Деятельность по технической защите конфиденциальной информации направлена на обеспечение защиты государственной и коммерческой тайны от утечки и незаконного распространения. В сложившейся ситуации, когда программное обеспечение имеет незадекларированные возможности, а зарубежное оборудование имеет технические сбои, деятельность по защите требует высокого уровня компетенции, что требует ее лицензирования. Получить разрешение может как компания, так и индивидуальный предприниматель, при условии, что они соответствуют требованиям. Одна из сфер технической защиты информации, для которой выдаётся ФСТЭК лицензия по защите гостайны.
Федеральная служба по техническому и экспортному контролю (ФСТЭК) — сложная тема, но ее необходимо изучить, чтобы понять, как это строгое российское регулирование влияет на производителей средств кибербезопасности и системных интеграторов.
Что такое ФСТЭК и что она диктует?
Задачей Федеральной службы по техническому и экспортному контролю (ФСТЭК) является надзор за соблюдением требований кибербезопасности объектов, имеющих решающее значение для экономики России: банковского дела, связи, здравоохранения, производства и распределения электроэнергии, атомных электростанций, нефтегазовой отрасли. . Эти системы подпадают под определение «Ключевые объекты инфраструктуры» (также известные как «КИФ») и подпадают под действие Федерального закона №. 187, согласно которому целью службы ФСТЭК является регулирование соответствия CIF с точки зрения промышленной кибербезопасности.
Когда Федеральный закон №. 187, средство защиты информации, которое необходимо интегрировать в российскую КИФ, должно быть сертифицировано в соответствии с процессом сертификации ФСТЭК.
Для этой сферы ФСТЭК также устанавливает технические меры, которые должны быть реализованы: идентификация и аутентификация (ИАФ), контроль доступа (УПД), антивирусная защита (АВЗ), информирование и обучение персонала (ИПО) и так далее.
Эти меры на самом деле имеют много общего с международным стандартом IEC 62443 в отношении хорошо известной стратегии всесторонней защиты, которую предлагает международный стандарт, и которая включает в себя безопасность предприятия, безопасность сети и целостность системы.
Стандарт FSTEC против стандарта IEC 62443
Чтобы гарантировать безопасность системы в соответствии с требованиями ФСТЭК, очень важно учитывать требования международного стандарта IEC 62443. Подобный подход к стратегии глубокоэшелонированной защиты в соответствии с IEC 62443 помогает реализовать безопасную и эффективную систему в том числе и в соответствии с ФСТЭК.
Тем не менее, мы должны учитывать, что международные производители средств защиты информации сталкиваются с рядом ограничений при подходе к процессу сертификации ФСТЭК.
Во-первых, подать заявку на сертификацию можно только при наличии у соискателя лицензии ФСТЭК на разработку и производство средств защиты информации. Такая лицензия предоставляется только российским юридическим лицам, персонал и оборудование которых находится на территории России.
Кроме того, необходимо раскрыть открытый код российским лабораториям и органам по сертификации; ФСТЭК ставит своей целью сокращение присутствия иностранного оборудования, работающего на российских КИФ, вынуждая владельцев КИФ использовать отечественные средства защиты информации.
Несмотря ни на что, ФСТЭК не полностью закрывает двери международным системным интеграторам. Как уже говорилось, подход очень похож на IEC 62443, где работа в соответствии со стандартной стратегией глубокоэшелонированной защиты может помочь в любом случае разработать безопасную систему для интеграции в систему промышленной автоматизации и управления в России.