Конференция ФСТЭК: АСУ ТП, ГОСТы, методички, моделирование угроз, сертификация

Конференция ФСТЭК: АСУ ТП, ГОСТы, методички, моделирование угроз, сертификация
Среди других документов, которые готовит ФСТЭК стоит отметить новую методичку по 31-му приказу, которая раскроет, что скрывается за многими, не всегда понятными защитными мерами для промышленных сетей. Это будет полный аналог методического документы "Меры защиты информации в государственных информационных системах", который был выпущен в дополнение к 17-му приказу. ФСТЭК называет срок - конец 2016-го года, но я побуду пессимистом и предположу, что это будет скорее первый квартал 2017-го года (все-таки при нехватке ресурсов, ФСТЭК не потянет все свои планы и обязательно что-то да передвинет).

В контексте национальной стандартизации хочется отметить следующее:

  • В 2015-м году было утверждено два новых ГОСТа (56545 и 56546) по классификации и описанию уязвимостей.
  • В Росстандарт направлены два разработанных ГОСТа - по безопасности технологий виртуализации и по безопасной разработке ПО (SDLC). После утверждения первого ГОСТа ФСТЭК будет принимать требования к средствам защиты виртуализации. Второй ГОСТ возможно со временем станет обязательным - пока же он будет носить рекомендательный характер.
  • Подготовлены к направлению в Росстандарт еще два ГОСТа - по разработке профилей защиты и заданий по безопасности и по анализу уязвимостей. Последний, в свою очередь, состоит из двух частей - по использованию доступных источников для идентификации потенциальных уязвимостей и по тестированию на проникновению (пентестам).

Кстати, по анализу уязвимостей ФСТЭК готовит еще один, безусловно интересный документ - методику анализа уязвимостей и недекларированных возможностей программного обеспечения. Это давно назревший документ, который позволит проводить анализ на отсутствие НДВ даже при отсутствии исходных кодов устаревшего ПО или ПО, происходящего из других государств.


Из важного: ФСТЭК планомерно добивается того, чтобы заявители на сертификацию включали в документацию на свою продукцию требования по порядку обновления и информирования потребителей об обновлении и способах его получения. То, что так усложняло жизнь многим заказчикам, которые не знали, где взять сертифицированные обновления, теперь постепенно сходит на нет. ФСТЭК на конференции несколько раз повторил, что они будут сильно "драть" заявителей, не соблюдающих эти правила.


Тоже касается и включения соответствующих разделов в документацию для пользователей:


Что касается методички по моделированию угроз, то я уже про него высказывался  Виталий Сергеевич Лютиков назвал срок - конец марта 2016-го года. Стоит подождать.

Alt text

Где кванты и ИИ становятся искусством?

На перекрестке науки и фантазии — наш канал

Подписаться