Требования к защите информации программы

Содержание

Для обеспечения законных прав и информационной безопасности участников в рамках приложения сохраняется целостность данных. Приложение не содержит конфиденциальной информации.

Требования к программной документации

Состав программной документации должен включать в себя:

● Частное техническое задание;

● Программу и методики испытаний;

Стадии и этапы разработки

Стадии разработки

Разработка должна быть проведена в три стадии:

1. Разработка технического задания;

2. Разработка приложения;

Этапы разработки

На стадии разработки технического задания должен быть выполнен этап разработки, согласования и утверждения настоящего технического задания. А также проведено согласование по календарному выполнению поставленной задачи. Составление диаграммы Ганта.

На стадии разработки приложения должны быть выполнены:

1. Разработка приложения;

2. Написание программной документации;

3. Тестирование приложения.

На стадии сдачи работы должны быть выполнены все предыдущие этапы работ, собраны все необходимые документы, подготовлен ПИМИ.

Техническая защита информации. Квалификационные требования к лицензиатам ФСТЭК России

Содержание работ по этапам

Этап работ Результат Сроки
Составление технического задания (ТЗ) Готовое ТЗ до 01.04.2017
Составление частного технического задания (ЧТЗ) Готовое ЧТЗ до 01.04.2017
Настройка окружения Настроенное окружение в соответствии с ТЗ до 15.03.2017
Разработка архитектуры приложения Разработаны необходимые классы для приложения, их взаимосвязи и иерархия в соответствии с ЧТЗ до 06.06.2017
Разработка и верстка страниц (окон) приложения Разработан интерфейс приложения в соответствии с ЧТЗ. до 06.06.2017
Разработка анализа музыки Разработан модуль по анализу музыки в соответствии с ЧТЗ до 06.06.2017
Разработка игровых элементов: “герой” и “платформа” Разработаны игровые элементы “герой” и “платформа” в соответствии с ЧТЗ до 06.06.2017
Тестирование приложения Приложение соответствует ТЗ и ЧТЗ, исправлены найденные баги и недочеты до 10.06.2017
Составление ПИМИ Составлено ПИМИ до 10.06.2017
Подготовка к сдаче работы Подготовлен весь перечень документов и работ к сдаче. План презентации на экзамене: 1. Роли в команде 2. Матрица ответственности 3. Диаграмма Гантта 4. Описание услуги 5. Документы проекта (обзор) – ТЗ, ЧТЗ, ПИМИ, стендовые 6. Ролик с работающим ПО до 15.06.2017

На этапе составления технического задания должны быть выполнены:

Источник: studopedia.net

Законодательные требования РФ по информационной безопасности 2023 | Алексей Лукацкий

Требования к защите информации

Конкретные требования к защите, обусловленные спецификой автоматизированной обработки информации, определяются совокупностью следующих факторов:

