Изменения в указанный классификатор внесены в соответствии с абзацем вторым подпункта «а» пункта 7 Постановления Правительства РФ от 16 ноября 2015 г. N 1236 «Об установлении запрета на допуск программного обеспечения, происходящего из иностранных государств, для целей осуществления закупок для обеспечения государственных и муниципальных нужд».
В частности, раздел классификатора «Прикладное программное обеспечение» дополнен классом «Автоматизированные информационные системы оформления воздушных перевозок».
Класс «Средства электронного документооборота (EDMS)» раздела «Средства управления процессами организации» признан утратившим силу. Программам для ЭВМ и базам данных, которым ранее был присвоен указанный класс, присваивается класс «Системы электронного документооборота» раздела «Офисные приложения».
Источник: prime.ru
Ramus — функциональная схема информационной системы и бизнес процессов (DFD и IDEF0).
Приказ Минкомсвязи России от 30.07.2019 N 422 «О внесении изменения в Классификатор программ для электронных вычислительных машин и баз данных, утвержденный приказом Министерства связи и массовых коммуникаций Российской Федерации от 31 декабря 2015 г. N 621 Об утверждении классификатора программ для электронных вычислительных машин и баз данных (Зарегистрировано в Минюсте России 23.09.2019 N 56017)»
В соответствии с абзацем вторым подпункта «а» пункта 7 постановления Правительства Российской Федерации от 16 ноября 2015 г. N 1236 «Об установлении запрета на допуск программного обеспечения, происходящего из иностранных государств, для целей осуществления закупок для обеспечения государственных и муниципальных нужд» (Собрание законодательства Российской Федерации, 2015, N 47, ст. 6600; 2017, N 14, ст. 2062; N 52, ст. 8168; 2018, N 49, ст. 7600; 2019, N 15, ст. 1754) приказываю:
1. Внести в Классификатор программ для электронных вычислительных машин и баз данных, утвержденный приказом Министерства связи и массовых коммуникаций Российской Федерации от 31 декабря 2015 г. N 621 (зарегистрирован Министерством юстиции Российской Федерации 19 февраля 2016 г., регистрационный N 41160), с изменениями, внесенными приказом Министерством связи и массовых коммуникаций Российской Федерации от 1 апреля 2016 г. N 134 «О внесении изменений в Классификатор программ для электронных вычислительных машин и баз данных, утвержденный приказом Министерства связи и массовых коммуникаций Российской Федерации от 31.12.2015 N 621» (зарегистрирован Министерством юстиции Российской Федерации 24 мая 2016 г., регистрационный N 42246), изменение согласно приложению к настоящему приказу.
2. Направить настоящий приказ на государственную регистрацию в Министерство юстиции Российской Федерации.
к приказу Министерства
Инструкция по Переходу на Классификатор Должностей 2022
цифрового развития, связи
и массовых коммуникаций
от 30.07.2019 N 422
КОТОРОЕ ВНОСИТСЯ В КЛАССИФИКАТОР ПРОГРАММ ДЛЯ ЭЛЕКТРОННЫХ
ВЫЧИСЛИТЕЛЬНЫХ МАШИН И БАЗ ДАННЫХ
1. Дополнить Раздел 4 «Прикладное программное обеспечение» классом 4.10 следующего содержания:
Специализированное ПО органов исполнительной власти Российской Федерации, государственных корпораций, компаний и юридических лиц с преимущественным участием Российской Федерации для внутреннего использования
Программное обеспечение, разработанное органами исполнительной власти Российской Федерации,
государственными корпорациями, компаниями и юридическими лицами с преимущественным государственным участием для реализации своей деятельности и предназначенное преимущественно для внутреннего использования
Источник: fzakon.ru
Новый классификатор средств ИБ
В отличие
от предыдущего классификатора, в котором Средства обеспечения информационной
безопасности шли отдельным пунктом 02.13, а для систем управления ИБ ( SGRC , SOAR ),
инцидентами ( IPR ),
угрозами ( TI ) вообще
не было места, в новом классификаторе Средства обеспечения информационной
безопасности получили целый раздел 03:
Описание класса программ для электронных
вычислительных машин и баз данных
Средства
защиты от несанкционированного доступа к информации
Программы, которые должны
предотвращать несанкционированный доступ к информации некриптографическими
методами и обеспечивать: идентификацию и аутентификацию, управление доступом,
целостность, аудит (регистрацию и учет). Включает программы управления
средствами (устройствами) защиты от несанкционированного доступа к информации
Средства управления событиями
информационной безопасности
Программы, которые должны
обеспечивать выявление и предотвращение кибератак за счет анализа в режиме
реального времени событий (данных) с целью определения потенциальных угроз
безопасности
Программы, которые должны
осуществлять контроль и фильтрацию проходящих через него сетевых пакетов в
соответствии с заданными правилами
Средства фильтрации негативного
контента
Программное обеспечение, которое
