Журнал "Information Security/ Информационная безопасность" #5, 2023

46 • СПЕЦПРОЕКТ – Какие нормативные требова- ния вам показались наиболее интересными для реализации в вашей практической деятель- ности? – Наиболее интересным показался про- ект методического документа по модели- рованию угроз безопасности информации. Отечественная отрасль ИБ оказалась в какой-то момент в ситуации, когда для оценки и моделирования угроз приходи- лось опираться на зарубежные популяр- ные модели, такие как Cyber Kill Chain и MITRE ATT&CK. Безусловно, отличное начинание регулятора – приступить к соз- данию аналогичного по удобству фрейм- ворка для проведения соответствующего анализа релевантных угроз для каждого защищаемого объекта. – Для каких изменений в нор- мативные требования настало время или настанет в ближайшие 2–3 года в вашей области? – Полагаю, в этой части нет и не будет никаких сюрпризов. Области, где прямо сейчас необходимы уси- лия, экспертам ФСТЭК России пре- красно известны. Во многом это тре- бования к наиболее популярным средствам защиты информации, например к многофункциональным межсетевым экранам и иным реше- ниям, уже активно применяющимся "в поле", но слабо описанным в нор- мативно-правовой сфере, в том числе по причине того, что ранее эти ниши были плотно заняты зару- бежными производителями, уже покинувшими российский рынок. ФСТЭК России проводит в данном направлении большую работу, хочет- ся пожелать сотрудникам Службы сил в этом непростом деле. Павел Кузнецов, директор по стратегическим альянсам и взаимодействию с органами государственной власти группы компаний “Гарда” ФСТЭК России на протяжении всего срока своей деятельности решает одну из важнейших задач в части инженерно-технической защиты информации – приземляет “ космических фантазеров" и систематизирует, классифицирует базу знаний в области информационной безопасности в стройный набор документов и рекомендаций. Это нужная и важная работа, нацеленная на то, чтобы мы все, и производители, и сервис-провайдеры, и клиенты, существовали в едином понятийном инфополе и общались друг с другом на одном языке. Труд этот объемен и непрост. Поэтому желаем ФСТЭК России удачи, сил и свершений на пути! навливающих требования к обеспечению защиты информации в информационных системах различного назначения. И конечно, стандарты, выпускаемые техническими комитетами по стандар- тизации при прямом участии ФСТЭК России как в деятельности технических комитетов (в первую очередь это Техни- ческий комитет № 362 "Защита инфор- мации"), так и в непосредственной раз- работке стандартов. Наша сертифицированная продукция используется в самых разных проектах, поэтому спектр применяемых докумен- тов ФСТЭК России достаточно широк, многие из них являются полезными для нас. – Какие требования стоит осо- временить или даже отменить, с учетом изменившейся реальности в вашей области? – В современном мире мы живем и работаем в условиях постоянных и суще- ственных изменений как в нашей обла- сти деятельности, так и во многих других. Эти изменения происходят во многом благодаря непрекращающемуся техни- ческому прогрессу, который значительно ускорился в последние десятилетия. Но и текущая политическая обстановка, особенно после начала 2022 г., значи- тельно влияет на ситуацию в области обеспечения информационной безопас- ности и приводит к новым вызовам и угрозам, которым необходимо противо- стоять. Даже пандемия коронавируса значительно повлияла на отрасль, преж- де всего массовым переходом сотруд- ников различных организаций на уда- ленную работу и появлением необходи- мости обеспечения безопасности при таком переходе. В таких условиях, видимо, стоит гово- рить не об отмене или осовременивании каких-то частных требований, а о ком- плексной работе по постоянной и гар- моничной доработке существующих нор- мативных документов и стандартов для их приведения в соответствие с текущи- ми реалиями. Мы видим, что эта работа ведется непрерывно и успешно. В качестве при- мера можно привести оперативную реак- цию ФСТЭК России на упомянутый пере- ход к удаленной работе, вызванный пан- демией коронавируса, когда были в сроч- ном порядке разработаны и выпущены требования, регулирующие и разъясняю- щие порядок обеспечения защищенной удаленной работы. – Для каких изменений в нор- мативные требования настало время или настанет в ближайшие 2–3 года в вашей области? – С нетерпением ждем появления семейства стандартов по разработке безопасного программного обеспечения (разрабатываемых сейчас в рамках дея- тельности ТК 362), а также соответ- ствующих изменений в нормативных документах по сертификации средств защиты информации – они уже были анонсированы. Упомянутые выше приказы ФСТЭК России, прежде всего приказ № 239, устанавливающий требования по обес- печению безопасности значимых объ- ектов критической информационной инфраструктуры, на наш взгляд, также нуждаются в актуализации в соответ- ствии с текущими угрозами и возмож- ностями.