БОЛЬШЕ ГОДА назад по поручению Межведомственной комиссии по информационной безопасности Совета безопасности РФ Государственная техническая комиссия приступила к внедрению международных стандартов оценки защищенности информационных систем.
Во всем мире широко применяется стандарт ISO 15408, известный как Common Criteria («Общие требования»). Он позволяет объективно оценивать защищенность информационных продуктов, в том числе ПО. В стандарте описаны так называемые «профили защиты» — набор функциональных критериев и параметров надежности для разных классов информационных продуктов. Предусмотрены и профили, обеспечивающие оценку комплексных решений для локальных и глобальных сетей, включая VPN. Ряд профилей защиты являются общими для всех стран, поддерживающих данный стандарт, а некоторые разработаны с учетом национальных особенностей в практике информационной защиты.
В апреле прошлого года Common Criteria приняты в России в качестве государственного стандарта, который будут введен в действие с 1 января 2004 года. Сейчас идет практическое апробирование заложенных в них спецификаций. По мнению сотрудника Гостехкомиссии Игоря Кологея, необходимо создать методики и документацию, которые позволят максимально быстро и корректно проводить работы по сертификации продуктов и систем.
«Принятие Россией международных стандартов в той области, в которой она ранее обходилась исключительно собственными положениями, является несомненным достоинством», — считает начальник управления Гостехкомиссии Юрий Лаврухин. Сократятся расходы пользователей на сертификацию информационных продуктов, а российские разработчики наконец-то смогут продавать свои продукты за рубежом. В то же время останутся в силе национальные требования в области сертификации, позволяющие защитить государственные секреты.
Первыми продуктами, которые пройдут в нашей стране сертификацию по новому стандарту информационной защищенности, станут серверная ОС Windows Server 2003 и пользовательская ОС Windows XP. По информации Алексея Чубаря, руководителя отдела стратегических платформ .Net московского офиса Microsoft, эти операционные системы будут сертифицироваться на соответствие требованиям по защите от несанкционированного доступа и на предмет отсутствия незадекларированных возможностей. Заказчиком данной работы стало государственное предприятие по поставкам продукции для Управления делами Президента РФ.