Rambler's Top100
Блоги Андрей ПРОЗОРОВ

Что ФСТЭК грядущий нам готовит: 3 важнейшие новости

  12 февраля 2016 Страница персоны

Сегодня в рамках ТБ Форума ФСТЭК России проводит (пока я пишу этот пост, она еще идет) ежегодную большую сессию, посвященную "актуальным вопросы защиты информации". А по сути, отчитываются о результатах своей деятельности, рассказывают о планах и отвечают на вопросы посетителей. 

Мероприятие кране интересное и полезное. Оно определяет направление развития отечественного ИБ (особенно для гос.органов) на ближайший год. Контента (презентаций) очень много, я успел послушать следующие:

  • Совершенствование нормативного и методического обеспечения вопросов защиты информации
  • Проблемные вопросы сертификации средств защиты информации. Подходы по совершенствованию качества ССЗИ
  • Особенности аккредитации испытательных лабораторий и органов по сертификации
  • Совершенствование требований по защите информации, предъявляемых к межсетевым экранам
  • О мерах по повышению лицензионных требований к соискателям лицензий и лицензиатам
  • Банк данных угроз безопасности информации и уязвимостей программного обеспечения: реалии и перспективы

 

Сейчас буду готовить аналогичный прошлогоднему большой пост по теме. Но пока расскажу о трех важнейших, на мой взгляд, новостях.

1. Планируется расширить область действия Приказа 17 на все гос.органы, а не просто на ГосИС

В ближайшие дни на http://regulation.gov.ru ожидаем появление законопроекта, вносящего изменения в 149-ФЗ и расширяющего понятие "государственная информационная система". При действующей редакции "хитрые"/"мудрые" гос.органы обычно отказывались признавать свои ИС "государственными". Это обосновывали тем, что они НЕ были "созданы на основании соответственно федеральных законов, законов субъектов Российской Федерации, или на основании правовых актов государственных органов", а также их ИС отсутствуют в реестре ГосИС (например, этом). 

Новость ожидаема, ведь в связи с устареванием СТР-К, именно 17 приказ можно считать его преемником. 

Что это за собой влечет: гос.органы получат расширенный перечень обязательных мер защиты, обязательную аттестацию (правда можно будет отказать от аттестации неважных систем/не содержащих государственную  (служебную) информацию, хотя порядок такого отказа не определен) и обязательное использование сертифицированных СЗИ.

Но тема может и не пройти, например, Минэкономразвития России в последнее время часто блокирует/затормаживает законопроекты, которые требуют увеличения финансирования гос.органов... Слышал, что из-за них мы так и не можем до сих пор увидеть финальную версию закона о КИИ (КВО)...

2.Необходимо будет использовать СЗИ, сертифицированные по 4 НДВ, для всех (любых) ИС в гос.органах

Тут все просто, в этом году планируется обновление Приказа 17 (об этом я напишу подробно в следующем посте). В частности, изменятся подход к классификации ИС и требования классам СЗИ. Сертификация СЗИ по 4 НДВ необходима будет для всех классов ИС:

Об этом не говорится явно, но, по сути, угрозу наличия программных закладок теперь считают априори актуальными...

Что это за собой влечет: производителям СЗИ, если конечно они захотят продавать их гос.органам, придется проходить сертификацию и по 4 НДВ. Хотя многие и так это делают... 

3.Планируется обязать лицензиатов ФСТЭК России внедрять у себя СМК и СМИБ 

Многие из нас (и я в том числе) не придали особого значения (просто не успели посмотреть внимательно) проект Постановления Правительства РФ "О внесении изменений в некоторые акты ‎Правительства Российской Федерации по вопросам лицензирования ‎отдельных видов деятельности". В частности, в нем появились требования о наличии у соискателя лицензий ФСТЭК России (см. определенные виды деятельности) Системы Менеджмента Качества (СМК) и Системы Менеджмента Информационной Безопасности (СМИБ). Да-да-да, это именно ISO (ГОСТ) 9001 и ISO (ГОСТ) 27001. ;)))

Подтверждать предлагается либо наличием формального сертификата (но не понятно, кто имеет права такие сертификаты выписывать, в частности, по ГОСТ 9001 вообще бардак, "бумажку" можно получить за сравнительно небольшие деньги, 30-50 т.рублей, а по ГОСТ 27001 я не встречал ни одну компанию, аккредитованную на проведение работ по сертификации) или просто декларацией руководства организации о соответствии (по сути, ценность такой декларации такая же, что и у "странных" контор выписывающих сертификаты по ГОСТ 9001). Также ФСТЭК России планирует проверять реализованность соответствующих процессов, а не просто наличие "подтверждающей бумаги"... Вот как-то так.
Если проект Постановления будет утвержден, то новым лицензиатам придется подавать соответствующие сведения, предварительно внедрив необходимые Системы Менеджмента, а обладателей бессрочных лицензий вполне могут проверить на соответствие. Имеют право...

Что это за собой влечет: лицензиатам придется внедрять необходимые Системы Менеджмента.

Это главные новости. Про все остальное напишу отдельный пост.

Из блога Андрея Прозорова

Оставить свой комментарий:

Для комментирования необходимо авторизоваться!

Комментарии по материалу

Данный материал еще не комментировался.