четверг, 16 февраля 2017 г.

БДУ ФСТЭК: состояние и перспективы

Продолжу рассказ о конференции «Актуальные вопросы защиты информации». Кроме представителей центрального аппарата ФСТЭК, на конференции выступил представитель ГНИИИ ПТЗИ С.В. Соловьев с рассказом о Банке данных угроз и уязвимостей и о перспективах его развития.
На момент доклада в БДУ содержались сведения о 15377 уязвимостях и 194 угрозах. Разумеется, эти цифры будут пополняться, а работа с БДУ станет более удобной.
В 2016 г реализовано представление сведений об уязвимостях в формате XML. Соотношение количества уязвимостей по уровню их опасности в 2016 г выглядело следующим образом:
Низкая опасность – 2%
Средняя – 31%
Высокая – 64%
Критическая – 3%.

Соотношение критических уязвимостей по производителям ПО:
 Равнение на лидеров! :)

Наиболее популярные параметры при обращении к базе уязвимостей: тип ПО, вендор и уровень опасности уязвимости

В 2016 г реализовано еженедельное обновление базы уязвимостей, а сам БДУ перенесен в защищенный гос. сегмент RSNet.  Подготовлен калькулятор CVSS v.3.0.

Наиболее популярные уязвимости в 2016г:

Наиболее «популярное» ПО с точки зрения запросов о наличии уязвимостей:  


понедельник, 13 февраля 2017 г.

Вопросы сертификации СЗИ на ТБ-форуме

Наибольше внимание на конференции «Актуальные вопросы защиты информации» (8 февраля, г. Москва) представители ФСТЭК традиционно уделили вопросам сертификации СЗИ. Презентация начальника 2 управления ФСТЭК Д.Н. Шевцова так и называлась: «Проблемные вопросы сертификации СЗИ». Наибольшим вниманием со стороны регулятора в данной области пользуются следующие направления:
            -   Разработка и внедрение требований к СЗИ;
-   Качество поддержки сертифицированных СЗИ;
 -  Прекращение поддержки сертифицированных СЗИ;
-   Выявление и устранение уязвимостей в СЗИ заявителями на сертификацию, испытательными лабораториями и операторами ИС.
Дмитрий Николаевич напомнил, какие документы, определяющие требования к СЗИ были утверждены начиная с 2011 г. В 2017 году планируется утвердить требования:
Дальнейшие планы разработки требований озвучены не были, чтобы не подвергаться критике за то, что иногда заявленные сроки выхода документов не соблюдаются.

Поскольку после ввода в действие новых требований к МЭ возникло много вопросов, ФСТЭК готовит по этому поводу специальное инф. Сообщение, в котором будут разъяснены следующие вопросы:
Разумеется, находящиеся сейчас в эксплуатации МЭ, сертифицированные по требованиям 1997 года можно использовать до окончания срока действия сертификата. Продлять такие сертификаты ФСТЭК будет в индивидуальном порядке при условии отсутствия в них актуальных уязвимостей.

Так же в презентации показано, какие МЭ уже получили сертификаты на соответствие новым требованиям:
 В настоящее время процедуру сертификации проходит еще ряд продуктов.

Что больше всего беспокоит ФСТЭК в области сертификации и эксплуатации СЗИ? Этому посвящен следующий слайд:

воскресенье, 12 февраля 2017 г.

