16 Марта, 2008

Зияющие высоты отечественной сертификации СрЗИ

Вадим Грибунин
Вот смотришь на деятельность центра компьютерной безопасности НИСТ США – и диву даешься! За неполных 5 лет – более 100 рекомендаций и публикаций. А что у нас? – РД Гостехкомиссии, которым уже «сорок лет в обед»… Где, где требования к антивирусным средствам, средствам обнару-жения и предотвращения атак, средствам управления безопасностью, средст-вам активного аудита безопасности, средствам организации VPN, аппарат-ным средствам аутентификации пользователей, в том числе, биометрическим и т.д. и т.п. и так далее?
Не существует требований безопасности информации для СУБД – они рассматриваются как СВТ, хотя здесь все намного сложнее.
Отсутствуют нормативные документы, регламентирующие использо-вание PKI – аналоги рекомендациям Х.500, Х.509.
Да и вообще - рассматриваются в основном 2 типа объектов оценки: АС и СВТ. Получается следующий парадокс: сертификации подлежат СрЗИ, а требования имеются для АС и СВТ. Конечно, к СрЗИ в широком смысле относятся и системы, в которых они реализованы, но все же…
Короче, что-то неладно в датском королевстве (с) W.S.
или введите имя

CAPTCHA