Контакты Скачать
  • Главная
  • Компания
  • История
  • Акционерам и инвесторам
  • Регалии
  • Лицензии и сертификаты
  • Партнеры
  • Руководство
  • Проектный опыт
  • Отзывы заказчиков
  • Пресс-центр
  • Карьера
  • Продукты
  • БДМ
  • ЗАСТАВА
  • Продукты других производителей
  • Услуги и решения
  • Соответствие требованиям
  • Аудит ИБ
  • Облака и виртуализация
  • Управление ИБ
  • Управление доступом
  • Сетевая безопасность
  • Защита приложений
  • Поддержка и аутсорсинг
  • Защита АСУТП
  • Защита ГИС
  • Защита от вредоносного кода, спама и контроль трафика
  • Центр компетенции
  • FAQ
  • Экспертный совет
  • Комментарии экспертов
  • Материалы мероприятий
  • Информаториум
  • Видео и скринкасты
  • Новости
  • Мероприятия
  • Календарь мероприятий
  • Партнерам
  • Архив мероприятий
  • Что день грядущий нам готовит? Обзор ближайших перспектив развития нормативной базы ФСТЭК России в области защиты информации

    02.03.2021
    Булаев Михаил Александрович, ведущий консультант-аналитик

    Несмотря на продолжающуюся пандемию и связанные с ней ограничения, первая половина февраля этого года ознаменовалась целой серией публичных мероприятий, посвящённых рассмотрению актуальных вопросов, связанных с необходимостью обеспечения безопасности информации в современных условиях и в самых разных направлениях.
    К ним относятся:
          • Национальный форум информационной безопасности "Инфофорум-2021" (3-4.02.2021, Москва);
          • Конференции "Защита информации в АСУ ТП. Безопасность критической информационной инфраструктуры" и "Актуальные вопросы защиты информации", проведённые в рамках форума "Технологии безопасности 2021" (9-11.02.2021, Москва);
          • Форум "Кибербезопасность – наши дни. Промышленные технологии" (17-19.02.2021, Магнитогорск).

    На этих мероприятиях выступили представители ФСТЭК России, которые озвучили своё видение сложившейся к началу 2021 года ситуации в стране в части выполнения обязательных требований в области обеспечения безопасности информации и ближайшие перспективы развития соответствующей нормативной базы, которая, с одной стороны, должна учитывать динамику развития и внедрения во все сферы жизни и производства информационных технологий (так называемая "цифровизация"), с другой – постоянное совершенствование средств и способов "информационного" нападения, в результате чего постоянно возрастает ущерб, причиняемый государственным органам, бизнесу, отдельным субъектам и государству в целом.

    Перечисленные мероприятия, в основном, были нацелены на обсуждение следующих тем:
          • анализ текущего состояния реализации требований Федерального закона от 26 июля 2017 г. № 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации" и разъяснение проблемных вопросов, возникающих при выполнении субъектами КИИ этих требований;
          • обсуждение проблем ИБ при организации удалённого доступа, что особенно актуально в условиях продолжающейся пандемии коронавируса;
          • совершенствование требований к средствам защиты информации (СЗИ) и методического аппарата для оценки их выполнения при сертификации СЗИ.

    Ниже приведен краткий обзор взглядов регулятора на перечисленные вопросы.

    О реализации требований Федерального закона от 26 июля 2017 г. № 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации"

