Новая редакция Определение угроз безопасности информации – на стадии разработки системы защиты информации Добавляется 5 новых документов, определяющих правила и процедуры


Чтобы посмотреть этот PDF файл с форматированием и разметкой, скачайте файл и откройте на своем компьютере.
СОВЕРШЕНСТВОВАНИЕ НОРМАТИВНОГО И МЕТОДИЧЕСКОГО ОБЕСПЕЧЕНИЯ ЗАЩИТЫ ИНФОРМАЦИИ Начальник 2 управления ФСТЭК России Лютиков Виталий Сергеевич ПЕРЕЧЕНЬ ИЗМЕНЕНИЙ, КОТОРЫЕ ВНОСЯТСЯ В ТРЕБОВАНИЯ О ЗАЩИТЕ ИНФОРМАЦИИ, НЕ СОСТАВЛЯЮЩЕЙ ГОСУДАРСТВЕННУЮ ТАЙНУ, СОДЕРЖАЩЕЙСЯ В ГОСУДАРСТВЕННЫХ ИНФОРМАЦИОННЫХ СИСТЕМАХ, УТВЕРЖДЕННЫЕ ПРИКАЗОМ ФСТЭК РОССИИ ОТ 11 ФЕВРАЛЯ 2013 г. № 17 2 Новая редакция Определение угроз безопасности на стадии формирования требований Определение угроз безопасности информации – на стадии разработки системы защиты информации Разрабатываемые организационно - распорядительные документы Действующая редакция Добавляется 5 новых документов, определяющих правила и процедуры (политики) защиты информации Классы защищенности информационной системы Устанавливается 3 класса защищенности информационной системы (самый низкий – 3 , самый высокий - 1 ) Состав мер защиты информации Дополняется 9 новыми группами мер состав мер защиты информации СОСТАВ МЕР ЗАЩИТЫ ИНФОРМАЦИИ В ГОСУДАРСТВЕННЫХ ИНФОРМАЦИОННЫХ СИСТЕМАХ 3 В ыявление инцидентов и реагирование на них Идентификация и аутентификацию субъектов доступа и объектов доступа Целостность информационной системы и информации Контроль (анализ) защищенности информации Управление доступом субъектов доступа к объектам доступа Ограничение программной среды Защита машинных носителей информации Регистрация событий безопасности Антивирусная защита Обнаружение (предотвращение) вторжений Безопасная разработка программного обеспечения Защита информации при использовании мобильных устройств З ащита информационной системы, ее средств, систем связи и передачи данных Доступность информации Защиту среды виртуализации Защита технических средств Управление обновлениями программного обеспечения Планирование мероприятий по обеспечению защиты информации И нформирование и обучение персонала Анализ угроз безопасности информации и рисков от их реализации Управление конфигурацией информационной системы и ее системы защиты информации Управление потоками информации СООТВЕТСТВИЕ КЛАССА ЗАЩИЩЕННОСТИ ИНФОРМАЦИОННОЙ СИСТЕМЫ И КЛАССА ЗАЩИТЫ СЗИ 4 Информационная система Класс защищенности информационной системы Класс защиты СЗИ В информационных системах всех классов защищенности применяются средства защиты информации, программное обеспечение которых прошло проверку не ниже чем по 4 уровню контроля отсутствия недекларированных возможностей 1 2 3 4 5 6 АНАЛИЗ УЯЗВИМОСТЕЙ ИНФОРМАЦИОННОЙ СИСТЕМЫ 5 Анализ уязвимостей проводится на этапах Внедрения системы защиты информации Аттестации информационной системы В соответствии с пунктами 14.3, 16.6 и 17.1 Требований о защите информации , не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденных приказом ФСТЭК России от 11 февраля 2013 г. № 17 Требования к мерам защиты информации в государственных информационных системах 6 Меры защиты в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды Приказ ФСТЭК России от 14 марта 2014 г. № 31 «Об утверждении Требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды Методический документ ФСТЭК России (2016 год) 7 НОВЫЕ ДОКУМЕНТЫ НАЦИОНАЛЬНОЙ СИСТЕМЫ СТАНДАРТИЗАЦИИ НАПРАВЛЕНЫ В РОССТАНДАРТ ГОСТ Р ХХХХХ - 20 ХХ «Защита информации . Защита информации при использовании технологии виртуализации . Общие положения ; ГОСТ Р ХХХХХ - 20 ХХ «Защита информации . Разработка безопасного программного обеспечения . Общие требования» ГОСТ Р 56546 - 2015 «Защита информации . Уязвимости информационных систем . Классификация уязвимостей информационных систем ; УТВЕРЖДЕНЫ РОССТАНДАРТОМ ГОСТ Р 56545 - 2015 «Защита информации . Уязвимости информационных систем . Правила описания уязвимостей ГОСТ Р ИСО/МЭК ТО 15446 - 201Х «Информационная технология. Методы и средства обеспечения безопасности. Руководство по разработке профилей защиты и заданий по безопасности»; ГОСТ Р ИСО/МЭК ТО 20004 - 201Х «Информационная технология. Методы и средства обеспечения безопасности. Детализация анализа уязвимостей программного обеспечения в соответствии с ГОСТ Р ИСО/МЭК 15408 и ГОСТ Р ИСО/МЭК 18045 Часть 1. Использование доступных источников для идентификации потенциальных уязвимостей Часть 2. Тестирование проникновения» ПОДГОТОВЛЕНЫ К НАПРАВЛЕНИЮ В РОССТАНДАРТ ТРЕБОВАНИЯ К СРЕДСТВАМ ЗАЩИТЫ ИНФОРМАЦИИ Утвержденные: Требования к системам