вторник, 16 мая 2017 г.

Новое в жизненном цикле ГИС

23 мая вступают в силу поправки в Постановление Правительства №676 «О требованиях к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации». В чем суть поправок? В общем-то в том, что при принятии 676-го Постановления авторы почему-то проигнорировали необходимость защиты информации, обрабатываемой в ГИС. Скорее всего, просто не знали о существовании 17-го приказа ФСТЭК. И вот теперь все становится на свои места: на каждом этапе жизненного цикла ГИС (разработка рабочей документации на систему, разработка ПО,  пусконаладочные работы, проведение предварительных испытаний системы и т.д.) требуется и проведение мероприятий по ЗИ. Проще говоря, часть требований 17-го приказа включили в требования к жизненному циклу создаваемых ГИС. Ничего нового. За исключением одного «нюанса»: модель угроз и техническое задание на ГИС теперь нужно будет согласовывать с ФСБ и с ФСТЭК. Практика такого согласования встречалась и раньше, но не было обязаловки: регулятор в ряде случаев сам требовал от оператора или от разработчика направить МУ на согласование. Теперь это станет обязательным. Самое неприятное в этом требовании то, что ФСТЭК так и не придумала методику определения угроз для ГИС. Поэтому угадать «как правильно написать МУ» будет сложно. Большинство живут по методике 2008 г, что не совсем правильно. Кто-то приноровился работать по неутвержденному проекту новой методики, что еще менее правильно. Как говорится – куда ни кинь…

А второй проблемой здесь является то, что МУ следует писать на еще несуществующую систему, на которую даже нет технического задания. Очень сложно искать угрозы в системе, которой нет, а еще сложнее доказать, что они неактуальны. Возможно, такая картина устраивает регуляторов: неважно, какая у вас модель угроз, важно, как вы ее согласовали…

четверг, 16 февраля 2017 г.

БДУ ФСТЭК: состояние и перспективы

Продолжу рассказ о конференции «Актуальные вопросы защиты информации». Кроме представителей центрального аппарата ФСТЭК, на конференции выступил представитель ГНИИИ ПТЗИ С.В. Соловьев с рассказом о Банке данных угроз и уязвимостей и о перспективах его развития.
На момент доклада в БДУ содержались сведения о 15377 уязвимостях и 194 угрозах. Разумеется, эти цифры будут пополняться, а работа с БДУ станет более удобной.
В 2016 г реализовано представление сведений об уязвимостях в формате XML. Соотношение количества уязвимостей по уровню их опасности в 2016 г выглядело следующим образом:
Низкая опасность – 2%
Средняя – 31%
Высокая – 64%
Критическая – 3%.

Соотношение критических уязвимостей по производителям ПО:
 Равнение на лидеров! :)

Наиболее популярные параметры при обращении к базе уязвимостей: тип ПО, вендор и уровень опасности уязвимости

В 2016 г реализовано еженедельное обновление базы уязвимостей, а сам БДУ перенесен в защищенный гос. сегмент RSNet.  Подготовлен калькулятор CVSS v.3.0.

Наиболее популярные уязвимости в 2016г:

Наиболее «популярное» ПО с точки зрения запросов о наличии уязвимостей:  


понедельник, 13 февраля 2017 г.

Вопросы сертификации СЗИ на ТБ-форуме

Наибольше внимание на конференции «Актуальные вопросы защиты информации» (8 февраля, г. Москва) представители ФСТЭК традиционно уделили вопросам сертификации СЗИ. Презентация начальника 2 управления ФСТЭК Д.Н. Шевцова так и называлась: «Проблемные вопросы сертификации СЗИ». Наибольшим вниманием со стороны регулятора в данной области пользуются следующие направления:
            -   Разработка и внедрение требований к СЗИ;
-   Качество поддержки сертифицированных СЗИ;
 -  Прекращение поддержки сертифицированных СЗИ;
-   Выявление и устранение уязвимостей в СЗИ заявителями на сертификацию, испытательными лабораториями и операторами ИС.
Дмитрий Николаевич напомнил, какие документы, определяющие требования к СЗИ были утверждены начиная с 2011 г. В 2017 году планируется утвердить требования:
Дальнейшие планы разработки требований озвучены не были, чтобы не подвергаться критике за то, что иногда заявленные сроки выхода документов не соблюдаются.