    • О проблемах категорирования объектов КИИ:
          • по состоянию на февраль 2021 года категорирование объектов КИИ проведено только в объеме от 1,5% до 50-60% по разным отраслям, в которых функционируют субъекты КИИ;
          • при оценке показателя экономической значимости вследствие снижения уровня дохода в результате воздействия компьютерной атаки на объект КИИ необходимо рассматривать не среднегодовые потери, а потери, вызванные успешной реализацией конкретного негативного воздействия (компьютерной атаки);
          • при оценке потерь, наступающих в случае успешной реализации компьютерной атаки на объект КИИ, необходимо учитывать, что эти потери часто в значительной степени зависят от возможностей предприятия по локализации и устранению последствий атаки. Таким образом, последствия от компьютерной атаки должны учитываться на временном промежутке, предшествующем моменту восстановления плановых показателей функционирования объекта КИИ;
          • в составе подаваемых во ФСТЭК России сведений субъект КИИ обязан предоставить подробные расчёты показателей категорий значимости. Для единообразного подхода к соответствующим расчетам ФСТЭК России готовит проекты методик по расчёту экономических показателей и расчёту ущерба по социальному показателю. При этом если тот или иной показатель значимости, установленный постановлением Правительства Российской Федерации от 8 февраля 2018 г. № 127, неприменим к объекту КИИ, то субъект КИИ должен обосновать, по какой причине он неприменим;
          • категорирование вновь создаваемых объектов КИИ необходимо проводить на этапе разработки ТЗ на создание этих объектов;
          • примерное время, в течение которого субъект КИИ должен получить уведомление от ФСТЭК России по результатам анализа представляемых субъектом КИИ результатов категорирования и решении о внесении данных об объектах КИИ в соответствующий реестр (присвоение ему реестрового номера), определяется следующим образом: 30 дней на рассмотрение представленных сведений + 10 дней на подготовку ответа + время, необходимое на доставку ответа почтой. Таким образом, реально такой срок может составлять до двух месяцев.

    • О предоставлении субъектами КИИ данных во ФСТЭК России об объектах КИИ, о результатах их категорирования и сведений об изменении этих данных:
          • при изменении собственника объекта КИИ необходимо уведомлять ФСТЭК России. Причем уведомлять должны две организации – и прежний собственник, и новый;
          • если изменилась информация о лице, эксплуатирующем объект КИИ, то об этом необходимо оповестить ФСТЭК России в 30-тидневный срок;
          • такая же ситуация и в случае выведения из эксплуатации значимых и незначимых объектов КИИ – об этом необходимо в 30-тидневный срок уведомлять ФСТЭК России;
          • в случае принятия решения о переводе незначимого объекта КИИ в значимые необходимо направлять во ФСТЭК России информацию об этом и соответствующее обоснование;
          • если на объекте КИИ изменился состав технических средств или состав применяемых мер защиты, то об этом необходимо уведомлять ФСТЭК России в сроки, не превышающие 30 дней со времени внесения изменений;
          • о любых произошедших изменениях на объектах КИИ ФСТЭК России самостоятельно уведомляет НКЦКИ.

    О мерах защиты информации при организации удалённого доступа

    В условиях продолжающейся пандемии весьма острой продолжает оставаться проблема обеспечения безопасного удалённого доступа пользователей к информационным системам, в том числе и с использованием личных компьютеров.

    ФСТЭК России, в том числе и с учётом экономических факторов, для организации защищённого удаленного доступа к государственным ИС (ГИС) с использованием личных устройств пользователей предложила использовать концепцию LiveUSB. В принципе такой подход есть не что иное, как развитие давно известной концепции использования сотрудниками собственных устройств (Bring Your Own Device, BYOD).

    Концепция LiveUSB предполагает использование специального защищённого USB-флеш-накопителя, подключаемого к личному компьютеру, с которого можно загружаться, подключаться к ГИС и работать со служебными документами вне защищённого периметра ГИС.
    По мнению ФСТЭК России концепция LiveUSB должна предусматривать применение не любого USB-накопителя, на который установлены какие-то сертифицированные средства защиты, а только сертифицированного, отвечающего специальным требованиям. На этой специальной LiveUSB должны быть установлены соответствующие средства защиты, обеспечивающие доверенную загрузку, двухфакторную аутентификацию, СКЗИ, средства удалённого управления и сертифицированная ОС. В настоящее время в стадии завершения находится руководящий документ ФСТЭК России, устанавливающий требования к таким средствам.
    Документ будет предназначен для разработчиков LiveUSB, испытательных лабораторий и органов по сертификации.

    Вводимые требования будут применяться к программно-техническим средствам защиты информации, обеспечивающим безопасную дистанционную работу в информационной (автоматизированной) системе с использованием средств вычислительной техники, не входящих в состав указанной информационной (автоматизированной) системы.
    Подобные средства дистанционной работы могут применяться в ГИС до 1 класса защищённости включительно, в значимых объектах КИИ — до 1 категории включительно, в АСУ ТП — до 1 класса защищённости включительно, в ИСПДН — до 1 уровня защищённости включительно, в ИСОП — II класса.