  • характером обрабатываемой информации;
  • объемом обрабатываемой информации;
  • продолжительностью пребывания информации в автоматизированной системе обработки данных;
  • структурой автоматизированной системы обработки данных;
  • видом защищаемой информации;
  • технологией обработки информации;
  • организацией информационно-вычислительного процесса в автоматизированной системе обработки данных;
  • этапом жизненного цикла автоматизированной системы обработки данных.
  1. При обработке общедоступной информации никаких специальных мер защиты от несанкционированного доступа не требуются.
  2. Требования к защите конфиденциальной информации определяет пользователь, устанавливающий статус конфиденциальности.
  3. При обработке служебной информации к ней должен быть обеспечен свободный доступ пользователям учреждения-владельца этой информации (по общему списку); доступ же пользователей, не включенных в общий список, должен осуществляться по разовым санкциям, выдаваемым пользователями, включенным в список.
  4. При обработке секретной информации в зависимости от ее объема и характера может быть предъявлен один из следующих вариантов требований:
  • персональное разграничение — для каждого элемента информации составляется список пользователей, имеющих к нему право доступа;
  • коллективное разграничение — структура баз защищаемых данных организуется в соответствии со структурой подразделений, участвующих в обработке защищаемой информации; пользователи каждого подразделения имеют право доступа к только к «своим» данным.
  1. При обработке совершенно секретной информации список лиц, имеющих право доступа, должен составляться для каждого самостоятельного элемента информации с указанием дней и времени доступа, а также перечня разрешенных процедур.
  1. в терминалах пользователей:
  • защищаемая информация может находиться только во время сеанса решения задач, после чего подлежит уничтожению;
  • устройства отображения и фиксации информации должны располагаться так, чтобы исключить возможность просмотра отображаемой (выдаваемой) информации со стороны;
  • информация, имеющая ограничительный гриф, должна выдаваться (отображаться) совместно с этим грифом;
  • должны быть предусмотрены возможности быстрого (аварийного) уничтожения информации, находящейся в терминале (в том числе и на устройствах отображения).
  1. В устройствах группового ввода/вывода (УГВВ):
  • в простых УГВВ и в сложных с малым объемом ЗУ защищаемая информация может находиться только во время решения задач, после чего подлежит уничтожению; в сложных с большим объемом ЗУ информация может храниться в ВЗУ, однако продолжительность хранения должна быть ограниченной;
  • устройства отображения и фиксации информации должны располагаться так, чтобы исключить возможность просмотра отображаемой (выдаваемой) информации со стороны;
  • информация, имеющая ограничительный гриф, должна выдаваться (отображаться) совместно с этим грифом;
  • в УГВВ с возможностями универсального процессора при каждом обращении к защищаемой информации должны осуществляться процедуры:
  1. установления подлинности (опознавания) выступающих в работу терминалов и пользователей;
  2. проверки законности каждого запроса на соответствие предоставленным пользователю полномочиям;
  3. проверки адреса выдачи информации, имеющей ограничительный гриф, и наличия этого грифа;
  4. контроля обработки защищаемой информации;
  5. регистрации запросов и всех нарушений правил защиты;
  • при выдаче информации в линии связи должны осуществляться:
  1. проверка адреса выдачи информации;
  2. маскировка (закрытие) содержания защищаемой информации, выдаваемой в линии связи, проходящей по неконтролируемой территории;
  • должны быть предусмотрены возможности аварийного уничтожения информации как в ОЗУ, так и в ВЗУ, а также подачи команды на аварийное уничтожение информации в сопряженных с УГВВ терминалах.
  1. В аппаратуре и линиях связи:
  • защищаемая информация должна находиться только в течении сеанса; в ЗУ аппаратуры связи могут храниться только служебные части передаваемых сообщений;
  • линии связи, по которым защищаемая информация передается в явном виде, должны находиться под непрерывным контролем во время передачи информации;
  • перед началом каждого сеанса передачи защищаемой информации должна осуществляться проверка адреса выдачи данных;
  • при передаче большого объема защищаемой информации проверка адреса передачи должна периодически производиться в процессе передачи (через заданный промежуток времени или после передачи заданного числа знаков сообщения);
  • при наличии в составе аппаратуры связи процессоров и ЗУ должна вестись регистрация данных о всех сеансах передачи защищаемой информации;
  • должны быть предусмотрены возможности аварийного уничтожения информации, находящейся в аппаратуре связи.
  1. В центральном вычислителе:
  • защищаемая информация в ОЗУ может находиться только во время сеансов решения соответствующих задач, в ВЗУ — минимальное время, определяемое технологией решения соответствующей прикладной задачи в автоматизированной системе обработки данных;
  • устройства отображения и фиксации информации должны располагаться так, чтобы исключить возможность просмотра отображаемой (выдаваемой) информации со стороны;
  • информация, имеющая ограничительный гриф, должна выдаваться (отображаться) совместно с этим грифом;
  • при обработке защищаемой информации должно осуществляться установление подлинности всех участвующих в обработке устройств и пользователей и ведение протоколов их работы;
  • всякое обращение к защищаемой информации должно проверяться на санкционированность;
  • при обмене защищаемой информации, осуществляемом с использованием линий связи, должна осуществляться проверка адреса корреспондента;
  • должны быть предусмотрены возможности аварийного уничтожения всей информации, находящейся в центральном вычислителе, и подачи команды на аварийное уничтожение информации в сопряженных устройствах.
  1. Во внешних запоминающих устройствах:
  • сменные носители информации должны находиться на устройствах управления в течении минимального времени, определяемого технологией автоматизированной обработки информации;
  • устройства управления ВЗУ, на которых установлены носители с защищаемой информацией, должны иметь замки, предупреждающие несанкционированное изъятие или замену носителя;
  • должны быть предусмотрены возможности автономного аварийного уничтожения информации на носителях, находящихся на устройствах ВЗУ.
  1. В хранилище носителей:
  • все носители, содержащие защищаемую информацию, должны иметь четкую и однозначную маркировку, которая, однако, не должна раскрывать содержания записанной на них информации;
  • носители, содержащие защищаемую информацию, должны храниться таким образом, чтобы исключались возможности несанкционированного доступа к ним;
  • при выдаче и приемке носителей должна осуществляться проверка личности получающего (сдающего) и его санкции на получение (сдачу) этих носителей;
  • должны быть предусмотрены возможности аварийного уничтожения информации на носителях, находящихся в хранилищах.
  1. В устройствах подготовки данных:
  • защищаемая информация должна находиться только в течение времени ее подготовки;
  • устройства подготовки должны быть размещены так, чтобы исключались возможности просмотра обрабатываемой информации со стороны;
