воскресенье, 16 октября 2016 г.

ГОСТ по разработке безопасного ПО


Кроме ГОСТ Р 56938-2016, о котором я писал в предыдущем посте, в тот же день, 1.06.2016 г утвержден еще один давно обещанный ФСТЭК ГОСТ: ГОСТ Р  56939-2016 «Защита информации. Разработка безопасного программного обеспечения. Общие требования».
Целью стандарта является предотвращение появления и устранение уязвимостей программного обеспечения, возникающих в процессе его разработки. ГОСТ «устанавливает общие требования к содержанию и порядку выполнения работ, связанных с созданием безопасного (защищенного) ПО и формированием среды обеспечения оперативного устранения выявленных пользователями ошибок ПО и уязвимостей программы».

четверг, 13 октября 2016 г.

Новый ГОСТ от ФСТЭК


1 июня 2017 г вводится в действие новый ГОСТ Р 56938-2016 «Защита информации. Защита информации при использовании технологий виртуализации. Общие положения». В стандарте приведена терминология в области виртуализации, в частности, даны определения понятиям «виртуальная инфраструктура», «виртуализация», «гипервизор» (введены три типа гипервизоров), «виртуальная машина» и др. Наличие определений всегда полезно для единства понимания ключевых терминов и уменьшения бесплодных дискуссий.

среда, 7 сентября 2016 г.

Исключительно автоматизированные штрафы


Недавние скандалы со штрафами за пересечение тенью автомобиля сплошной линии разметки приоткрыли завесу над тем, кто на самом деле принимает решение о наложении штрафа. В «письмах счастья», которые получают водители, написано, что решение о наложении штрафа принял, якобы, старший лейтенант Пупкин. И даже факсимиле подписи Пупкина там имеется. На деле же, как видим, решение принимает сама система. То есть автоматически. Или как написано в законе «О персональных данных», «исключительно автоматизировано».
А что еще по этому поводу написано в законе?

воскресенье, 3 июля 2016 г.

Обязательные справочники


Итак, свершилось: с 1 июля вступили силу ряд статей ФЗ «О стандартизации в Российской Федерации» (162-ФЗ). Следовательно, с 1 июля документы по стандартизации «в отношении продукции (товаров, работ, услуг), используемой в целях защиты сведений, составляющих гос. тайну или относимых к охраняемой в соответствии с законодательством РФ иной информации ограниченного доступа» применяются по принципу обязательности. Как это обычно бывает, после введения новой законодательной нормы возникает ряд вопросов

понедельник, 15 февраля 2016 г.

Всё начнется с начала


О прошедшем на прошлой неделе ТБ-форуме коллеги уже рассказали (и, надеюсь, расскажут еще).
Приятно, что ФСТЭК делится с общественностью своими планами и просто точкой зрения.

В практике исполнения Приказа №17 накопилось много вопросов, на которые нет ответов в нормативке, а обещанные еще в 2013 (!) году методички так и не появились.
Что имеем на практике?
По-прежнему нет внятного ответа на пресловутый вопрос «что такое ГИС?», есть только мнения управлений ФСТЭК по федеральным округам (причем, мнения эти могут меняться). Планируемые поправки в 149-ФЗ может и внесут ясность в этот вопрос, но создадут другой: где взять деньги на аттестацию всего и вся? Надежды на то, что низший класс ГИС можно будет аттестовать «проще» вряд ли обоснованы: те же руководители управлений ФСТЭК в ФО займут позицию «Никаких низших классов, аттестовать все по максимуму. Это же госинформресурс!».

понедельник, 11 января 2016 г.

Роль и место ИБ в новой Стратегии нац. безопасности РФ


В канун Нового года Президент утвердил новую Стратегию национальной безопасности РФ (взамен Стратегии НБ РФ до 2020 г, т.е. 2020 года решено не дожидаться). Вообще-то эксперты предрекали утверждение новой Доктрины информационной безопасности, но Президент, как водится, поступил неожиданно, хотя и более логично: Доктрина ИБ должна вытекать из Стратегии НБ, а не наоборот.
Поскольку информационная безопасность – одна из компонент нац. безопасности, в «Стратегии …» можно найти несколько пунктов, прямо или косвенно относящихся к вопросам ИБ. Давайте вкратце посмотрим, что говорит «Стратегия …» об ИБ, а заодно и об информационных технологиях.

среда, 26 августа 2015 г.

А почему нельзя?


Специалисты уже давно и много говорят о том, как нехорошо, когда госчиновники используют для служебной переписки зарубежные почтовые сервисы. А сегодня, выступая во Владивостоке, об этом в очередной раз повторил и секретарь Совбеза РФ. И даже призвал наказывать чиновников за пользование Google, Yahoo, WhatsApp и других вредоносных сервисов.

С точки зрения ИБ, г-н Патрушев абсолютно прав: из каждого американского софта торчат (ну, или потенциально могут торчать) уши Обамы. С этим не поспоришь. А как обстоит дело в юридической плоскости? Что нарушает чиновник, заводя себе почту на gmail.com? Какие сведения могут стать доступными врагу?