Алексей Лукацкий.jpg
Алексей Лукацкий - менеджер по развитию
бизнеса Cisco Systems

Этот классический миф часто можно слышать из уст людей, которые не знакомы с руководящими документами отечественных регуляторов в области информационной безопасности, касающихся проверки соответствия тех или иных средств защиты разработанным ФСТЭК или ФСБ требованиям. Это совершенно не так.

Если посмотреть на существующие документы, на соответствие которым и проверяются средства защиты (документы ФСБ не рассматриваются):

• Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации.

• Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации

• Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа. Показатели защищенности от несанкционированного доступа к информации

• Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей

• Профиль защиты "Контролируемый доступ" (ПЗ КД)

• Профиль защиты "Меточная защита"

• Профиль защиты "Операционные системы"

• Профиль защиты "Одноуровневые операционные системы"

• Профиль защиты "Многоуровневые операционные системы"

• Профиль защиты "Операционные системы. Клиентские операционные системы"

• Профиль защиты "Системы управления базами данных"

• Профиль защиты "Межсетевые экраны корпоративного уровня"

• Профиль защиты "Межсетевые экраны провайдерского уровня"

• Профиль защиты "Средства построения виртуальных локальных вычислительных сетей"

• Профиль защиты "Средства построения виртуальных частных вычислительных сетей"

• Профиль защиты "Удостоверяющие центры инфраструктуры открытых ключей"

• Профиль защиты "Билинговые системы"

• Профиль защиты "Средства защиты ресурсов компьютера от несанкционированного доступа на начальном этапе его загрузки".

Ни в одном из этих документов, нет ни одного критерия, связанного с работоспособностью тестируемой системы. Более того, на заре становления системы сертификации средств защиты в России, на рынке регулярно появлялись продукты, которые имели сертификат, но были неработоспособны, регулярно «вешали» защищаемую систему и постоянно сбоили. Сейчас такое почти не встречается, но критерии оценки средств защиты с момента их разработки в 1992 году так и не менялись.