Последние рекомендации ФСТЭК

Последние рекомендации ФСТЭК

В нашей стране продолжается развитие законодательства в сфере ИТ и ИБ в частности. Вместе с этим государство оказывает методическую поддержку организациям, которых касаются изменения.

Эта статья - дайджест последних методических рекомендаций ФСТЭК России со ссылками на документы регулятора.

Обеспечение безопасной настройки Linux

Рекомендации по безопасной настройки системы Linux были утверждены ещё в декабре 2022 года. Они направлены на повышение защищенности информационных систем, построенных на базе ядра Linux. Рекомендации обязательны для государственных информационных систем и на объектах КИИ, которые используют Linux.

Основные процедуры, которые регламентирует методичка:

-        настройка авторизации в операционной системе;

-        ограничение механизмов получения привилегий;

-        настройка прав доступа к объектам файловой системы;

-        настройка механизмов защиты ядра Linux;

-        уменьшение периметра атаки ядра Linux;

-        настройка средств защиты пользовательского пространства со стороны ядра Linux.

В методических рекомендациях подробно описано как реализовать эти процедуры, вплоть до используемых конфигураций. Подробнее можно ознакомиться здесь.

Безопасность средств виртуализации

Требования к безопасности средств виртуализации предназначены для организаций, осуществляющих разработку таких средств, заявителей на сертификацию и испытательных лабораторий и органов по сертификации средств защиты информации на соответствие обязательным требованиям по безопасности.

В документе устанавливаются минимально необходимые требования к:

-        уровню доверия средства виртуализации;

-        хостовой операционной системе, в которой функционирует средство виртуализации;

-        составу функций безопасности;

-        загрузке виртуальных машин;

-        контролю целостности в среде;

-        регистрации событий безопасности;

-        управлению потоком информации и уровнем доступа;

-        ограничениям программной среды;

-        резервному копированию;

-        идентификации и аутентификации пользователей;

-        централизации управления образами виртуальных машин и самими машинами.

Требования обязательны при выполнении работ по оценке соответствия средств технической защиты информации, включая работы по сертификации. В требованиях дифференцированы классы защиты. Выделено 6 классов, первый - самый высокий.

Прочитать текст документа вы можете на сайте ФСТЭК.

Что было раньше

В ноябре 2022 регулятор опубликовал информационное

сообщение , в котором описывались внесенные изменения в Положение о системе сертификации средств защиты информации. Изменения направлены на сокращение сроков сертификации СЗИ, включая внедрение со стороны разработчиков процедур безопасной разработки ПО.

В декабре 2022 относительно безопасности средств контейнеризации тоже были утверждены новые

требования . Применена такая же градация классов защиты, что и при защите средств виртуализации.

Заключение

Реформы в ИТ и ИБ сферах будут продолжаться и дальше. Все решения однозначно будут направлены на усиление защищенности средств информатизации, на увеличение объемов импортозамещения. С чем связано? На этот вопрос можно рассуждать долго. Но одна тенденция, которой обязательно нужно следовать – это идти в ногу со временем, не отставать новых рекомендаций и правил защищенности ИТ-объектов.

Изображение:
ФСТЭК информационная безопасность приказы ФСТЭК новое в ИБ защита информации Linux РКН защита данных
Alt text

Если вам нравится играть в опасную игру, присоединитесь к нам - мы научим вас правилам!

Подписаться

rcngroup

Компания «Рубикон» — IT-предприятие, основное направление деятельности которого – информационная безопасность. Мы занимаемся решением задач по аудиту, созданию и оптимизации IT-инфраструктур.