  • а специальных регистрационных журналах должны фиксироваться время обработки информации, исполнители, идентификаторы использованных носителей и возможно другие необходимые данные;
  • распределение работ между операторами должно быть таким, чтобы минимизировать осведомленность их о содержании обрабатываемой информации;
  • должны быть предусмотрены возможности аварийного уничтожения информации, находящейся в подразделениях подготовки данных.
  • в компактных автоматизированных системах обработки данных (размещенных в одном помещении) достаточно организовать и обеспечить требуемый уровень защиты в пределах того помещения, в котором размещены элементы автоматизированной системы обработки данных;
  • в слабораспределенных автоматизированных системах обработки данных (размещенных в нескольких помещениях, но на одной и той же территории) дополнительно к предыдущему должна быть обеспечена требуемая защита информации в линиях связи, с помощью которых сопрягаются элементы автоматизированной системы обработки данных, расположенные в различных помещениях, для чего должны быть или постоянный контроль за этими линиями связи, или исключена передача по ним защищаемой информации в явном виде;
  • в сильнораспределенных автоматизированных системах обработки данных (размещенных на нескольких территориях) дополнительно к предыдущему должна быть обеспечена требуемая защита информации в линиях связи большой протяженности, что может быть достигнуто предупреждением передачи по ним защищаемой информации в открытом виде.
  1. К защите документальной информации предъявляются следующие требования:
  • должна обеспечиваться защита как оригиналов документов, так и сведений о них, накапливаемых и обрабатываемых в автоматизированной системе обработки данных;
  • применяемые средства и методы защиты должны выбираться с учетом необходимости обеспечения доступа пользователям различных категорий:
  1. персонала делопроизводства и библиотеки оригиналов;
  2. специалистов подразделения первичной обработки документов;
  3. специалистов функциональных подразделений автоматизируемых органов.
  1. При обработке фактографической быстроменяющейся информации должны учитываться требования:
  • применяемые средства и методы защиты не должны существенно влиять на оперативность обрабатываемой информации;
  • применяемые средства и методы защиты должны выбираться с учетом обеспечения доступа к защищаемой информации строго ограниченного круга лиц.
  1. к защите фактографической исходной информации предъявляются требования:
  • каждому пользователю должны быть обеспечены возможности формирования требований к защите создаваемых им массивов данных в пределах предусмотренных в автоматизированной системе обработки данных возможностей защиты;
  • в системе защиты должны быть предусмотрены средства, выбираемые и используемые пользователями для защиты своих массивов по своему усмотрению.
  1. К защите фактографической регламентной информации предъявляются требования:
  • применяемые средства и методы защиты должны быть рассчитаны на длительную и надежную защиту информации;
  • должен обеспечиваться доступ (в пределах полномочий) широкого круга пользователей;
  • повышенное значение приобретают процедуры идентификации, опознавания, проверки полномочий, регистрации обращений и контроля выдачи.
  • при автономном решении отдельных задач или их комплексов основными макропроцессами автоматизированной обработки, в ходе которых должен обеспечиваться необходимый уровень защиты, являются:
  1. сбор, подготовка и ввод исходных данных, необходимых для решения задач;
  2. машинное решение задач в автономном режиме;
  3. выдача результатов решения;
  • в случае полусистемной обработки дополнительно к предыдущему на участках комплексной автоматизации должна быть обеспечена защита в ходе осуществления следующих макропроцессов:
  1. автоматизированного сбора информации от датчиков и источников информации;
  2. диалогового режима работы пользователей ЭВМ;
  • в случае системной обработки дополнительно к предыдущему должна быть обеспечена защита в ходе таких макропроцессов:
  1. прием потока запросов и входной информации;
  2. формирование пакетов и очередей запросов;
  3. диспетчирование в ходе выполнения запросов;
  4. регулирование входного потока информации.
  • при автоматизированном вводе информации должны быть обеспечены условия, исключающие несанкционированное попадание информации одного пользователя (абонента) в массив другого, причем должны быть обеспечены возможности фиксирования и документального закрепления момента передачи информации пользователя банку данных автоматизированной системы обработки данных и содержания этой информации;
  • при неавтоматизированном вводе должна быть обеспечена защита на неавтоматизированных коммуникациях «Пользователь — автоматизированная система обработки данных», на участках подготовки данных и при вводе с местных устройствах группового ввода-вывода;
  • при пакетном выполнении запросов пользователей должно исключаться размещение в одном и том же пакете запросов на обработку информации различных ограничительных грифов;
  • при обработке запросов пользователей в реальном масштабе времени данные, поступившие от пользователей, и данные, подготовленные для выдачи пользователям, в ЗУ автоматизированной системы обработки данных должны группироваться с ограничительным грифом, при этом в каждой группе должен быть обеспечен уровень защиты, соответствующий ограничительному грифу данных группы.
  • в однопрограммном режиме работы в процессе выполнения программы должны предупреждаться:
  1. несанкционированное обращение к программам;
  2. несанкционированный ввод данных для решаемой задачи;
  3. несанкционированное прерывание выполняемой программы;
  4. несанкционированная выдача результатов решения;
  • в мультипрограммном режиме сформулированные раньше требования относятся к каждой из выполняемых программ и дополнительно должно быть исключено несанкционированное использование данных одной программы другой;
  • в мультипроцессорном режиме сформулированные выше требования должны обеспечиваться одновременно во всех участвующих в решении задачи процессорах, кроме того, должно быть исключено несанкционированное вклинивание в вычислительный процесс при распараллеливании и при диспетчеризации мультипроцессорного выполнения программ.
  • на этапе создания автоматизированной системы обработки данных должно быть обеспечено соответствие возможностей защиты требованиям к защите информации, сформулированным в задании на проектирование, кроме того, должно быть исключено несанкционированное включение элементов (блоков) в компоненты автоматизированной системы обработки данных (особенно системы защиты);
  • на этапе функционирования автоматизированной системы обработки данных в пассивном ее состоянии должна быть обеспечена надежная защита хранящейся информации и исключены возможности несанкционированных изменений компонентов системы;
  • на этапе функционирования автоматизированной системы обработки данных в активном ее состоянии дополнительно к сформулированным раньше требованиям должна быть обеспечена надежная защита информации во всех режимах автоматизированной ее обработки.
Читайте также:
Континент tls запуск программы невозможен нарушен порядок установки программных продуктов