"Особенности" получения лицензий ФСТЭК

На прошедшей 8 февраля конференции «Актуальные вопросы защиты информации» немало внимания было уделено вопросам получения лицензий ФСТЭК. Представители регулятора объясняли суть изменений, внесенных в Постановления Правительства РФ №79 и №171. Начальник отдела лицензирования Н.И. Мищенко подробно рассказал о новых требованиях к специалистам, наличие которых обязательно для получения лицензии, о появившемся новом виде услуг по мониторингу ИБ. В новой редакции 79-го постановления четко определено, какие виды работ организации могут выполнять для собственных нужд без лицензии, а на какие работы необходимо получать лицензию даже «для себя».
В выступлении Н.И. Мищенко чувствовалось желание сделать вопросы, касающиеся лицензирования, более понятными для соискателей. Представитель ФСТЭК рекомендовал обращаться за консультациями в управления ФСТЭК по Федеральным округам или в отдел лицензирования центрального аппарата и обещал помощь со стороны своих подчиненных. Более того, ФСТЭК готовит специальные методические рекомендации, в которых процедура подготовки организаций к получению лицензий будет расписана подробно. За стремление облегчить участь соискателей и сделать процедуру лицензирования прозрачной и понятной хочется сказать ФСТЭК России спасибо.
Не обошлось, конечно, и без «ложки дегтя».

понедельник, 9 января 2017 г.

Сколько ждать обещанного?

Если не ошибаюсь, методические документы, посвященные выполнению требований 17-го приказа, ФСТЭК впервые пообещала 15 июля 2013 г. Обещанного принято ждать 3 года, а в данном случае прошло уже 3,5. Сколько же еще ждать?
Из общения с коллегами из ФСТЭК пришел я к такому выводу.
Методические документы (по разработке МУ, по аттестации ИС, по обновлению ПО, по выявлению уязвимостей) практически готовы. Задержка с их утверждением обусловлена тем, что ФСТЭК намерена расширить сферу применения самого 17-го приказа: по требованиям приказа нужно будет защищать не только информацию ограниченного доступа, обрабатываемую в ГИС, но весь государственный информационный ресурс (в том числе общедоступный). Для такого расширения в Федеральный закон от 2006г №149-ФЗ  вносятся соответствующие поправки. Вслед за изменениями в законе будет выпущена новая редакция 17-го приказа, а вслед за ней – и новые методички. Вот такая схема.
Решение Правительства о внесении законопроекта в Госдуму состоялось 10 декабря, представляет законопроект зам. директора ФСТЭК А.В. Куц.  Так что ждать осталось не так уж долго….


воскресенье, 16 октября 2016 г.

ГОСТ по разработке безопасного ПО


Кроме ГОСТ Р 56938-2016, о котором я писал в предыдущем посте, в тот же день, 1.06.2016 г утвержден еще один давно обещанный ФСТЭК ГОСТ: ГОСТ Р  56939-2016 «Защита информации. Разработка безопасного программного обеспечения. Общие требования».
Целью стандарта является предотвращение появления и устранение уязвимостей программного обеспечения, возникающих в процессе его разработки. ГОСТ «устанавливает общие требования к содержанию и порядку выполнения работ, связанных с созданием безопасного (защищенного) ПО и формированием среды обеспечения оперативного устранения выявленных пользователями ошибок ПО и уязвимостей программы».

четверг, 13 октября 2016 г.

Новый ГОСТ от ФСТЭК


1 июня 2017 г вводится в действие новый ГОСТ Р 56938-2016 «Защита информации. Защита информации при использовании технологий виртуализации. Общие положения». В стандарте приведена терминология в области виртуализации, в частности, даны определения понятиям «виртуальная инфраструктура», «виртуализация», «гипервизор» (введены три типа гипервизоров), «виртуальная машина» и др. Наличие определений всегда полезно для единства понимания ключевых терминов и уменьшения бесплодных дискуссий.

среда, 7 сентября 2016 г.

Исключительно автоматизированные штрафы


Недавние скандалы со штрафами за пересечение тенью автомобиля сплошной линии разметки приоткрыли завесу над тем, кто на самом деле принимает решение о наложении штрафа. В «письмах счастья», которые получают водители, написано, что решение о наложении штрафа принял, якобы, старший лейтенант Пупкин. И даже факсимиле подписи Пупкина там имеется. На деле же, как видим, решение принимает сама система. То есть автоматически. Или как написано в законе «О персональных данных», «исключительно автоматизировано».
А что еще по этому поводу написано в законе?