Наконец-то нашел время разобрать и систематизировать свои записи с конференции ТБ Форум 2017 секции ФСТЭК России "Актуальные вопросы защиты информации". Мероприятие прошло очень хорошо, регулятор показал свою открытость к диалогу и адекватность. Можно было задать любые вопросы по деятельности службы и даже получить на них конкретные ответы. Информации дали много...
Обобщу основные мысли.
Про нормативные документы
- Мы помним и ждем правки в 149-ФЗ ( законопроект 52657-7 ). Предполагается, что требования по защите информации из ст.16, которые применимы сейчас только для ГосИС, будут распространяться на все ИС, в которых "на основании договоров или иных законных основаниях обрабатывается информация, обладателем которой являются государственные органы". А это уже Приказ 17...
- Кстати, ничего необычного в этом нет, просто возвращаемся к идеям 1995 года, аналогичные положения были в 24-ФЗ "Об информации, информатизации и защите информации". По сути, требования по защите идут от объекта (защищаемой информации), и предполагается, что "информация должна защищаться по единым требованиям независимо от места ее обработки". При этом ФСТЭК России сказали, что возможно появятся исключения (смягчение требований) для ряда компаний, обрабатывающих такого рода информацию, но не являющимися органами гос.власти. В частности, упоминали про возможный отказ от аттестации для них.
- Помимо положений по защите в законопроекте есть новое требование по информированию ФСТЭК России и ФСБ России о компьютерных инцидентах. ФСТЭК России планирует разработать и согласовать с ФСБ России документ, определяющий порядок такого информирования (с учетом ГосСОПКА).
- А еще в этом году ожидаем правки Приказа №17. Дважды! Сначала вносятся первоочередные правки (версия была доступна для обсуждения, ФСТЭК России уже должны были отработать полученные замечания и предложения). А к концу года (посде утверждения правок 149-ФЗ) нас ожидает уже более серьезные правки Приказа №17, в частности, будет пересмотрен (выровнен с приказами 21 и 31) перечень мер.
- Ожидается, что классы СЗИ будут приведены к единой шкале.
- Сотрудники ФСТЭК России озвучили, что им не нравится, что обычно аттестация ИС проводится той же организацией, что проектировала систему защиты. Похоже, что в перспективе так запретят делать...
- Теперь про требования к СЗИ. За последние 5 лет во ФСТЭК России разработали 6 комплектов документов:
- А в 2017 году планируют еще 3: "Требования безопасности информации к системам управления базами данных", "Требования безопасности информации к средствам управления потоками информации" и "Требования безопасности информации к средствам виртуализации".
- Еще упомянули, что разрабатывается новый методический документ, который будет использоваться при проведении сертификационных испытаний.
Про требования к МСЭ и ОС
- Очень много говорили про требования к МСЭ и ОС.
- На днях опубликуют информационное сообщение, разъясняющее все вопросы использования сертифицированных МСЭ. Поэтому много комментировать не буду. Кстати, ФСТЭК России считает, что "схема перехода "безболезненная". "срочной замены не требуется", "процесс должен быть поэтапным".
- Уже прекратили принимать заявки на сертификацию ОС по старым требованиям. Скоро будут опубликованы профили защиты (по типу А уже вроде бы доступны).
- Сейчас в базе угроз и уязвимостей ФСТЭК России ( http://bdu.fstec.ru ) описано 194 угрозы и 15377 уязвимостей. Основной фокус - ПО, используемое в органах государственной власти (хотя уязвимости АБС им тоже присылают).
- За 2016 год у сайта было более 300 000 просмотров (для сравнения, у этого моего блога за этот период было более 350 000).
- Завели аккаунт в твиттере - https://twitter.com/gniiiptzi
- Банк угроз и уязвимостей продолжает развиваться:
- Про лицензирование рассказывали долго и подробно.
- Оказывается, сейчас в России почти 2000 лицензиатов по ТЗКИ
- Лицензиаты ФСТЭК России (и те, кто хочет ими стать) могут консультироваться со регулятором, вот контакты и схема работы:
- Требования по лицензированию немного ужесточаются (в части наличия персонала и тех.средств)
- ФСТЭК России предупреждает, что не стоит связываться с посредниками при получении лицензии
- Отдельно поговорили про требования к лицензиатам, планирующих осуществлять деятельность по мониторингу ИБ. Как мы помним, для них предусмотрен довольно большой перечень средств защиты и контроля защищенности ( об этом писал тут ). По мнению ФСТЭК России этот перечень "минимальный, который нужно иметь", однако не все и не всегда необходимо использовать при оказании услуг (решение принимается заказчиком).
- Отдельно упомянули про тестирование на проникновение: "По нашему мнению, это не вид деятельности, это один из методов контроля защищенности."
Про техподдержку сертифицированных СЗИ
- Еще несколько слайдов про техническую поддержку и обновление сертифицированных СЗИ. ФСТЭК России продолжает внимательно следить, чтобы поставляемые в органы государственной власти СЗИ не содержали уязвимостей (они оперативно исправлялись):
P.S. Если интересно, то вот аналогичные заметки за 2016, 2015 и 2014 годы: