По итогам конкурса, проведенного в марте текущего года Минпромэнерго России, ФГУП НИИ "Восход" в кооперации с соисполнителями награжден за разработку проектов двух технических регламентов "О безопасности информационных технологий" и "О требованиях к средствам обеспечения безопасности информационных технологий". Наш корреспондент Игорь Иванов взял интервью у первого заместителя генерального директора института Караваешникова Евгения Константиновича
- Евгений Константинович, Вы являетесь руководителем проекта по разработке технических регламентов. Что Вы можете сказать о целях, объектах и сфере их применения?
- В настоящее время в институте ведется активная работа по созданию и уточнению первых редакций проектов технических регламентов. С целью организации их публичного обсуждения в Глобальной сети организован форум. Тексты проектов размещены на сайтах www.voskhod.ru, www.evraas.ru/as/index.htm.
Целями законопроектов стали защита жизни и здоровья граждан, имущества физических и юридических лиц, государственного и муниципального имущества - посредством установления требований, выполнение которых обеспечит безопасность применения информационных технологий.
Объектами технического регулирования являются процессы эксплуатации и средства обеспечения безопасности автоматизированных систем, нарушение штатного режима функционирования которых рискует привести к причинению существенного ущерба здоровью и имуществу граждан и государства.
Объектом действия безопасных информационных технологий должны быть, в первую очередь: экологически опасные производства, связь, энергетика, банковская сфера и электронная торговля. Здесь особенно важна целостность информации и санкционированная доступность информационных систем.
- Каким образом разработка технических регламентов способствует безопасности применения информационных технологий?
- Безопасность применения информационных технологий гарантируется, в основном, за счет выполнения нескольких процедур:
* обоснованного задания требований к безопасности, исходя из имеющихся угроз и возможного ущерба от нарушения ИБ;
* эффективным выбором и корректной реализацией мер и средств обеспечения безопасности информационных технологий в соответствии с установленными требованиями;
* соблюдением необходимых условий и требований к безопасности информационных технологий при эксплуатации автоматизированных систем на объектах информатизации.
При этом обеспечение IT-бе-зопасности должно осуществляться на всех стадиях процесса эксплуатации автоматизированной системы: при подготовке к эксплуатации, при вводе в эксплуатацию, в ходе непосредственной эксплуатации и при снятии системы с эксплуатации.
На стадии подготовки к эксплуатации важно провести следующие мероприятия:
* категорирование безопасности системы;
* оценка риска нарушения IT-безопасности;
* задание требований IT-безопасности;
* выбор мер и средств обеспечения безопасности информационных технологий.
На стадии ввода в эксплуатацию:
* реализация мер и средств обеспечения IT-безопасности;
* оценка соответствия мер и средств обеспечения IT-безопасности заданным требованиям.
На стадии эксплуатации:
* применение мер и средств обеспечения IT-безопасности;
* мониторинг их безопасности.
На стадии снятия с эксплуатации:
* сохранение обрабатываемой информации;
* удаление информации с носителей информации.
Именно этим вопросам и посвящены разрабатываемые технические регламенты.
- Учитывался ли международный опыт при разработке технических регламентов?
- При подготовке проектов технических регламентов разработчики учитывали требования основных международных и национальных стандартов в области безопасности информационных технологий. Среди них: международные стандарты ISO/IEC 17799, 13335; национальные стандарты BS 7799 и CobiT; разрабатываемый международный стандарт ISO/IEC 19791; серия нормативных документов NIST США.
- Каковы сроки разработки проектов?
- Сроки очень сжатые. Судите сами. Начало работы над техническими регламентами - март текущего года. В июле состоялись первые общественные слушания по обсуждению проекта технического регламента "О безопасности информационных технологий". В сентябре планируется проведение общественных слушаний по обсуждению двух проектов технических регламентов. А в итоге заказчику, которым является Минпромэнерго России, согласованные проекты технических регламентов должны быть представлены в конце текущего года.
Журнал "Information Security/ Информационная безопасность" #4, 2005