В связи с вводом в действие новой редакции государственного стандарта РБ 34101123 - так называемых общих критериев - появилась необходимость проведения актуализации нормативных документов в области безопасности информационных технологий. Указанные стандарты являются определяющими для информационной безопасности, так как на их основе производится разработка средств и систем защиты информации, их испытание, сертификация и индексация.
Задача приведения нормативных документов РБ к общему системному подходу является наиболее значимой и актуальной. Исходя из данных приоритетов, вопросы ввода в действие технических нормативно-правовых актов, определяющих методы и средства безопасности, направленные на создание единой системы обнаружения вторжений, так называемые сетевые экраны, являются достаточно актуальной задачей и требуют скорейшего решения.
Хотелось бы отметить, что на Западе стандарты выступают в качестве конструктивного элемента конкурентной борьбы. Компания, которой удается вывести на рынок собственный стандарт, значительно уменьшает расходы не только на создание, но и на сопровождение продукта. В связи с этим, Оперативно-Аналитический Центр хотел бы осуществлять более активное взаимодействие в данном вопросе частных компаний. Актуальность перечисленных задач обусловлена, в первую очередь, тем, что наличие эффективных нормативно-правовых актов является первостепенным условием эффективной системы защиты информации любых объектов информатизации. Совместно с этим, в настоящее время в Республике Беларусь срок действия большинства существующих нормативно-методических документов давно истек, и положения их устарели по отношению к действующим стандартам. Подобное положение дел в области обеспечения информационной безопасности зачастую не позволяет Республике Беларусь на равноправной основе включиться в мировую информационную систему, и требует решения ключевых проблем, в том числе и в рамках развития научно-практических основ.
Однако в последнее время наметилась положительная динамика в решении данного вопроса. Текущий год стал датой внесения изменений в приказ Оперативно-аналитического Центра №62 «О некоторых вопросах технической и криптографической защиты информации», который определяет не только порядок создания информационных систем, но и их аттестацию. Это приказ №3 от 16.01.2015 года. Обсуждение данного проекта происходило при участии представителей ведущих компаний нашей страны, которые занимаются вопросами безопасности информации. Проведение данных работ, направленных на актуализацию методологических составляющих, а также нормативно-правовой базы, осуществляется в рамках национальной программы ускоренного развития услуг в сфере информационных коммуникационных технологий.
По итогу данного мероприятия специалисты планируют ввести и разработать ряд проектов государственных стандартов. Окончание работ планируется к 2016 года, и он будет отмечен появлением новой линейки ряда стандартов. Это системы стандартизации, которые затрагивают основные вопросы системы обнаружения и предотвращения утечек информации. Это требования к межсетевым экранам, система сбора и обработки событий информационной безопасности, система обнаружения и предотвращения вторжений. Помимо того, в соответствии со внесенными требованиями в общий перечень критериев, планируется доработка ряда профилей защиты под требования существующих стандартов 34101123. Планируется разработка ряда методологических документов.
Это классификация информационных систем и ресурсов, которая будет включать в себя основные признаки и критерии отнесения к определенным классам информационных ресурсов и систем. Документ по методологии отнесения классов информационных систем должен содержать соответствующий перечень требований по информационной безопасности, предъявляемых к информационным системам. Данным нормативно-правовым актом будет определен базовый набор мер по защите информации. В документе, по мнению экспертов, будут учтены требования международных стандартов серии 27 00 1 базового документа Национального Института по стандартизации США. Это нормативно-правовой акт серии 853, который определяет контроль безопасности и приватности государственных органов. Это методические документы, которые планируется подписать в текущем году. Решение основных вопросов информационной безопасности требует ото всех государственных органов и ведомств комплексной, слаженной, а также предельно скоординированной работы по обеспечению безопасности информационных ресурсов и систем. Остается надеяться, что подписание данных документов, а также предпринимаемые нашим государством шаги будут способствовать укреплению информационной безопасности страны.
Горячие темы