    • Документ включает требования безопасности информации, предъявляемые к:
          • составу средства дистанционной работы;
          • конструкции защищённого носителя;
          • среде функционирования средства дистанционной работы;
          • уровню доверия средства дистанционной работы — не ниже 4 уровня доверия;
          • средству доверенной загрузки средства дистанционной работы — не ниже 4 класса защиты;
          • операционной системе средства дистанционной работы — тип «А» не ниже 4 класса защиты;
          • идентификации и аутентификации пользователей;
          • идентификации и авторизации средств вычислительной техники;
          • управлению доступом в средстве дистанционной работы;
          • администрированию и централизованному управлению средством дистанционной работы;
          • контролю целостности средства дистанционной работы;
          • регистрации и учету событий безопасности в средстве дистанционной работы.

    Важное замечание: требования к программно-техническим средствам, обеспечивающим безопасную дистанционную работу, не будут зависеть от класса защищённости ГИС, с которой будут работать эти средства. Другими словами, требования, предъявляемые к LiveUSB-средствам, будут сформулированы на базе самых жёстких требований, предъявляемых к ГИС 1-го класса защищённости.
    После выхода этого документа ФСТЭК России планирует внести соответствующие изменения в Требования о защите информации, не составляющей государственной тайну, содержащейся в государственных информационных системах, утверждённые приказом ФСТЭК России от 11 февраля 2013 г. № 17.

    О ближайших планах по совершенствованию нормативной базы

    И в заключение этого обзора немного о ближайших планах развития нормативной базы ФСТЭК России в области защиты информации.
    Пятого февраля 2021 г. ФСТЭК России утверждена новая Методика оценки угроз безопасности информации. Методика устанавливает новые подходы к моделированию угроз и фактически требует гораздо больших трудозатрат для разработки моделей угроз. Для использования этой методики потребуется существенная переработка Банка данных угроз ФСТЭК России (https://bdu.fstec.ru/). ФСТЭК России планирует выложить на свой сайт обновлённую версию Банка данных угроз в течение ближайших нескольких месяцев. Точные сроки пока неясны. Возможно, в обозримом будущем ФСТЭК России также выпустит в открытом доступе и средство автоматизации для моделирования угроз. Так что внедрение нового методического аппарата откладывается как минимум на несколько месяцев.

    Пока ясно одно – пересматривать разработанные по старым методикам модели угроз на функционирующие ИС не требуется. Их пересмотр с учетом новых методических подходов потребуется только при модернизации или развитии эксплуатируемых ИС, а также для вновь создаваемых ИС.

    • ФСТЭК России в обозримом будущем планирует разработать и ввести в действие следующие нормативные документы:
          • положение (порядок) организации и проведения работ по аттестации государственных информационных систем на соответствие требованиям о защите информации;
          • методические рекомендации по видам и методам испытаний при проведении аттестации объектов информатизации;
          • методические рекомендации по расчету показателей критерия социальной значимости (в дополнение к недавно утверждённым методическим рекомендациям по расчету показателей критерия экономической значимости);
          • методические рекомендации по управлению обновлениями;
          • планируется внесение изменений в Требования к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды, утвержденные приказом ФСТЭК России от 14 марта 2014 г. № 31 в части уточнения требований доверия, которым должны соответствовать применяемые СЗИ.

    • Планируется также разработка новых требований к средствам защиты информации, которыми должны руководствоваться разработчики средств защиты информации, испытательные лаборатории и органы по сертификации. К ним относятся:
          • требования по безопасности информации к средствам обеспечения безопасной дистанционной работы в информационных (автоматизированных) системах – для использования при сертификации средств обеспечения безопасной дистанционной работы;
          • типовая модель угроз для аппаратных средств;
          • новая методика анализа и поиска уязвимостей в ПО;
          • методика анализа и поиска уязвимостей и НДВ в аппаратных средствах.
    В ближайшее время также будет выпущена уточнённая версия ГОСТ Р 56939-2016 «Разработка безопасного программного обеспечения. Общие требования».

    Возврат к списку