Страницы

Показаны сообщения с ярлыком ФСТЭК. Показать все сообщения
Показаны сообщения с ярлыком ФСТЭК. Показать все сообщения

Новые требования к лицензиатам ФСТЭК

Пробежался по новому ПП541, которое вносит изменения в ПП79 и ПП171, описывающие требования к получению лицензии ФСТЭК по ТЗКИ и разработке СЗИ. Вступает в силу через год.

Изменения существенные.

Ближе к делу! »
на 18 комментариев: Ярлыки: ,

Парсим базу угроз ФСТЭК


Как мы знаем, ФСТЭК на днях запустил портал с угрозами и уязвимостями ГИС/АСУ ТП.
Идея отличная, содержимое любопытное, но форма отображения не совсем удобна.

Кликать по каждой ссылке чтобы посмотреть каждую угрозу очень неудобно. Гораздо удобнее иметь все угрозы и уязвимости в одном файле, из которого их можно автоматически выуживать в соответствие с заданными параметрами. Для этого подойдет XLS, XLSX, XML, но никак не HTML.


Ближе к делу! »
на 5 комментариев: Ярлыки:

Новости ФСТЭК с ТБФорума


Я редко пишу о новостях, вся суть которых сводится к изменениям, которые ждут нас в будущем. Дело это неблагадарное, ибо не раз уже случалось так, что это самое будущее не наступало или серьезно отличалось от заявленного. Вспомните, хотя бы, историю с поднятием штрафов за ПДн....

Но сегодня, пожалуй, можно сделать исключение.

Ближе к делу! »
на Комментариев нет: Ярлыки:

ФСТЭК. Защита оборудования с ЧПУ.


Несмотря на то, что тема защиты АСУ ТП только начинает активно развиваться, у ФСТЭКа есть "старая" нормативная ветка ДСПшных документов, созданная еще во времена защиты ключевых систем (КСИИ).
Один из таких документов  - это Положение по защите информации при использовании оборудования с числовым программным управлением, предназначенного для обработки информации ограниченного доступа, не содержащей сведений, составляющих государственную тайну. Утверждено приказом ФСТЭК от 29 мая 2009г. №191. ДСП.

Вот о нём и пойдет сегодня речь...

Ближе к делу! »
на 1 комментарий: Ярлыки: ,

Про средства доверенной загрузки


Как известно, сегодня информационный безопасник - это иммам, толкующий волю Регулятора пастве. Время от времени возникают ситуации, когда вместо того, чтобы выводить длинную цепочку рассуждений, опираясь на различные положения и стандарты, гораздо проще задать прямой ответ Регулятору. Благо сегодня у каждого госоргана есть интернет-приемная или хотя бы электронный ящик, куда можно послать запрос.

В начале октября я написал во ФСТЭК письмо на ящик postin@fstec.ru про средства доверенной загрузки. Дело в том, что в письме ФСТЭК  N 240/24/405 о вводе новых требований к СДЗ нет привычного "могут применятся", от чего складывается впечатление, что применять СДЗ нужно обязательно, что заставляет нас несколько нервничать при выборе СЗИ для ИСПДн 3 и 4 уровня защищённости.

Ближе к делу! »
на 2 комментария: Ярлыки: ,

ГОСТ РО 0043-004-2013. Программа и методики аттестационных испытаний.


Сегодня мы будем препарировать очередной закрытый ГОСТ, раскрывающий самую сакральную процедуру в мире отечественной информационной безопасности - аттестацию.
Ближе к делу! »
на 21 комментарий: Ярлыки: , ,

ГОСТ РО 0043-001-2010. Ключевые системы. Термины и определения


Садитесь поудобней. Сегодня я расскажу вам об одном интересном закрытом ГОСТе:

  • ГОСТ РО 0043-001-2010 Защита информации. Обеспечение безопасности информации в ключевых системах информационной инфраструктуры. Термины и определения.
Ближе к делу! »
на 10 комментариев: Ярлыки: , ,

Загадка


А давайте поиграем в игру! Я буду загадывать загадки, а вы - разгадывать!

Ну что, начнем?

Ближе к делу! »
на 18 комментариев: Ярлыки: ,

РД ФСТЭК по КСИИ

В нашей нормативке по ИБ чёрт ногу сломит. Если ещё учесть и то, что большая часть документов ФСТЭК имеет гриф "для служебного пользования", то ситуация начинает вообще напоминать то ли комедию, то ли трагедию.
Дспшный документ так просто не достанешь: вначале нужно пронюхать о его существовании, затем найти место где его можно достать, потом за него нужно заплатить и пару месяцев подождать пока его вам привезут.
Иногда документ приходит к вам в виде симпатичной цветной книжечки, иногда в виде стопки прошитых ксерокопий. В большинстве случаев после прочтения документа у вас в голове будет вертеться всего один вопрос - зачем всё так усложнять? К сожалению ответ вероятнее всего банален - торговля цветными книжечками приносит деньги, ну и помогает сакрализовать работу ИБэшника, что дает последнему возможность выигрывать в спорах с сисадминами ("Надо делать так, потому что так написано в закрытом документе, который я тебе не имею права показывать.").

Тема защиты ключевых систем информационной инфраструктуры редко всплывает в сети, поэтому я решил написать небольшой пост о структуре документов по КСИИ, в надежде, что блуждающий по выдаче поисковых систем путник зайдёт сюда и все поймёт.
Ближе к делу! »
на 11 комментариев: Ярлыки: ,

О дыре в 17 приказе ФСТЭК


Регуляторы регулировали, регулировали, да не вырегулировали....

