Контакты Скачать
  • Главная
  • Компания
  • История
  • Акционерам и инвесторам
  • Регалии
  • Лицензии и сертификаты
  • Партнеры
  • Руководство
  • Проектный опыт
  • Отзывы заказчиков
  • Пресс-центр
  • Карьера
  • Продукты
  • БДМ
  • ЗАСТАВА
  • ПО ElvisSIM.OS
  • Продукты других производителей
  • Услуги и решения
  • Соответствие требованиям
  • Аудит ИБ
  • Облака и виртуализация
  • Управление ИБ
  • Управление доступом
  • Сетевая безопасность
  • Защита приложений
  • Поддержка и аутсорсинг
  • Защита АСУТП
  • Защита ГИС
  • Защита от вредоносного кода, спама и контроль трафика
  • Центр компетенции
  • FAQ
  • Экспертный совет
  • Комментарии экспертов
  • Материалы мероприятий
  • Информаториум
  • Видео и скринкасты
  • Новости
  • Мероприятия
  • Календарь мероприятий
  • Партнерам
  • Архив мероприятий
  • Новый год – новые требования. О конференции ФСТЭК России 16 февраля 2022 года

    10.03.2022 16 февраля 2022 года в рамках работы Форума "Технологии безопасности 2022" прошла очередная конференция "Актуальные вопросы защиты информации" с участием представителей ФСТЭК России. Как обычно, на конференции наибольший интерес общественности вызывали разъяснения со стороны регулятора по очередным нововведениям и изменениям нормативной базы в области защиты информации, произошедших в предшествующем году.

    Конференция началась с презентации начальника управления ФСТЭК России Шевцова Д.Н. по теме "Совершенствование требований по технической защите информации", которую можно разбить на следующие блоки:

    • Совершенствование системы сертификации средств защиты информации
    С 7 ноября 2021 года вступил в силу приказ ФСТЭК России от 5 апреля 2021 г. № 121 "О внесении изменений в Положение о системе сертификации средств защиты информации, утвержденное приказом Федеральной службы по техническому и экспортному контролю от 3 апреля 2018 г. № 55".

    Согласно этому приказу введены следующие изменения:
          • уточнены особенности сертификации средств защиты информации (СЗИ) иностранного производства;      
          • установлен новый порядок маркирования СЗИ (отменена необходимость использования для маркировки голографических наклеек – знаков соответствия);
          • изменен порядок отбора образцов СЗИ и порядок ознакомления с ними испытательных лабораторий и органов по сертификации;
          • упрощен порядок продления сроков действия сертификатов соответствия.

    Высказано настоятельное требование к разработчикам (изготовителям) СЗИ в части выполнения ими обязанностей по приведению СЗИ до 1 января 2021 года в соответствие "Требованиям по безопасности информации, устанавливающим уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий" (утверждены приказом ФСТЭК России от 2 июня 2020 г. № 76). У средств защиты информации, в отношении которых не были проведены работы по их приведению в соответствие этим требованиям, будут отозваны сертификаты соответствия. Таких средств защиты на сегодняшний день насчитывается 78.

    Также было обращено внимание на необходимость применения в программно-аппаратных СЗИ отечественных аппаратных платформ (начиная с 5-го уровня доверия) и СВТ, являющихся средой функционирования СЗИ (с 3-го уровня доверия). Соответствующие требования вступили в силу с 1 января 2022 года.

    Анонсировано завершение разработки очередного нормативного документа – подготовлен проект "Требований по безопасности информации к средствам контейнеризации»", который будет введен в действие в течение этого года.

    ФСТЭК России подготовила курс видеолекций для специалистов испытательных лабораторий по основам проведения фаззинг-тестирования при проведении сертификационных испытаний средств защиты информации. Эти видеолекции будут выложены в открытый доступ по ссылке: https://bdu/education#/.

    • Совершенствование системы аттестации объектов информатизации на соответствие требованиям безопасности информации
    С 1 сентября 2021 года вступил в силу новый Порядок организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну (утверждён приказом ФСТЭК России от 29 апреля 2021 г. № 77).

    На что необходимо обратить внимание:
          • документом определен состав и содержание работ по аттестации объектов информатизации;
          • установлены требования к форме и содержанию документов, разрабатываемых при аттестации;
          • вводится контроль за качеством выполнения работ по аттестации за счёт:
               – ведения реестра аттестованных объектов информатизации (ведутся территориальными органами ФСТЭК России);
               – проведения экспертизы материалов аттестационных испытаний (предусматривается предоставление документов по аттестации для рассмотрения в территориальные органы ФСТЭК России);
               – возможности приостановления и/или прекращения действия выданных аттестатов соответствия в случае нарушения установленного порядка аттестации.

