударственных нужд и интернета вещей на основе методологии Common Criteria for Information Technology Security Evaluation - российского и международного стандарта по компьютерной безопасности. Это позволит распространить гармонизированный набор требований к средствам защиты информации на более широкий круг стран и больший спектр товаров и услуг.