17 июня 2024 г.
АРПП «Отечественный софт» направила ФСТЭК письмо с предложением разработать стандарты и требования к новым классам средств защиты информации (СЗИ).
Средства защиты информации в России сформировались как отдельные классы систем кибербезопасности. Сегодня они успешно используются в госсекторе, банковской сфере, промышленности, здравоохранении, образовании, ритейле, телекоммуникациях и других критически важных отраслях. Однако в стране до сих пор отсутствует нормативно-правовое регулирование систем данного класса. Речь идет о следующих классах ПО:
- Средства управления инцидентами информационной безопасности (SOAR/IRP)
- Средства управления информацией об угрозах безопасности информации (TIP, UEBA)
- Средства автоматизации управления процессами информационной безопасности (SGRC).
В силу отсутствия требований по безопасности информации к перечисленным классам ПО возникает ситуация, при которой организации допускают использование opensource-решений из недружественных стран, продолжают эксплуатацию зарубежных решений, что увеличивает риски информационной безопасности, или нерационально тратят ресурсы, разрабатывая собственные продукты при наличии имеющихся на рынке, отмечает Олег Кравчук, член правления АРПП, руководитель ЦКР по СЗИ.
Также отсутствие четких требований к продуктам в этом классе создает сложности и для российских вендоров. По словам Романа Карпова, главы комитета по информационной безопасности АРПП, среди острых вопросов — отсутствие единой стандартизации, проблемы качества решений и их совместимости, сложности выбора ПО для заказчика из-за размытости критериев и функций безопасности. Вместе с тем, данные решения ориентированы преимущественно на крупные, системообразующие организации, в том числе, применяются для защиты субъектов КИИ.
В целях упорядочивания сложившейся ситуации и обеспечения защиты объектов КИИ, ГИС, АСУТП, ИСПДн Ассоциация «Отечественный софт» предложила ФСТЭК разработать стандарты и требования по безопасности информации к новым классам СЗИ. Совместно с ведомством эксперты АРПП готовы участвовать в разработке соответствующих документов и формировании перечня реализуемых функций безопасности
Источник: Пресс-служба АРПП «Отечественный софт»