обнаружения вторжений, утверждены приказом ФСТЭК России от 6 декабря 2011 г . № 638 ( 12 профилей защиты к системам обнаружения вторжений) Требования к средствам антивирусной защиты, утверждены приказом ФСТЭК России от 20 марта 2012 г . № 28 ( 24 профиля защиты к средствам антивирусной защиты) Требования к средствам доверенной загрузки, утверждены приказом ФСТЭК России от 27 сентября 2013 г . № 119 (10 профилей защиты к средствам доверенной загрузки) Требования к средствам контроля съемных машинных носителей информации, утверждены приказом ФСТЭК России от 28 июля 2014 г . № 87 ( 10 профилей защиты к средствам контроля съемных машинных носителей информации) Требования к межсетевым экранам, утверждены приказом ФСТЭК России от 9 февраля 2016 г . № 9 8 ТРЕБОВАНИЯ К МЕЖСЕТЕВЫМ ЭКРАНАМ УТВЕРЖДЕНЫ приказом ФСТЭК России от 9 февраля 2016 г. № 9 Требования к межсетевым экранам Устанавливаются требования к среде функционирования Устанавливают 5 типов межсетевых экранов Учитывают актуальные угрозы безопасности информации Предъявляют дополнительные требования доверия Применяются с 1 декабря 2016 г. Учитывают современные технологии межсетевого экранирования Устанавливают требования по самозащите межсетевых экранов Предусматривают глубокий анализ протоколов при фильтрации 9 Требования безопасности информации, предъявляемые к операционным системам (планируются к утверждению до 1 марта 2016 г.) Требования безопасности информации, предъявляемые к системам управления базами данных (планируются к утверждению до 1 марта 2016 г.) Требования к базовым системам ввода - вывода ( BIOS ) Требования к средствам управления потоками информации Требования к средствам защиты от несанкционированного вывода (ввода) информации ( DLP – системам ) Требования к средствам контроля и анализа защищенности Требования к средствам идентификации и аутентификации Требования к средствам управления доступом Требования к средствам мониторинга событий безопасности ( SIEM ) Требования к средствам защиты среды виртуализации Разработанные, планируемые к утверждению в 2016, 2017 годах: ТРЕБОВАНИЯ К СРЕДСТВАМ ЗАЩИТЫ ИНФОРМАЦИИ 10 СОВЕРШЕНСТВОВАНИЕ БАНКА ДАННЫХ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ 11 Развитие базы данных уязвимостей: Изменение атрибутов уязвимостей; Исследование уязвимостей Развитие базы данных угроз: Классификация угроз; Добавление атрибутов угроз Расширение функциональных возможностей: Подписка на обновления; Модуль статистики; Раздел по небезопасным конструкциям кода Банк данных угроз безопасности информации ПРОБЛЕМНЫЕ ВОПРОСЫ СЕРТИФИКАЦИИ СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ. ПОДХОДЫ ПО СОВЕРШЕНСТВОВАНИЮ КАЧЕСТВА СЕРТИФИЦИРОВАННЫХ СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ АНАЛИЗ УЯЗВИМОСТЕЙ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ ПРИ СЕРТИФИКАЦИИ I ЭТАП Проверка устранения известных уязвимостей объекта и среды его функционирования II ЭТАП Подтверждение отсутствия возможности эксплуатации потенциальных уязвимостей Анализ общедоступных источников информации об уязвимостях Устранение уязвимостей заявителем на сертификацию в случае их выявления Идентификация потенциальных уязвимостей Тестирование проникновения объекта в среде функционирования 12 Разработка тестов для тестирования проникновения 1 Конструкторская, производственная документация (технические условия, задание по безопасности) на СЗИ должны включать: Требования по порядку обновления сертифицируемых средств защиты Требования к порядку информирования потребителей об обновлении и каналу доведения обновления 2 Эксплуатационная документация (формуляр, руководства) на СЗИ должны включать: Описание способа обновления СЗИ Источник обновления СЗИ Информацию о способе информирования об обновлении Порядок верификации и применения обновлений ТРЕБОВАНИЯ К ДОКУМЕНТАЦИИ СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ В ЧАСТИ ИХ ПОДДЕРЖКИ 13 МЕТОДИКА АНАЛИЗА УЯЗВИМОСТЕЙ И НЕДЕКЛАРИРОВАННЫХ ВОЗМОЖНОСТЕЙ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ Анализ и классификация уязвимостей и НДВ ПО Типизация ПО (в том числе рассматривается микропрограммное ПО) Методы анализа уязвимостей и НДВ ПО в условиях наличия и отсутствия исходных текстов Дифференциация методов анализа в зависимости типа и класса ПО ФСТЭК России Методический документ (проект ) 14 СОВЕРШЕНСТВОВАНИЕ НОРМАТИВНОГО И МЕТОДИЧЕСКОГО ОБЕСПЕЧЕНИЯ ВОПРОСОВ ЗАЩИТЫ ИНФОРМАЦИИ Начальник 2 управления ФСТЭК России Лютиков Виталий Сергеевич

Приложенные файлы

  • pdf 4507889
    Размер файла: 2 MB Загрузок: 0

Добавить комментарий