ГТК вводит новые ГОСТы по защите информации
Государственная техническая комиссия при президенте России завершает апробацию новых ГОСТов в сфере безопасности информационных систем. Требования этих стандартов соответствуют Common Criteria, что расширяет возможности отечественных производителей ПО. Сертификаты, полученные в России, будут признаваться на международном уровне. Начальник управления Гостехкомиссии Юрий Лаврухин заявил, что они вступят в силу с 1 января 2004 г. Однако еще предстоит разработать около 20 нормативных документов. По словам Игоря Калайды, заместителя начальника отдела лицензирования и сертификации Гостехкомиссии России, пока разработаны 12 профилей и 2 требования. Они проходят апробацию и, после вступления в силу, полностью заменят старые ГОСТы.Новые стандарты соответствуют Common Criteria
Прошло два года с тех пор, как было принято решение о разработке новых отечественных стандартов безопасности информационных систем. Тогда с этой целью была создана межведомственная рабочая группа, она проработала около полугода. Новые стандарты постепенно заменяли старые, и проходили, таким образом, апробацию. Как сообщил Игорь Калайда, 26 марта, Совет Безопасности России принял решение об их признании.
После этого решения, на следующий день, 27 марта 2003 г., Гостехкомиссия России провела семинар-совещание для представителей государственных министерств, ведомств и институтов, где также присутствовали менеджеры ряда компаний. До участников были доведены предварительные результаты разработки и апробации нормативных документов, подготовленных в соответствии с методологией ГОСТ Р ИСО/МЭК 15408-2002 «Критерии оценки безопасности информационных технологий» (Общие критерии), а также перспективы и порядок использования этих нормативных документов и др. вопросы. В работе семинара приняли участие представители Аппарата Совета Безопасности РФ, комитета Государственной думы по безопасности, Госстандарта России, Минсвязи, Минатома, Минпромнауки, Минэкономразвития, ФАПСИ, ФСБ, Центробанка, ассоциаций и ведущих отечественных компаний-разработчиков средств защиты информации и защищенных систем обработки информации.
После семинара в Каминном зале Культурного Центра Вооруженных Сил России прошла расширенная пресс-конференция с участием более 25 представителей различных изданий. На ней начальник управления Гостехкомиссии России генерал-лейтенант Юрий Лаврухин рассказал о новых российских требованиях в области защиты информации. В мероприятии приняли участие Арнольд Каландин, советник председателя Гостехкомиссии России, Владимир Кудрявцев, заместитель генерального директора госпредприятия по поставкам продукции Управления делами президента РФ, Владимир Герасименко, начальник государственного научно-исследовательского испытательного института проблем технической защиты информации, а также сотрудники Гостехкомиссии, непосредственно работающие в сфере тестирования и сертификации.
Новые стандарты – новые возможности
На семинаре и пресс-конференции было заявлено, что отечественные стандарты, соответствующие по своим требованиям Common Criteria, уже более полугода проходят апробацию в России в качестве государственных стандартов (ГОСТов). А с 1 января 2004 г. вступают в силу
По словам Юрия Лаврухина, работы по апробации этих стандартов, основанных на Common Criteria, продлятся еще около года. Напомним, что сейчас каждая организация, устанавливающая у себя ПО, требующее сертификацию на безопасность, обязаны ее провести для себя. Таким образом, один и тот же продукт несколько раз проходит процедуру сертифицикации. Ожидается, что принятие новых стандартов и взаимное международное признание сертификатов Common Criteria позволит
Гостехкомиссия выходит в интернет
Юрий Лаврухин и Владимир Герасименко, начальник государственного научно-исследовательского испытательного института проблем технической защиты информации, также сообщили, что в ближайшие месяцы у этого Института появится свой сайт. На предложение CNews.ru о размещении на нем материалов прошедшего семинара-совещания, Юрий Лаврухин сказал, что подумает об этом.
Гостехкомиссия России (Государственная техническая комиссия при президенте Российской Федерации), ее основные задачи
Common Criteria
В рамках Международной организации по стандартизации (ISO) представители государств-участниц разработали стандарт безопасности, призванный отразить возросший уровень сложности технологий и новые потребности в международной стандартизации.Этот стандарт получил название Common Criteria for Information Technology Security Evaluation (CCITSE), и обычно называется просто Common Criteria. Он был разработан в связи с потребностью в пересмотре американского стандарта US Trusted Computer Systems Evaluation Criteria (TCSEC) и его европейского аналога European ITSEC.
В соответствии с Common Criteria, продукты определенного класса оцениваются на соответствие разработанных профилей защиты (Protection Profiles) – функциональных критериев и критериев надежности. Этот стандарт также устанавливает, в соответствии с возросшими требованиями, уровни гарантированного соответствия - Evaluation Assurance Levels (EAL) - которые используются при оценке продуктов.