С того момента, как в сети появилась информация о том, что ФСТЭК разрабатывает новый документ на замену СТР-К, я не переставал надеяться, что мы, наконец-таки, получим руководящий документ, который станет фундаментом для всей деятельности по защите конфиденциальной информации. Я надеялся, что новый документ заменит РД 20 летней давности и уберет из лексикона ИБэшника такие термины, как наводка, программный останов, специсследования и т.д.
Но этого не произошло. Вместо широкопрофильного руководящего документа мы получили узкоспециализированный приказ, перекрывающий только малую часть информационных систем даже в государственных структурах.
Ближе к делу! »
на 15 комментариев: Ярлыки: , ,

ДСПшный ГОСТ 0043-003-2012 по аттестации объектов информатизации

И всё-таки с документами у нас беда.
Почти 2 года назад вышли поправки в 152-ФЗ, меняющие подход к защите информационных систем персональных данных и требования к системам защиты. Спустя полтора года вышло соответствующее Постановление Правительства. Спустя еще 3 месяца вышли документы ФСТЭК, определяющие правила игры всей отрасли ИБ на ближайшие пару лет. Уже 4 месяц эти документы лежат в Минюсте и неизвестно сколько им ещё там лежать... 

Получается классическая для нашей страны ситуация - закон есть, контролер есть, штрафы есть, а требований уже почти 2 года как нет, и когда будут - никто не знает.

Ближе к делу! »
на 19 комментариев: Ярлыки: , ,

Типовой набор средств защиты для ИСПДн

Для соответствия требованиям нормативных документов по защите перс.данных, каждая ИСПДн должна обладать следующим набором средств защиты информации - СЗИ (взят из 58 приказа ФСТЭК):
  • Средства управления доступом регистрации и учёта, обеспечения целостности;
  • Средства межсетевого экранирования;
  • Средства обнаружения вторжений;
  • Средства антивирусной защиты;
  • Средства анализа защищённости;
  • Средства защиты каналов связи - если имеется факт передачи ПДн за пределы контролируемой зоны;
  • Средства шифрования - если нет охранной сигнализации или круглосуточного дежурства, если ПДн хранятся на ноутбуке, который периодически покидает пределы контролируемой зоны и т.д.
Все указанные категории средств защиты должны иметь соответствующие сертификаты ФСТЭК и ФСБ (именно по таким категориям вас попросят предъявить заверенные копии сертификатов при проверке). 
Допускается использовать комплексные СЗИ. Например антивирус с межсетевым экраном и модулем обнаружения вторжений. Однако в таком случае продукт должен иметь соответствующие сертификаты: и по классу СВТ, и по классу МЭ, и как "средство обнаружения вторжений". 
Вот пример подбора средств защиты для многопользовательской ИСПДн К2 из 1 АРМ:
Ближе к делу! »
на 6 комментариев: Ярлыки: ,

Как потерять лицензию ФСТЭК по ТЗКИ

Не секрет, что лицензия ФСТЭК на деятельность по ТЗКИ является ключевым требованием в 100% работ по защите информации. Поэтому потерять ее даже временно - большая трагедия для компании.
А как же такое может произойти?
Рассмотрим подробнее....

Ближе к делу! »
на 4 комментария: Ярлыки: ,

Методические рекомендации ФСТЭК ЮФО

Практически одновременно с 58 приказом большого ФСТЭКа, ФСТЭК ЮФО выпустил и свой документ по защите ПДн, основанный на отмененном четверокнижие.
Спустя полгода, в июне 2010 года были выпущены обновленные Методические рекомендации ФСТЭК ЮФО уже на базе 58 приказа, о которых я и хотел бы сегодня рассказать.
Документ, в целом, неплохой. Его основным существенным бонусом является наличие аж 13 шаблонов документов (!). 
Вот они:
1. Акт классификации;
2. Матрица доступа;
3. Приказ об организации работ по безопасности ПДн;
4. Список сотрудников, имеющих доступ к ПДн;
5. Инструкция по учёту лиц, допущенных к работе с ПДн;
6. Модель угроз;
7. Требования по обеспечению безопасности ПДн;
8. Журнал учёта средств защиты информации;
9. Заключение о возможности эксплуатации средств защиты информации;
10. Инструкция по организации резервирования и восстановления;
11. Журнал учёта машинных носителей ПДн;
12. Акт обследования ИСПДн;
13. Описание системы защиты ПДн в ИСПДн.

За что я люблю этот док, так это за наличие шаблонов аттестационных документов и достаточно подробное описание процесса аттестации. Так же документ прописывает ответственность лицензиатов за соответствие системы защиты ПДн требованиям ФСТЭК и даже ссылается на наказание в виде статьи 723 ГК РФ, что порой бывает полезно :).
Аутсорсинг обработки ПДн все популярней и популярней с каждым днем, однако лицензии ФСТЭК есть далеко не у всех компаний, предоставляющих такие услуги. Обосновать необходимость подобной лицензии поможет п.3.2. документа, который говорит о том, что аутсорсер должен быть лицензиатом ФСТЭК (кстати перечень лицензиатов есть здесь).

Резюмируя всё вышесказанное, могу сказать, что спустя полтора года документ по-прежнему актуален и порой просто незаменим. А вот и он.
на 2 комментария: Ярлыки: , , ,
Подписаться на: Сообщения (Atom)