Что ФСТЭК грядущий нам готовит: Большая заметка

Что ФСТЭК грядущий нам готовит: Большая заметка
Продолжаем писать про новости от ФСТЭК России. В четверг я уже озвучил три важнейшие , а сегодня расскажу про все остальное.
Напомню, что в четверг (11.02.2016) на конференции ТБ Форум коллеги из ФСТЭК России отвечали на вопросы и прочитали много презентаций про работу службы ( их можно скачать тут ), вот их перечень:
  • Совершенствование нормативного и методического обеспечения вопросов защиты информации
  • Проблемные вопросы сертификации средств защиты информации. Подходы по совершенствованию качества ССЗИ
  • Особенности аккредитации испытательных лабораторий и органов по сертификации
  • Совершенствование требований по защите информации, предъявляемых к межсетевым экранам
  • О мерах по повышению лицензионных требований к соискателям лицензий и лицензиатам
  • Банк данных угроз безопасности информации и уязвимостей программного обеспечения: реалии и перспективы


Итак, про что нам рассказали!

1. Про обновление Приказа ФСТЭК России №17
  • В прошлом году ФСТЭК России собирали замечания и предложения для обновления Приказа №17, их подали 15 экспертов (и я в том числе). По результатам их анализа регулятор подготовил обновленную версию документа, которую в ближайшие дни опубликуют на сайте. 
  • В новой версии будет пересмотрен перечень мер (его должны были выровнять с Приказом №31), будут добавлены положения про необходимые документы по ИБ (но без конкретных их названий), этап формирования модели угроз перенесут в стадию разработки системы защиты информации, скорректируют подход к классификации ИС (отказались от 4го класса в виду его неактуальности, общий подход будет аналогичен Приказу №31) и к соответствующим им классам СЗИ. Помимо этого планируется добавить требование по наличию сертификата по 4 НДВ для всех СЗИ в ИС (раньше было только для 1 и 2 уровня защищенности).



2. Про методику определения угроз 
  • В прошлом году ФСТЭК России выкладывали проект документа "Методика определения угроз безопасности информации в ИС" ( про это я писал тут ) и получили на него "67 страниц замечаний 10 шрифтом". "Все замечания просмотрели, все проанализировали. Были довольно-таки системные замечания, и это немного притормозило процесс ее утверждения и потребовало пересмотра и по содержательной части... Придется нам, мы уже почти все реализовали, изменить немножко документ"... "Общий вопрос методологии нам придется немного откорректировать, за замечания всем спасибо!"
  • В этом году ожидаем новую версию (проект) документа. Напомню, что одним из главных замечаний на первый проект было отсутствие привязки модели угроз к угрозам и уязвимостям из базы ФСТЭК России, но про нее чуть ниже.

3. Про анализ уязвимостей
  • "Надо переходить из формальных процедур аттестации в практическую плоскость". По сути, ФСТЭК России ориентируются на формальные требования про оценку уязвимостей. "В этом году акцентируем внимание на проведение таких работ. Все требования и нормы к этому заложены". По этому поводу готовят отдельный документ, в этом году его постараются утвердить.
  • "Мы полагаем, что у вас знаний должно быть достаточно для того, чтобы самим формировать, включать эти разделы в программу и методику аттестационных испытаний."
  • Также про устранение уязвимостей много говорили в рамках обсуждения сертификации СЗИ.


4. Про методические документы по Приказу №31
  • Ожидаем завершение подготовки методического документа "Меры защиты в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды" (по Приказу №31 по аналогии с методическими рекомендациями по Приказу №17).
  • При разработке методического документа ФСТЭК России столкнулись с необходимостью внесения изменений в сам Приказ №31 в части групп мер, возможно, что будут делать корректировки.


5. Про новые стандарты (ГОСТы) по ИБ
  • На данный момент уже утверждены ГОСТ Р 56546-2015 и ГОСТ Р 56545-2015 (про уязвимости), и скоро появятся еще несколько:
  • Отдельно хочу обратить внимание разработчиков СЗИ на стандарт по безопасной разработке ПО (его обсуждали в рамках ТК 362). В перспективе он может стать обязательным (но не в ближайшее время)...

6. Про требования к средствам защиты
  • За последние несколько лет у нас появилось много документов, содержащие требований к определенным классам СЗИ, ожидаем развитие этой практики:

  • А в обратили внимание, что некоторые документы, например, по DLP как-то "подзависли"? Их проекты мы обсуждали еще 2 года назад...

7. Про обновление требований к межсетевым экранам
  • Новые требования к межсетевым экранам утверждены 9 февраля 2016, а применяться они будут с 1 декабря 2016 года. Это связано с тем, что разработчиками и производителям потребуется подготовить свои средства и документацию.



  • В соответствующей презентации намного больше конкретики. Если интересно, то посмотрите самостоятельно.

8. Про сертификацию, лицензирование и аккредитацию:
  • Про сертификацию говорили мало. Отметили только то, что многие заявители слишком формально подходят к этому вопросу... Похоже, что ФСТЭК России усилит контроль по этому направлению.
  • Несколько слайдов про лицензирование:



  • Если тема лицензирования и аккредитации испытательных лабораторий вам актуальна, то посмотрите соответствующие презентации. Отдельно отмечу, что планируется обязать лицензиатов и аккредитованные лаборатории внедрять у себя системы менеджмента ИБ (27001) и качества (9001 и 17025). Про это упоминал в прошлом посте .

8. Про базу угроз и уязвимостей 
  • База угроз и уязвимостей ФСТЭК России ( http://bdu.fstec.ru ) наполняется и развивается.


  • Показали статистику по угрозам и уязвимостям. Однако, обратите внимание, что это именно про базу, а не про угрозы и уязвимости "в реальной жизни".




  • Интересно сравнили различные международные базы данных уязвимостей

  • Рассказали про планы по развитию:
  • В частности, сейчас в перечне 182 угрозы и его планируют расширить еще на 150
  • Планируется добавить функционал выгрузки записей об уязвимостях и угрозах в соответствии с пользовательской выборкой, сделать личный кабинет и подписки на информацию, расширить классификационные признаки угроз, добавить новый раздел про небезопасные конструкции кода, добавить новые поля в описание уязвимостей.
  • Однако, самого главного, чего просили сделать пользователи базы, а именно, связать угрозы и уязвимости, в обозримом будущем мы не получим. Жаль...


Вот как-то так. Вроде бы рассказал про все основные темы, которые успели услышать и обсудить на конференции. Нового много, будем внимательно следить за появлением уже финальных (утвержденных) документов.

Обязательно посмотрите еще и эти заметки:



Alt text

Ваша приватность умирает красиво, но мы можем спасти её.

Присоединяйтесь к нам!

Andrey Prozorov

Информационная безопасность в России и мире