Поскольку после ввода в действие новых требований к МЭ возникло много вопросов, ФСТЭК готовит по этому поводу специальное инф. Сообщение, в котором будут разъяснены следующие вопросы:
Разумеется, находящиеся сейчас в эксплуатации МЭ, сертифицированные по требованиям 1997 года можно использовать до окончания срока действия сертификата. Продлять такие сертификаты ФСТЭК будет в индивидуальном порядке при условии отсутствия в них актуальных уязвимостей.

Так же в презентации показано, какие МЭ уже получили сертификаты на соответствие новым требованиям:
 В настоящее время процедуру сертификации проходит еще ряд продуктов.

Что больше всего беспокоит ФСТЭК в области сертификации и эксплуатации СЗИ? Этому посвящен следующий слайд:

воскресенье, 12 февраля 2017 г.

"Особенности" получения лицензий ФСТЭК

На прошедшей 8 февраля конференции «Актуальные вопросы защиты информации» немало внимания было уделено вопросам получения лицензий ФСТЭК. Представители регулятора объясняли суть изменений, внесенных в Постановления Правительства РФ №79 и №171. Начальник отдела лицензирования Н.И. Мищенко подробно рассказал о новых требованиях к специалистам, наличие которых обязательно для получения лицензии, о появившемся новом виде услуг по мониторингу ИБ. В новой редакции 79-го постановления четко определено, какие виды работ организации могут выполнять для собственных нужд без лицензии, а на какие работы необходимо получать лицензию даже «для себя».
В выступлении Н.И. Мищенко чувствовалось желание сделать вопросы, касающиеся лицензирования, более понятными для соискателей. Представитель ФСТЭК рекомендовал обращаться за консультациями в управления ФСТЭК по Федеральным округам или в отдел лицензирования центрального аппарата и обещал помощь со стороны своих подчиненных. Более того, ФСТЭК готовит специальные методические рекомендации, в которых процедура подготовки организаций к получению лицензий будет расписана подробно. За стремление облегчить участь соискателей и сделать процедуру лицензирования прозрачной и понятной хочется сказать ФСТЭК России спасибо.
Не обошлось, конечно, и без «ложки дегтя».

понедельник, 9 января 2017 г.

Сколько ждать обещанного?

Если не ошибаюсь, методические документы, посвященные выполнению требований 17-го приказа, ФСТЭК впервые пообещала 15 июля 2013 г. Обещанного принято ждать 3 года, а в данном случае прошло уже 3,5. Сколько же еще ждать?
Из общения с коллегами из ФСТЭК пришел я к такому выводу.
Методические документы (по разработке МУ, по аттестации ИС, по обновлению ПО, по выявлению уязвимостей) практически готовы. Задержка с их утверждением обусловлена тем, что ФСТЭК намерена расширить сферу применения самого 17-го приказа: по требованиям приказа нужно будет защищать не только информацию ограниченного доступа, обрабатываемую в ГИС, но весь государственный информационный ресурс (в том числе общедоступный). Для такого расширения в Федеральный закон от 2006г №149-ФЗ  вносятся соответствующие поправки. Вслед за изменениями в законе будет выпущена новая редакция 17-го приказа, а вслед за ней – и новые методички. Вот такая схема.
Решение Правительства о внесении законопроекта в Госдуму состоялось 10 декабря, представляет законопроект зам. директора ФСТЭК А.В. Куц.  Так что ждать осталось не так уж долго….


воскресенье, 16 октября 2016 г.

ГОСТ по разработке безопасного ПО


Кроме ГОСТ Р 56938-2016, о котором я писал в предыдущем посте, в тот же день, 1.06.2016 г утвержден еще один давно обещанный ФСТЭК ГОСТ: ГОСТ Р  56939-2016 «Защита информации. Разработка безопасного программного обеспечения. Общие требования».
Целью стандарта является предотвращение появления и устранение уязвимостей программного обеспечения, возникающих в процессе его разработки. ГОСТ «устанавливает общие требования к содержанию и порядку выполнения работ, связанных с созданием безопасного (защищенного) ПО и формированием среды обеспечения оперативного устранения выявленных пользователями ошибок ПО и уязвимостей программы».

четверг, 13 октября 2016 г.

Новый ГОСТ от ФСТЭК


1 июня 2017 г вводится в действие новый ГОСТ Р 56938-2016 «Защита информации. Защита информации при использовании технологий виртуализации. Общие положения». В стандарте приведена терминология в области виртуализации, в частности, даны определения понятиям «виртуальная инфраструктура», «виртуализация», «гипервизор» (введены три типа гипервизоров), «виртуальная машина» и др. Наличие определений всегда полезно для единства понимания ключевых терминов и уменьшения бесплодных дискуссий.