Источник: studfile.net

Требования к защите информации в государственных информсистемах

Федеральная служба технического экспортного контроля (ФСТЭК) разработала новую методику оценки степени информационной безопасности в госорганах и организациях с госучастием, а также в компаниях,обладающих критически важной информационной инфраструктурой (КИИ; это банки, операторы связи, представители ТЭК и т. п.). Об этом стало известно 23 ноября 2022 года.

Как пишет «Коммерсантъ» со ссылкой на заявление заместителя директора ФСТЭК Виталия Лютикова, новая методика на начальном этапе будет носить рекомендательный характер, а после ее тестирования возможен переход на обязательный подходит.

ФСТЭК разработала новую методику оценки кибербезопасности для госорганов

Служба выделяет четыре уровня защищенности — высокий, базовый повышенный, базовый и низкий, следует из презентации ведомства, с которой ознакомился «Коммерсант». Результат будет складываться из трех основных показателей: организация и управление защитой информации, внедрение мер защиты, поддержка ее уровня (например, мониторинг и реагирование компании на инцидент, управление уязвимостями). Кроме того, будет учитываться обучение персонала и осведомленность сотрудников в вопросах кибербезопасности. Награды TAdviser IT PRIZE вручены в 9 номинациях

Новая методика ФСТЭК похожа на оценку «цифровой зрелости» организаций, которую аппарат вице-премьера Дмитрия Чернышенко применил к федеральным органам исполнительной власти в рамках цифровой трансформации, объяснил собеседник издания в правительстве. По его словам, методика необходима властям, поскольку «сейчас [к ноябрю 2022 года] собрать картину кибербезопасности в КИИ очень сложно».

