ФСБ или ФСТЭК: кто будет главным по безопасности информации?

Дата публикации: 3 февраля 2024

Вадим Владимирович Петров
Ведущий эксперт по защите информации

1044

В рамках реализации единого проекта «Цифровая экономика», предложенного Президентом РФ, в скором будущем предстоит определить единый госорган, ответственный за обеспечение и стандартизацию требований информационной безопасности в стране.

Кто управляет информационной безопасностью в России

Сейчас мероприятия и технические разработки в сфере обеспечения ИБ подконтрольны двум ведомствам:

ФСТЭК (Федеральная служба технического и экспортного контроля) — занимается вопросами сертификации средств защиты информации, аттестации рабочих мест по требованиям безопасности информации, противодействия иностранным техническим разведкам и т.д. В ведении Службы находится работа с техническими средствами защиты данных, не использующими криптографические алгоритмы шифрования информации.

ФСБ (Федеральная служба безопасности), а точнее Отдел лицензирования и сертификации — отвечает за регулирование работы со средствами негласного получения информации, защиту государственной тайны, разработку и оборот технических средств криптографической защиты данных.

На сегодняшний день в рамках обеспечения информационной безопасности используются комплексные технические средства и программное обеспечение, которые зачастую подпадают под регулирование сразу двух ведомств: устройства и ПО подвергаются проверкам дважды — со стороны ФСТЭК и ФСБ. Это означает увеличение сроков сертификации, удорожание конечного продукта, лишнюю бюрократию и т.д. В результате разработчики средств ТЗКИ при всём желании не успевают оперативно вывести на рынок решения, способные противостоять новым угрозам безопасности ИС.

Возможное решение проблемы

Разработчики раздела «Информационная безопасность» предлагают перенять опыт США, где регулирование всех технических вопросов безопасности информации находится в компетенции единого органа NIST — Национального института стандартов и технологий. Именно он разрабатывает и вводит в действие единые требования и стандарты для технических и программных решений в сфере ИБ, а европейские стандарты попросту «копируют» требования, ссылаясь на разработки и авторитет NIST

Определение единого органа, ведающего вопросами стандартизации требований к техническим средствам защиты информации, по прогнозам разработчиков позволит исключить дублирование контрольных и аттестационных мероприятий, сделать требования к техническим решениям более открытыми и унифицированными.

Однако ряд экспертов и практиков в сфере ИБ сомневаются, что передача полномочий одному из регуляторов — верное решение, и аргументируют это так:

Во-первых, отнесение вопросов стандартизации и контроля исполнения требований к защите информации к исключительному ведению ФСБ или ФСТЭК подразумевает потерю ряда существенных полномочий. Вряд ли какое-то из ведомств согласится на это.

Во-вторых, видится логичным нынешнее разделение сфер защиты информации по ведомствам. Сейчас ФСТЭК занимается вопросами сертификации СЗИ и соответствия создаваемых информационных систем требованиям информационной безопасности. Если же нужна более «серьёзная» защита средствами криптографии или работа с государственной тайной — придётся пройти специфическую проверку и получить соответствующий сертификат или лицензию ФСБ на гостайну.

Напомним, что идея отнести вопросы технической защиты информации исключительно к компетенции ФСТЭК или ФСБ зрела уже давно, её предлагали осуществить при разработке проектов закона о безопасности КИИ, поправок к закону о защите информации, а также в рамках экспертного обсуждения вопросов информационной безопасности.

Пока неясно, кто станет ответственным за унификацию требований к ИБ и сертификацию технических средств защиты информации, мы помогаем разобраться в существующих требованиях и получить нужную вам лицензию и сертификат ФСТЭК и ФСБ. Обращайтесь!

Нужна косультация по лицензированию ФСБ?

Проконсультироваться