Во всем нужен порядок

Во всем нужен порядок

По итогам конкурса, проведенного в марте текущего года Минпромэнерго России, ФГУП НИИ «Восход» в кооперации с соисполнителями награжден за разработку проектов двух технических регламентов «О безопасности информационных технологий» и «О требованиях к средствам обеспечения безопасности информационных технологий». Наш корреспондент Игорь Иванов взял интервью у первого заместителя генерального директора института Караваешникова Евгения Константиновича

— Евгений Константинович, Вы являетесь руководителем проекта по разработке технических регламентов. Что Вы можете сказать о целях, объектах и сфере их применения?

— В настоящее время в институте ведется активная работа по созданию и уточнению первых редакций проектов технических регламентов. С целью организации их публичного обсуждения в Глобальной сети организован форум. Тексты проектов размещены на сайтах www.voskhod.ru, www.evraas.ru/as/index.htm.

Целями законопроектов стали защита жизни и здоровья граждан, имущества физических и юридических лиц, государственного и муниципального имущества — посредством установления требований, выполнение которых обеспечит безопасность применения информационных технологий.

Объектами технического регулирования являются процессы эксплуатации и средства обеспечения безопасности автоматизированных систем, нарушение штатного режима функционирования которых рискует привести к причинению существенного ущерба здоровью и имуществу граждан и государства.

Объектом действия безопасных информационных технологий должны быть, в первую очередь: экологически опасные производства, связь, энергетика, банковская сфера и электронная торговля. Здесь особенно важна целостность информации и санкционированная доступность информационных систем.

— Каким образом разработка технических регламентов способствует безопасности применения информационных технологий?

— Безопасность применения информационных технологий гарантируется, в основном, за счет выполнения нескольких процедур:

• обоснованного задания требований к безопасности, исходя из имеющихся угроз и возможного ущерба от нарушения ИБ;
• эффективным выбором и корректной реализацией мер и средств обеспечения безопасности информационных технологий в соответствии с установленными требованиями;
• соблюдением необходимых условий и требований к безопасности информационных технологий при эксплуатации автоматизированных систем на объектах информатизации.

При этом обеспечение IT-бе-зопасности должно осуществляться на всех стадиях процесса эксплуатации автоматизированной системы: при подготовке к эксплуатации, при вводе в эксплуатацию, в ходе непосредственной эксплуатации и при снятии системы с эксплуатации.

На стадии подготовки к эксплуатации важно провести следующие мероприятия:

• категорирование безопасности системы;
• оценка риска нарушения IT-безопасности;
• задание требований IT-безопасности;
• выбор мер и средств обеспечения безопасности информационных технологий.

На стадии ввода в эксплуатацию:

• реализация мер и средств обеспечения IT-безопасности;
• оценка соответствия мер и средств обеспечения IT-безопасности заданным требованиям.

На стадии эксплуатации:

• применение мер и средств обеспечения IT-безопасности;
• мониторинг их безопасности.

На стадии снятия с эксплуатации:

• сохранение обрабатываемой информации;
• удаление информации с носителей информации.

Именно этим вопросам и посвящены разрабатываемые технические регламенты.

— Учитывался ли международный опыт при разработке технических регламентов?

— При подготовке проектов технических регламентов разработчики учитывали требования основных международных и национальных стандартов в области безопасности информационных технологий. Среди них: международные стандарты ISO/IEC 17799, 13335; национальные стандарты BS 7799 и CobiT; разрабатываемый международный стандарт ISO/IEC 19791; серия нормативных документов NIST США.

— Каковы сроки разработки проектов?

— Сроки очень сжатые. Судите сами. Начало работы над техническими регламентами — март текущего года. В июле состоялись первые общественные слушания по обсуждению проекта технического регламента «О безопасности информационных технологий». В сентябре планируется проведение общественных слушаний по обсуждению двух проектов технических регламентов. А в итоге заказчику, которым является Минпромэнерго России, согласованные проекты технических регламентов должны быть представлены в конце текущего года.