    Регулятор подтвердил, что согласно новым требованиям при аттестации обязательно должно проводиться тестирование на проникновение.
    Также новым документом подтверждена возможность выдачи аттестата соответствия на весь срок эксплуатации ОИ (т.е. аттестат соответствия не имеет срока действия).
    Отмечены недостатки, выявляемые территориальными органами ФСТЭК России при изучении предоставленной им документации по аттестации.
    В том числе:
               – не выполняются требования ТЗ на создание систем защиты информации в части обязательного применения сертифицированных СЗИ (для ГИС);
               – не проводятся испытания по выявлению уязвимостей ИС;
               – кроме того, в ходе аттестационных испытаний объектов информатизации не проводится тестирование системы защиты путем её обхода.
    Также было озвучено предостережение лицензиатам ФСТЭК России не нарушать порядок аттестации, что может привести к применению санкций со стороны регулятора вплоть до приостановления действия лицензий.

    • О стандартизации в области защиты информации
    В 2022 году в рамках деятельности технического комитета ТК 362 планируется введение в действие следующих национальных стандартов:

    a. ГОСТ Р "Защита информации. Управление компьютерными инцидентами. Термины и определения"
    b. ГОСТ Р "Защита информации. Управление компьютерными инцидентами. Общие положения"
    c. ГОСТ Р "Защита информации. Управление компьютерными инцидентами. Организация деятельности по управлению компьютерными инцидентами"
    d. ГОСТ Р "Защита информации. Управление компьютерными инцидентами. Руководство по реагированию на компьютерные инциденты"
    e. ГОСТ Р "Защита информации. Идентификация и аутентификация. Уровни доверия идентификации"
    f.  ГОСТ Р "Защита информации. Идентификация и аутентификация. Уровни доверия аутентификации"
    g. ГОСТ Р "Защита информации. Идентификация и аутентификация. Управление идентификацией и аутентификацией"
    h. ГОСТ Р "Защита информации от несанкционированного доступа. Термины и определения"

    Надеемся, что эти стандарты будут полезны специалистам при решении практических задач по защите информации.

    • О перспективах совершенствовании нормативной базы ФСТЭК России
    В обозримом будущем (без указания сроков подготовки и внедрения соответствующих требований) ФСТЭК России планирует совершенствование нормативной базы в области защиты информации по следующим направлениям:

    a. Совершенствование требований по технической защите информации и мер защиты информации (касается 17-го приказа ФСТЭК России, устанавливающего требования к государственным информационным системам).
    b. Разработка требований по безопасности информации к средствам защиты информации.
    c. Совершенствование качества работ по аттестации объектов информатизации.
    d. Совершенствование качества проведения сертификационных испытаний за счет аттестации экспертов органов по сертификации и специалистов испытательных лабораторий.
    e. Повышение качества сертифицированных средств защиты информации за счет внедрения и сертификации соответствия систем безопасной разработки.
    f. Проведение оценки соответствия систем организации и управления защитой информации операторов центров обработки данных (ЦОД), оказывающих услуги по хранению и обработке информации, обладателями которой являются государственные органы.

    Со следующей презентацией, посвящённой практике применения нового методического документа "Методика оценки угроз безопасности информации" (утверждена ФСТЭК России 5 февраля 2021 г.), выступила начальник отдела ФСТЭК России Гефнер И.С.
    Главный вывод презентации – методика ещё довольно "сырая" и сложная для практической реализации. Кроме того, в современном виде банк данных угроз (https://bdu.fstec.ru/) плохо совместим с новым методическим аппаратом.

    С учётом этого в настоящее время идёт подготовка изменений в методику на основе практики её реализации, в том числе по следующим направлениям:
          • изменение подхода к моделированию угроз систем и сетей в инфраструктуре поставщика услуг;
          • уточнение процедуры определения негативных последствий;
          • уточнение процедуры определения объектов воздействия;
          • изменение процедуры определения актуальных угроз безопасности информации;
          • доработка раздела угроз, содержащихся в банке угроз (https://bdu.fstec.ru/);
          • автоматизация процесса формирования перечня возможных угроз.
    Сроки внесения изменений пока не определены. Достаточно напомнить, что в феврале 2021 года регулятором было обещано, что банк угроз будет переработан в течение 2-3 месяцев. Однако до сих пор это не сделано.
    Также ФСТЭК России на основе этой методики планирует разработку типовых моделей угроз, однако сроки их разработки будут определены только после внесения изменений в методику моделирования – т.е. это вряд ли произойдёт в ближайшем будущем.

    Возврат к списку