Совсем недавно стали ходить разговоры, что перспективы развития новых нормативно-методических документов ФСТЭК России связаны, все-таки, с концепцией «Общих критериев». Судя повсему, такие новые документы ФСТЭК (можно сказать, альтернативные традиционным РД Гостехкомиссии прошлого века) будут иметь подобную структуру:
Здесь для каждого из основных классов СЗИ будет разработан нормативный документ, классифицирующий этот класс СЗИ и определяющий соответствующие требования для профилей защиты. На основании ПЗ, в свою очередь, разработчики СЗИ будут легко создавать свои задания по безопасности, по которым и будут сертифицироваться конкретные продукты.
Как мы помним, 15 марта 2012 года вступили в силу нормативный документ и профили защиты, касающиеся систем обнаружения вторжений. Ожидается, что когда-то на базе «Общих критериев» будут разработаны требования к другим средствам защиты информации.
Что касается СОВ, то мы подготовили небольшую статью, которую можно уже прочитать в №3 журнала «Открытые системы» :
В апреле этого года был опубликован патент №114799 ЗАО «НПО «Эшелон» на полезную
модель «Система для определения программных закладок» (заявка от 29.12.11). Авторами
являются 7 сотрудников компании, в том числе Генеральный директор Алексей Марков.
Полезная модель касается компьютерных систем, а точнее систем автоматического составления
описания и кластеризации различных, в том числе и вредоносных объектов, и предназначена
для автоматического составления описания объектов на естественном языке в удобном для
восприятия формате, а также для обнаружения новых или потенциальных вредоносных объектов.
В разработке участвовали 7 сотрудников компании: Василий Вылегжанин, Алексей Маркин,
Алексей Марков, Роман Уточка, Андрей Фадин, Алексей Фамбулов, Валентин Цирлов.
Данная система заложена в фирменную разработку компании «Эшелон» — анализатор исходных текстов АК-ВС. Средство
предназначено для выявления недекларированных возможностей (НДВ) и анализа безопасности
программного кода. Продукт имеет сертификаты соответствия ФСТЭК России и Минобороны
России и является единственным сертифицированным средством проведения сертификационных
испытаний по 2 и 1 уровням контроля отсутствия недекларированных возможностей.
ФСТЭК опередила ФСБ и первой добилась принятия постановления Правительства о порядке лицензирования деятельности по ТЗКИ (ПП № 79). Потом было совместное (ФСТЭК и ФСБ) постановление о разработке и производстве СЗИ (ПП № 171). На нашем портале мы уже писали об этом.
И вот — свершилось!
16 апреля 2012 года подписано постановление Правительства РФ «Об утверждении Положения о лицензировании деятельности…» и далее весь пп. 1) части 1 статьи 12 закона «О лицензировании отдельных видов деятельности» 99-ФЗ.
Найти текст удалось пока только (спасибо Дмитирию Левиеву) здесь:
На сайте ФСТЭК России сегодня опубликован Перечень контрольно-измерительного и испытательного оборудования, средств контроля защищенности, необходимых для выполнения работ и оказания услуг, установленных Положением о лицензировании деятельности по технической защите конфиденциальной информации, утвержденным постановлением Правительства Российской Федерации от 3 февраля2012 г. № 79.
Как мы уже отмечали, теперь при лицензировании деятельности по ТЗКИ необходимо указывать конкретные виды работ или оказания услуг. Следовательно, для большинства соискателей нет необходимости покупать или брать в аренду контрольно-измерительное оборудование. Такие соображения вытекали из самих формулировок «Положения о лицензировании…»
И вот теперь регулятор развеял последние сомнения и даже сам определил КАКАЯ аппаратура нужна при выполнении тех или иных работ.