Разрабатываемый ФСТЭК подход должен стать опорным и для заказчиков, и для разработчиков, полагает руководитель исследований ГК «Астра» Роман Мылицын. По его мнению, методика будет уточняться и отрабатывается на реальных проблемах. [1]

Минцифры предписало госкорпорациям провести аудит кибербезопасности

В июне 2022 года Министерство цифрового развития, связи и массовых коммуникаций РФ разослало 58 ключевым госкорпорациям письмо, в котором указало о необходимости провести аудит информационной безопасности. Согласно обращению, с которым ознакомился «Коммерсантъ», для оценки уровня защищенности ИТ-систем можно привлекать любые профильные организации, сертифицированные ФСТЭК и ФСБ.

Читайте также:
По средствам программы как пишется

Как сообщила пресс-служба Минцифры, мероприятия по ИБ-аудиту компаниям необходимо провести до 1 июля 2022 года. В ведомстве подчеркнули, что письмо не является требованием Минцифры, а рассылается во исполнение указа президента РФ «О дополнительных мерах по обеспечению информационной безопасности РФ».

Министерство цифрового развития, связи и массовых коммуникаций РФ разослало 58 ключевым госкорпорациям письмо, в котором указало о необходимости провести аудит информационной безопасности

По сообщению издания, госкорпорациям нужно выявить уязвимости в своих системах, недостатки инструментов защиты от кибератак, а также обозначить стратегические риски — недопустимые события для каждого предприятия. К таковым относятся, в частности, утечки персональных данных и другой важной информации, а также мошенническая активность в банковских системах.

По словам директора центра мониторинга и противодействия кибератакам IZ:SOC «Информзащиты» Ивана Мелехина, для решения задачи одной небольшой компании может потребоваться 40–50 дней в зависимости от количества задействованных сотрудников, при этом специалисты должны обладать высокой квалификацией. Также придется использовать специализированное ПО, например сканеры уязвимостей, однако не все отечественные продукты удовлетворяют заявленным требованиям, добавил он.

В список компаний, которым предписано провести ИБ-аудит, вошли, «Почта России», «Газпром-медиа холдинг», «Росатом», «Сибур», «Сбербанк» и др. [2]

Почти все регионы России создали штабы по кибербезопасности

1 июня 2022 года в Министерстве цифрового развития, связи и массовых коммуникаций РФ сообщили, что 99% российских регионов и 85% органов власти создали штабы по информационной безопасности. Созданы и функционируют в полном объеме 76 из 85 штабов, восемь находятся на этапе согласования, передает ТАСС со ссылкой на пресс-службу ведомства.

Согласно заявлению Минцифры, большая часть регионов проявили активность и представили свои предложения по повышению эффективности работы в рамках кибербезопасности. В министерстве 1 июня 2022 года также добавили, что в ближайшей перспективе задачи оперативных штабов будут дополнены мерами по реализации указа президента от 1 мая «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации».

Почти все регионы России создали штабы по кибербезопасности

Как уточнили в Минцифры, программа реализуется с максимально возможной скоростью. К 1 июня 2022 года об исполнении поручений отчиталось подавляющее большинство органов власти и почти все регионы.

Как пишет «Коммерсантъ» со ссылкой на протокол совещания вице-премьера Дмитрия Чернышенко с федеральными и региональными руководителями цифровой трансформации, которое состоялось 20 мая 2022 года, заместитель председателя Правительства РФ поручил 18 федеральным министерствам и ведомствам «немедленно» завершить проект по созданию в регионах штабов для противодействия киберугрозам. По данным издания, даже там, где эти структуры созданы, они работают лишь на бумаге. Сроки исполнения поручений затягивают дефицит профильных кадров и долгая цепочка согласований, считают опрошенные газетой эксперты. Кроме того, отмечают они, само по себе создание штаба защититься от атак не сильно поможет, для этого потребуются дополнительные меры и существенные ресурсы. [3] [4]

«Яндекс», «Сбертех» и другие ИТ-компании под эгидой ФСТЭК разработали требования к защите средств контейнеризации

Экспертная группа под руководством ФСТЭК разработала требования по безопасности информации к средствам контейнеризации. Об этом на отраслевой конференции в феврале 2022 года рассказал начальник управления ФСТЭК Дмитрий Шевцов. После их обсуждения и доработки до конца февраля планируется приступить к оценке регулирующего воздействия, а затем зарегистрировать документ в Минюсте.

