На сайте ФСТЭК появились новые методические документы, а точнее их проекты:
- Рекомендации по обновлению сертифицированных средств защиты информации
- Требования к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды
Первый документ совсем короткий, 7 страниц. Он предназначен для заявителей на осуществление сертификации СЗИ, испытательных лабораторий и органов по сертификации, при проведении ими работ по обеспечению соответствия СЗИ требованиям безопасности информации, а также для пользователей СЗИ.
Документ устанавливает 4 типа обновления СЗИ и порядок работы с ними (включая сроки).
Определены следующие типы обновлений:
- 1 тип - обновление базданных, необходимых для реализации функций безопасности средства защиты информации (обновление баз сигнатур вирусов средств антивирусной защиты, баз сигнатур уязвимостей средств контроля (анализа) защищенности, баз решающих правил систем обнаружения вторжений и других);
- 2 тип - обновление, направленное на устранение уязвимостей средства защиты информации;
- 3 тип - обновление, направленное на добавление функции (функций) безопасности средства защиты информации, на совершенствование реализации функции (функций) безопасности средства защиты информации, на расширение числа поддерживаемых программных и аппаратных платформ;
- 4 тип - обновление, не влияющее на безопасность средства защиты информации (изменение интерфейса средства защиты информации, иных функций, не влияющее на функции безопасности средства защиты информации).
Документ полезный и давно ожидаемый, он призван решить старые противоречия между необходимостью обновления и подтверждения неизменности серифицированных СЗИ.
Второй документ сложнее: 40 страниц с большим приложением-таблицей с мерами защиты. Он очень напоминает Приказы 17 и 21 по составу и содержанию. Это довольно удобно!
Меры защиты выбираются исходя из класса защищенности автоматизированной системы управления (от 1 до 3).
Полагаю, что про эти и другие документы завтра (12.02.2014) расскажут представители ФСТЭК на конференции ТБ-Форум . Приходите, будем задавать вопросы регулятору!
