Опубликован проект изменений, которые планируется внести в 17 Приказ ФСТЭК.
Коротко пройдусь по основным пунктам.
1) Как и ожидалось, от 4 класса защищенности собираются отказаться. Останутся 3 класса. Состав защитных мер при этом не меняется.
2) Теперь официально при разработке модели угроз должен использоваться банк данных угроз ФСТЭК (bdu.fstec.ru). Прощай, полюбившийся многим копи-паст из Базовой модели угроз 2008 года. Правда необходимой методики для использования банка угроз нет. Придется его адаптировать под старую методику.
3) Для 1 и 2 классов защищенности ГИС теперь должны будут проводиться пентесты!
4) В явном виде прописана возможность размещения систем в аттестованных ЦОДах.
5) Теперь интеграторам в проектах по аттестации потребуется как минимум два человека ;)
Вот такие изменения ждут нас в ближайшее время. Самое интересное, на мой взгляд - появление пентестов. С одной стороны, сдвиг требований регулятора в сторону практической безопасности можно только приветствовать. С другой стороны, аттестация и пентест, мягко говоря, немного отличаются. Аттестация сейчас (к сожалению) частенько представляет собой формальное копирование шаблонных документов, с единственной целью - получение заветного аттестата. Пентест - совсем другой уровень, требующий совсем иных трудозатрат и компетенций. Хватит ли компаниям, специализирующимся на аттестации, ресурсов для проведения пентестов? И не превратится ли пентест, вслед за аттестацией, в формальность? Поживем-увидим. В любом случае рынок аттестации немного встряхнется.
