понедельник, 9 января 2017 г.

Сколько ждать обещанного?

Если не ошибаюсь, методические документы, посвященные выполнению требований 17-го приказа, ФСТЭК впервые пообещала 15 июля 2013 г. Обещанного принято ждать 3 года, а в данном случае прошло уже 3,5. Сколько же еще ждать?
Из общения с коллегами из ФСТЭК пришел я к такому выводу.
Методические документы (по разработке МУ, по аттестации ИС, по обновлению ПО, по выявлению уязвимостей) практически готовы. Задержка с их утверждением обусловлена тем, что ФСТЭК намерена расширить сферу применения самого 17-го приказа: по требованиям приказа нужно будет защищать не только информацию ограниченного доступа, обрабатываемую в ГИС, но весь государственный информационный ресурс (в том числе общедоступный). Для такого расширения в Федеральный закон от 2006г №149-ФЗ  вносятся соответствующие поправки. Вслед за изменениями в законе будет выпущена новая редакция 17-го приказа, а вслед за ней – и новые методички. Вот такая схема.
Решение Правительства о внесении законопроекта в Госдуму состоялось 10 декабря, представляет законопроект зам. директора ФСТЭК А.В. Куц.  Так что ждать осталось не так уж долго….


воскресенье, 16 октября 2016 г.

ГОСТ по разработке безопасного ПО


Кроме ГОСТ Р 56938-2016, о котором я писал в предыдущем посте, в тот же день, 1.06.2016 г утвержден еще один давно обещанный ФСТЭК ГОСТ: ГОСТ Р  56939-2016 «Защита информации. Разработка безопасного программного обеспечения. Общие требования».
Целью стандарта является предотвращение появления и устранение уязвимостей программного обеспечения, возникающих в процессе его разработки. ГОСТ «устанавливает общие требования к содержанию и порядку выполнения работ, связанных с созданием безопасного (защищенного) ПО и формированием среды обеспечения оперативного устранения выявленных пользователями ошибок ПО и уязвимостей программы».

четверг, 13 октября 2016 г.

Новый ГОСТ от ФСТЭК


1 июня 2017 г вводится в действие новый ГОСТ Р 56938-2016 «Защита информации. Защита информации при использовании технологий виртуализации. Общие положения». В стандарте приведена терминология в области виртуализации, в частности, даны определения понятиям «виртуальная инфраструктура», «виртуализация», «гипервизор» (введены три типа гипервизоров), «виртуальная машина» и др. Наличие определений всегда полезно для единства понимания ключевых терминов и уменьшения бесплодных дискуссий.

среда, 7 сентября 2016 г.

Исключительно автоматизированные штрафы


Недавние скандалы со штрафами за пересечение тенью автомобиля сплошной линии разметки приоткрыли завесу над тем, кто на самом деле принимает решение о наложении штрафа. В «письмах счастья», которые получают водители, написано, что решение о наложении штрафа принял, якобы, старший лейтенант Пупкин. И даже факсимиле подписи Пупкина там имеется. На деле же, как видим, решение принимает сама система. То есть автоматически. Или как написано в законе «О персональных данных», «исключительно автоматизировано».
А что еще по этому поводу написано в законе?

воскресенье, 3 июля 2016 г.

Обязательные справочники


Итак, свершилось: с 1 июля вступили силу ряд статей ФЗ «О стандартизации в Российской Федерации» (162-ФЗ). Следовательно, с 1 июля документы по стандартизации «в отношении продукции (товаров, работ, услуг), используемой в целях защиты сведений, составляющих гос. тайну или относимых к охраняемой в соответствии с законодательством РФ иной информации ограниченного доступа» применяются по принципу обязательности. Как это обычно бывает, после введения новой законодательной нормы возникает ряд вопросов

понедельник, 15 февраля 2016 г.

Всё начнется с начала


О прошедшем на прошлой неделе ТБ-форуме коллеги уже рассказали (и, надеюсь, расскажут еще).
Приятно, что ФСТЭК делится с общественностью своими планами и просто точкой зрения.

В практике исполнения Приказа №17 накопилось много вопросов, на которые нет ответов в нормативке, а обещанные еще в 2013 (!) году методички так и не появились.
Что имеем на практике?
По-прежнему нет внятного ответа на пресловутый вопрос «что такое ГИС?», есть только мнения управлений ФСТЭК по федеральным округам (причем, мнения эти могут меняться). Планируемые поправки в 149-ФЗ может и внесут ясность в этот вопрос, но создадут другой: где взять деньги на аттестацию всего и вся? Надежды на то, что низший класс ГИС можно будет аттестовать «проще» вряд ли обоснованы: те же руководители управлений ФСТЭК в ФО займут позицию «Никаких низших классов, аттестовать все по максимуму. Это же госинформресурс!».

понедельник, 11 января 2016 г.

Роль и место ИБ в новой Стратегии нац. безопасности РФ


В канун Нового года Президент утвердил новую Стратегию национальной безопасности РФ (взамен Стратегии НБ РФ до 2020 г, т.е. 2020 года решено не дожидаться). Вообще-то эксперты предрекали утверждение новой Доктрины информационной безопасности, но Президент, как водится, поступил неожиданно, хотя и более логично: Доктрина ИБ должна вытекать из Стратегии НБ, а не наоборот.
Поскольку информационная безопасность – одна из компонент нац. безопасности, в «Стратегии …» можно найти несколько пунктов, прямо или косвенно относящихся к вопросам ИБ. Давайте вкратце посмотрим, что говорит «Стратегия …» об ИБ, а заодно и об информационных технологиях.