Главным препятствием на пути практической реализации полного спектра сервисов безопасности в России является преобладание "точечного" подхода, суть которого сводится к установке отдельных защитных средств без оценки архитектуры в целом и без учета изменений, неизбежных в процессе жизненного цикла информационной системы. К сожалению, большие системы устроены довольно сложно, и "откупиться" от этой сложности, приобретя несколько готовых продуктов, невозможно.
В силу специфики российского законодательства некоторые защитные средства, прежде всего, криптографические, должны разрабатываться уполномоченными организациями, имеющими соответствующие лицензии. На сегодняшний день спектр таких организаций (равно как и произведенных ими продуктов) весьма узок; очевидна тенденция к увеличению отставания от потребностей практики. Вероятно, только объединение усилий Гостехкомиссии России, ФАПСИ, разработчиков и системных интеграторов позволит переломить ситуацию.
Почти все описанные выше сервисы находятся вне сферы действия нормативных документов по сертификации. Опубликованные критерии оценки защищенности есть только у Гостехкомиссии России. Они адекватно описывают межсетевые экраны, с некоторой натяжкой их можно применять к средствам пассивного аудита и разграничения доступа. Все остальное остается белым пятном. Конечно, известны примеры сертификации новых защитных средств (например, средств контроля защищенности), но проводилась она по неадекватным критериям и, следовательно, носит формальный характер, не позволяющий оценить реальные качества анализировавшихся продуктов.
|
|
|
|
| Сервисы безопасности | Содержание | Заключение |
| Copyright ╘ 1993-2000, Jet Infosystems |