Слово "четыре" заменить словом "три": проект изменений в 17 Приказе

Слово "четыре" заменить словом "три": проект изменений в 17 Приказе




Опубликован  проект  изменений, которые планируется внести в 17 Приказ ФСТЭК. 

Коротко пройдусь по основным пунктам.







1) Как и ожидалось, от 4 класса защищенности собираются отказаться. Останутся 3 класса. Состав защитных мер при этом не меняется.


  
2) Теперь официально при разработке модели угроз должен использоваться банк данных угроз ФСТЭК (bdu.fstec.ru). Прощай, полюбившийся многим копи-паст из Базовой модели угроз 2008 года. Правда необходимой методики для использования банка угроз нет. Придется его адаптировать под старую методику.





3) Для 1 и 2 классов защищенности ГИС теперь должны будут проводиться пентесты! 

  



4) В явном виде прописана возможность размещения систем в аттестованных ЦОДах.





5) Теперь интеграторам в проектах по аттестации потребуется как минимум два человека ;) 






Вот такие изменения ждут нас в ближайшее время. Самое интересное, на мой взгляд - появление пентестов. С одной стороны, сдвиг требований регулятора в сторону практической безопасности можно только приветствовать. С другой стороны, аттестация и пентест, мягко говоря, немного отличаются. Аттестация сейчас (к сожалению) частенько представляет собой формальное копирование шаблонных документов, с единственной целью - получение заветного аттестата. Пентест - совсем другой уровень, требующий совсем иных трудозатрат и компетенций. Хватит ли компаниям, специализирующимся на аттестации, ресурсов для проведения пентестов? И не превратится ли пентест, вслед за аттестацией, в формальность? Поживем-увидим. В любом случае рынок аттестации немного встряхнется.




Alt text

Не ждите, пока хакеры вас взломают - подпишитесь на наш канал и станьте неприступной крепостью!

Подписаться

Булат Шамсутдинов

Журнал информационной безопасности