Rambler's Top100
Блоги Андрей ПРОЗОРОВ

Что ФСТЭК грядущий нам готовит. Большая заметка

  16 февраля 2016 Страница персоны

Продолжаем писать про новости от ФСТЭК России. В четверг я уже озвучил три важнейшие, а сегодня расскажу про все остальное.

Напомню, что в четверг (11.02.2016) на конференции ТБ Форум коллеги из ФСТЭК России отвечали на вопросы и прочитали много презентаций про работу службы (их можно скачать тут), вот их перечень:

  • Совершенствование нормативного и методического обеспечения вопросов защиты информации
  • Проблемные вопросы сертификации средств защиты информации. Подходы по совершенствованию качества ССЗИ
  • Особенности аккредитации испытательных лабораторий и органов по сертификации
  • Совершенствование требований по защите информации, предъявляемых к межсетевым экранам
  • О мерах по повышению лицензионных требований к соискателям лицензий и лицензиатам
  • Банк данных угроз безопасности информации и уязвимостей программного обеспечения: реалии и перспективы

Итак, про что нам рассказали!

1. Про обновление Приказа ФСТЭК России №17

  • В прошлом году ФСТЭК России собирали замечания и предложения для обновления Приказа №17, их подали 15 экспертов (и я в том числе). По результатам их анализа регулятор подготовил обновленную версию документа, которую в ближайшие дни опубликуют на сайте. 
  • В новой версии будет пересмотрен перечень мер (его должны были выровнять с Приказом №31), будут добавлены положения про необходимые документы по ИБ (но без конкретных их названий), этап формирования модели угроз перенесут в стадию разработки системы защиты информации, скорректируют подход к классификации ИС (отказались от 4го класса в виду его неактуальности, общий подход будет аналогичен Приказу №31) и к соответствующим им классам СЗИ. Помимо этого планируется добавить требование по наличию сертификата по 4 НДВ для всех СЗИ в ИС (раньше было только для 1 и 2 уровня защищенности).

2. Про методику определения угроз 

  • В прошлом году ФСТЭК России выкладывали проект документа "Методика определения угроз безопасности информации в ИС" (про это я писал тут) и получили на него "67 страниц замечаний 10 шрифтом". "Все замечания просмотрели, все проанализировали. Были довольно-таки системные замечания, и это немного притормозило процесс ее утверждения и потребовало пересмотра и по содержательной части... Придется нам, мы уже почти все реализовали, изменить немножко документ"... "Общий вопрос методологии нам придется немного откорректировать, за замечания всем спасибо!"
  • В этом году ожидаем новую версию (проект) документа. Напомню, что одним из главных замечаний на первый проект было отсутствие привязки модели угроз к угрозам и уязвимостям из базы ФСТЭК России, но про нее чуть ниже.

3. Про анализ уязвимостей

  • "Надо переходить из формальных процедур аттестации в практическую плоскость". По сути, ФСТЭК России ориентируются на формальные требования про оценку уязвимостей. "В этом году акцентируем внимание на проведение таких работ. Все требования и нормы к этому заложены". По этому поводу готовят отдельный документ, в этом году его постараются утвердить.
  • "Мы полагаем, что у вас знаний должно быть достаточно для того, чтобы самим формировать, включать эти разделы в программу и методику аттестационных испытаний."
  • Также про устранение уязвимостей много говорили в рамках обсуждения сертификации СЗИ.

4. Про методические документы по Приказу №31

  • Ожидаем завершение подготовки методического документа "Меры защиты в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды" (по Приказу №31 по аналогии с методическими рекомендациями по Приказу №17).
  • При разработке методического документа ФСТЭК России столкнулись с необходимостью внесения изменений в сам Приказ №31 в части групп мер, возможно, что будут делать корректировки.

5. Про новые стандарты (ГОСТы) по ИБ

  • На данный момент уже утверждены ГОСТ Р 56546-2015 и ГОСТ Р 56545-2015 (про уязвимости), и скоро появятся еще несколько:

  • Отдельно хочу обратить внимание разработчиков СЗИ на стандарт по безопасной разработке ПО (его обсуждали в рамках ТК 362). В перспективе он может стать обязательным (но не в ближайшее время)...

6. Про требования к средствам защиты

  • За последние несколько лет у нас появилось много документов, содержащие требований к определенным классам СЗИ, ожидаем развитие этой практики:

  • А в обратили внимание, что некоторые документы, например, по DLP как-то "подзависли"? Их проекты мы обсуждали еще 2 года назад...

7. Про обновление требований к межсетевым экранам

  • Новые требования к межсетевым экранам утверждены 9 февраля 2016, а применяться они будут с 1 декабря 2016 года. Это связано с тем, что разработчиками и производителям потребуется подготовить свои средства и документацию.
  • В соответствующей презентации намного больше конкретики. Если интересно, то посмотрите самостоятельно.

8. Про сертификацию, лицензирование и аккредитацию:

  • Про сертификацию говорили мало. Отметили только то, что многие заявители слишком формально подходят к этому вопросу... Похоже, что ФСТЭК России усилит контроль по этому направлению.
  • Несколько слайдов про лицензирование:



9. Про базу угроз и уязвимостей 

  • База угроз и уязвимостей ФСТЭК России (http://bdu.fstec.ru) наполняется и развивается.
  • Показали статистику по угрозам и уязвимостям. Однако, обратите внимание, что это именно про базу, а не про угрозы и уязвимости "в реальной жизни".
  • Интересно сравнили различные международные базы данных уязвимостей
  • Рассказали про планы по развитию:
  • В частности, сейчас в перечне 182 угрозы и его планируют расширить еще на 150
  • Планируется добавить функционал выгрузки записей об уязвимостях и угрозах в соответствии с пользовательской выборкой, сделать личный кабинет и подписки на информацию, расширить классификационные признаки угроз, добавить новый раздел про небезопасные конструкции кода, добавить новые поля в описание уязвимостей.
  • Однако, самого главного, чего просили сделать пользователи базы, а именно, связать угрозы и уязвимости, в обозримом будущем мы не получим. Жаль...

 

 

Вот как-то так. Вроде бы рассказал про все основные темы, которые успели услышать и обсудить на конференции. Нового много, будем внимательно следить за появлением уже финальных (утвержденных) документов.

 Обязательно посмотрите еще и эти заметки:

 

Из блога Андрея Прозорова


Поделиться:

Оставить свой комментарий:

Для комментирования необходимо авторизоваться!

Комментарии по материалу

Данный материал еще не комментировался.