должно позволять управлять доступом к различным категориям веб-сайтов, для
ограничения определенного нежелательного контента, средства защиты от спама и
нежелательной корреспонденции
Средства защиты сервисов
онлайн-платежей и дистанционного банковского обслуживания
Программное обеспечение, которое
должно позволять выявлять, анализировать и предотвращать мошенничество
Средства антивирусной защиты
Программное обеспечение, которое
должно позволять обнаруживать, перехватывать и обезвреживать вредоносное
программное обеспечение как в памяти устройства, так и во входящем/исходящем
трафике
Средства выявления целевых атак
Программное обеспечение, которое
должно обнаруживать атаки (в том числе DDoS атаки) на конкретную организацию,
страну или индустрию с целью кражи данных, получения контроля над ресурсами
или блокирования их работы; должно противодействовать таким атакам
Средства гарантированного
уничтожения данных
Программное обеспечение, которое
должно использовать специальные методики многократной перезаписи
определенными паттернами, для минимизации вероятности восстановления
информации с носителей на базе жестких магнитных дисков (HDD). Должно быть
ограниченно применимо к твердотельным накопителям (SSD)
Средства обнаружения и
предотвращения утечек информации
Программы, которые должны
обнаруживать утечки и предотвращать распространения охраняемой законом
компьютерной информации
Средства криптографической защиты
информации и электронной подписи
Программы, которые должны
предотвращать несанкционированный доступ к информации криптографическими
методами, а также управлять ключевой информацией, включая ключи электронной
подписи, ключи проверки электронной подписи и ключи шифрования информации;
программное обеспечение, которое предназначено для изготовления сертификатов
открытых ключей и управления ими (аннулирование, приостановление,
возобновление), включая служебные функции (управление списками сертификатов,
подтверждение статусов сертификатов открытых ключей, сервисы доверенного
времени)
Средства защиты каналов передачи
данных, в том числе криптографическими методами
Программы, которые должны
обеспечивать конфиденциальность информации, передаваемой через общедоступные
каналы связи
Средства управления доступом к
информационным ресурсам
Совокупность программных или
программно-аппаратных технических средств безопасности, которые должны
ограничивать и регистрировать доступ к ресурсам информационной системы
Средства резервного копирования
Программное обеспечение, которое
должно обеспечивать создание копии данных на носителе (жестком диске,
твердотельных накопителях и иных носителях) и которое должно обеспечивать их
восстановление в оригинальном или новом месте в случае их повреждения или
утраты
Средства обнаружения и/или
предотвращения вторжений (атак)
Системы, которые должны позволять
обнаруживать вторжения уровня сети, уровня узла
Средства обнаружения угроз и
расследования сетевых инцидентов
Программное обеспечение, которое
должно выявлять вредоносную активность, присутствие злоумышленников,
нецелевое использование ресурсов, халатность администраторов и должно
позволять расследовать сетевые инциденты информационной безопасности
Средства администрирования и
управления жизненным циклом ключевых носителей
Программное обеспечение, которое
должно обеспечивать связь между учетными записями пользователей, средствами
аутентификации, приложениями и регламентами информационной безопасности
Средства автоматизации процессов
информационной безопасности
Средства, которые должны
автоматизировать процессы управления и обеспечения информационной
безопасности, включая менеджмент инцидентов информационной безопасности, учет
и контроль безопасности ИТ-активов, контроль соблюдения требований по
безопасности, моделирование угроз и управление рисками информационной
безопасности, получение и анализ данных об актуальных угрозах с целью
прогнозирования вероятных кибератак и их предотвращения
Всем российским
разработчикам нужно будет соответственно этому классифицировать свои решения при
включении в реестр российского ПО. Аналогичные классы ПО нужно будет
использовать в проектной и эксплуатационной документации.
С одной
стороны, хорошо, что появился такой свежий, достаточно объемный классификатор
средств ИБ. С другой стороны, он не полностью стыкуется с наименованиями средств
ИБ в иных, более ранних документах, таких как приказы ФСТЭК России 17/21/31/239,
приказ ФСБ России №196, недавние проекты ГОСТов по мониторингу ИБ и реагированию на инциденты. Например, нет средств анализа / контроля защищенности.
Также теперь возникает вопрос, все ли
средства обеспечения ИБ (в том числе SGRC , SOAR и прочие системы управления ИБ) теперь
попадают под требования к сертификации из ПП РФ №1236 (подпункт д) пункта 5)
D PPS : Чтобы не пропустить другие обзоры изменений НПА, стандартов и рекомендаций ИБ подписывайтесь в вашем любимом канале
Источник: cisoclub.ru