В состав экспертной группы, разработавшей требования, вошли представители «Яндекса», «Сбертеха», «РусБИТеха», Positive Technologies, «РедСофт», ИСП РАН, BellSoft и ряда других. При формировании состава участников ФСТЭК ориентировалась на те организации, которые создают решения с технологиями контейнеризации и готовятся к их сертификации, пояснил Шевцов.

Из презентации Дмитрия Шевцова

Технологии контейнеризации, которые приобрели большую популярность во всём мире, применяются и в государственных информационных системах в России. В контексте разработки требований к защите средств контейнеризации представитель ФСТЭК упомянул платформу «Гостех», на которую планируется перевести многие ИТ-системы госорганов. По задумке она должна стать основным инструментом цифровой трансформации в госсекторе.

В стеке технологий «Гостеха» присутствует контейнеризация (Docker) и оркестровка (Kubernetes), и одним из её элементов является OpenShift — открытая и расширяемая платформа приложений-контейнеров, которая позволяет использовать Docker и Kubernetes.

Ознакомиться с проектом новых требований лицам, не участвующим в их разработке, пока нельзя: документ пока будет иметь ограничительную пометку «Для служебного пользования», уточнил Дмитрий Шевцов. Документ станет доступен более широкому кругу, когда он будет полностью готов, и когда ФСТЭК оповестит о его доступности.

Читайте также:
Континент tls запуск программы невозможен нарушен порядок установки программных продуктов

Надо сказать, что ещё несколько лет назад на одной из конференций представители ФСТЭК рассказывали, что работали над созданием требований к защите средств виртуализации. Был проект этого документа. По словам Дмитрия Шевцова, теперь в свете работы над требованиями к средствам контейнеризации ФСТЭК постарается его актуализировать.

2020

Российские средства шифрования начинают использоваться в госсистемах

3 июля 2020 года стало известно о предстоящем начале использования российского шифрования в государственных ИТ-системах. 15 июля начнётся эксперимент, целью которого является подготовка к полноценному внедрению отечественных криптографических систем, а также к переходу госорганов, организаций и граждан на электронное взаимодействие с использованием российских решений в сфере криптозащиты.

Пилотный проект продлится до 1 марта 2021 года, сообщает ТАСС Информационное агентство России со ссылкой на постановление правительства, текст которого размещен на портале правовой информации.

Пилотный проект по использованию российского шифрования в госсистемах начнется 15 июля

Согласно документу, обеспечивать реализацию проекта будут Минкомсвязи, ФСБ и ФСТЭК России. Предложения по реализации пилотного проекта должны быть предоставлены операторами в Минкомсвязь до 10 июля 2020 года, а само министерство по согласованию с ФСБ должно до 15 июля разработать и утвердить план пилотного проекта.

До декабря Минкомсвязи должно будет представить в правительство доклад о ходе реализации пилотного проекта, уточняется в постановлении, подписанном премьер-министром Михаилом Мишустиным.

В рамках эксперимента кабмин планирует проработать механизм использования инфраструктуры так называемого головного удостоверяющего центра в целях его дальнейшего введения в промышленную эксплуатацию в соответствии с планами федерального проекта «Информационная безопасность» в рамках национального проекта «Цифровая экономика».

Минкомсвязи поручено до 1 марта 2021 года внести в правительство проекты актов для создания законодательной базы для последующего внедрения отечественных криптографических средств шифрования. [5]

2019

Производителей ПО, которые не раскроют исходники, оставят без госзаказов в России

20 сентября 2019 года стало известно, что в России усложнили ИТ-компаниям правила сертификации, в результате чего производители программного обеспечения, которые откажусь раскрыть исходники ПО, могут остаться без госзаказов.

1 июня 2019 года Федеральная служба по техническому и экспортному контролю (ФСТЭК) ввела правила, согласно которым разработчики средств защиты информации должны с помощью специальных лабораторий оценить, соответствуют ли их средства новым требованиям, и представить данные во ФСТЭК для переоформления сертификата.

С 1 января 2019 года ряд ИТ-компаний может лишиться права работать с госорганами из-за усложнения правил сертификации

Как пояснили РБК несколько участников ИТ-рынка, новые требования предусматривают полный доступ к исходному коду продукта для проверки на предмет наличия недекларированных возможностей (так называемые закладки или скрытые функции, которые, например, приводят к нарушению конфиденциальности).

По словам руководителя службы информационной безопасности «Новых облачных технологий» Александра Буравцова, к 20 сентября 2019 года в реестре средств защиты информации нет средств, сертифицированных по новым правилам. С момента подачи заявки до внесения в реестр может пройти от полугода до нескольких лет, и даже сертификаты, выданные в конце августа 2019 года, оформлялись по старым требованиям, отметил он.

Ранее ФСТЭК предупреждала, что с 1 января 2020 года она может приостановить действие сертификатов соответствия средств защиты информации, если разработчики и производители этих средств не проведут переоценку их соответствия уровням доверия. Это значит, что такие решения нельзя будет использовать в государственных ИТ-системах. [6]

Публикация изменений в требования к защите информации в государственных информсистемах

17 сентября 2019 года стало известно, что Федеральная служба по техническому и экспортному контролю опубликовала изменения в Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах [7] . Эти требования были утверждены еще в начале 2013 года, и вот теперь в них внесен ряд изменений.

ФСТЭК

Документ был утвержден еще 28 мая 2019 года, однако приказ опубликован только в сентябре 2019 года.

Всего вносятся изменения в 18 пунктов требований, причем большинство нововведений представляют собой дополнения или конкретизацию ранее изложенных положений.

Вступающие в силу изменения представляют, в первую очередь, интерес для центров обработки данных, которые предполагают размещать у себя государственные информационные системы, а также для операторов таких систем, которые могут пожелать разметить их в ЦОД.

Так, например, подчеркивается, что если информационная система создается на базе информационной-телекоммуникационной инфраструктуры ЦОД, то такая инфраструктура должна быть аттестована на соответствие требованиям ФСТЭК.

При этом аттестат соответствия теперь выдается на весь срок эксплуатации информационной системы, но оператор должен «обеспечивать поддержку соответствия системы защиты информации аттестату соответствия в рамках реализации мероприятий, предусмотренных пунктом 18 настоящих требований».

В обновленном варианте Требований перечисляются следующие мероприятия: анализ угроз безопасности информации, управление системой защиты информации, управление конфигурацией информационной системы и ее системой защиты информации, реагирование на инциденты, информирование и обучение персонала и контроль за обеспечением уровня защищенности информации, содержащейся в ИС. Также подразумевается, что для всех этих мероприятий заранее готовится план.

Раздел 18 дополнен также тремя пунктами — 18.5-18.7. В них регламентируются процедуры реагирования на инциденты с информационной безопасностью, в том числе анализ, принятие мер по устранению инцидентов, восстановление систем и профилактика рецидивов; обучение персонала, контроль за его осведомленностью и практические занятия; а также меры по контролю и обеспечению уровня защищенности информации в ИС.

Тренинги для персонала предполагается проводить не реже 1 раза в два года, мероприятия по контролю за обеспечением уровня защищенности информации в ИС — не реже одного раза в год.

считает Олег Галушкин, директор по информационной безопасности компании SEQ (ранее SEC Consult Services)

Мероприятия по контролю за обеспечением уровня защищенности Требования ФСТЭК предлагают оператору проводить самостоятельно или с привлечением организации, имеющей лицензию на деятельность по технической защите конфиденциальной информации.

Также Требования освобождают операторов от принятия каких-либо дополнительных мер безопасности, если защитные системы ЦОД уже обеспечивают адекватное блокирование угроз для информационной системы, действующей на его базе. При этом оговаривается, что при проектировании вновь создаваемых или модернизируемых информационных систем, имеющих доступ к Интернету, должны использоваться только маршрутизаторы, сертифицированные в РФ на соответствие требованиям по безопасности информации.

Примечания

  1. ↑Информацию защитят по стандарту
  2. ↑Корпорациям прописали кибераудит
  3. ↑Минцифры сообщило, что практически все регионы РФ уже создали штабы по кибербезопасности
  4. ↑Киберзащита в нештабной ситуации
  5. ↑Пилотный проект по использованию российского шифрования в госсистемах начнется 15 июля
  6. ↑Отказавшихся раскрыть исходный код разработчиков софта лишат госзаказов
  7. ↑Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах

Источник: www.tadviser.ru

Рейтинг
( Пока оценок нет )
Комментарии0
Загрузка ...
Похожие материалы
EFT-Soft.ru