Новая редакция Определение угроз безопасности информации – на стадии разработки системы защиты информации Добавляется 5 новых документов, определяющих правила и процедуры


Чтобы посмотреть этот PDF файл с форматированием и разметкой, скачайте его и откройте на своем компьютере.
СОВЕРШЕНСТВОВАНИЕ НОРМАТИВНОГО
И МЕТОДИЧЕСКОГО ОБЕСПЕЧЕНИЯ
ЗАЩИТЫ ИНФОРМАЦИИ
Начальник
2 управления ФСТЭК России
Лютиков Виталий Сергеевич
ПЕРЕЧЕНЬ ИЗМЕНЕНИЙ, КОТОРЫЕ ВНОСЯТСЯ В ТРЕБОВАНИЯ О ЗАЩИТЕ
ИНФОРМАЦИИ, НЕ СОСТАВЛЯЮЩЕЙ ГОСУДАРСТВЕННУЮ ТАЙНУ,
СОДЕРЖАЩЕЙСЯ В ГОСУДАРСТВЕННЫХ ИНФОРМАЦИОННЫХ СИСТЕМАХ,
УТВЕРЖДЕННЫЕ ПРИКАЗОМ ФСТЭК РОССИИ ОТ 11 ФЕВРАЛЯ 2013 г. № 17
2
Новая редакция
Определение угроз
безопасности на стадии
формирования
требований
Определение
угроз
безопасности
информации

на
стадии
разработки
системы
защиты
информации
Разрабатываемые
организационно
-
распорядительные
документы
Действующая редакция
Добавляется
5
новых
документов,
определяющих
правила
и
процедуры
(политики)
защиты
информации
Классы
защищенности
информационной
системы
Устанавливается
3
класса
защищенности
информационной
системы
(самый
низкий

3
,
самый
высокий
-
1
)
Состав мер защиты
информации
Дополняется
9
новыми
группами
мер
состав
мер
защиты
информации
СОСТАВ МЕР ЗАЩИТЫ ИНФОРМАЦИИ В
ГОСУДАРСТВЕННЫХ ИНФОРМАЦИОННЫХ СИСТЕМАХ
3
В
ыявление инцидентов
и
реагирование на них
Идентификация
и аутентификацию субъектов
доступа и объектов доступа
Целостность
информационной системы и
информации
Контроль
(анализ) защищенности информации
Управление
доступом субъектов доступа к
объектам доступа
Ограничение
программной среды
Защита
машинных носителей информации
Регистрация
событий безопасности
Антивирусная защита
Обнаружение
(предотвращение) вторжений
Безопасная разработка
программного обеспечения
Защита информации
при использовании мобильных
устройств
З
ащита
информационной системы, ее
средств, систем связи и передачи данных
Доступность
информации
Защиту
среды виртуализации
Защита
технических средств
Управление обновлениями
программного обеспечения
Планирование мероприятий по
обеспечению защиты
информации
И
нформирование
и обучение персонала
Анализ
угроз
безопасности
информации
и
рисков
от
их реализации
Управление конфигурацией
информационной системы
и
ее системы защиты информации
Управление
потоками информации
СООТВЕТСТВИЕ КЛАССА ЗАЩИЩЕННОСТИ
ИНФОРМАЦИОННОЙ СИСТЕМЫ И КЛАССА ЗАЩИТЫ СЗИ
4
Информационная
система
Класс защищенности
информационной
системы
Класс защиты СЗИ
В информационных системах всех классов защищенности
применяются средства защиты информации, программное
обеспечение которых прошло проверку не ниже чем по
4
уровню
контроля отсутствия недекларированных возможностей
1
2
3
4
5
6
АНАЛИЗ УЯЗВИМОСТЕЙ ИНФОРМАЦИОННОЙ СИСТЕМЫ
5
Анализ уязвимостей
проводится на этапах
Внедрения системы
защиты информации
Аттестации
информационной системы
В соответствии с пунктами 14.3, 16.6 и 17.1 Требований о защите
информации , не составляющей государственную тайну, содержащейся в
государственных информационных системах, утвержденных приказом
ФСТЭК России от 11 февраля 2013 г. № 17
Требования к мерам защиты информации в
государственных информационных системах
6
Меры защиты
в
автоматизированных системах управления
производственными и технологическими процессами на
критически важных объектах, потенциально опасных
объектах, а также объектах, представляющих повышенную
опасность для жизни и здоровья людей и для окружающей
природной среды
Приказ ФСТЭК России от 14 марта 2014 г. №
31
«Об
утверждении Требований к обеспечению защиты
информации в автоматизированных системах управления
производственными и технологическими процессами на
критически важных объектах, потенциально опасных
объектах, а также объектах, представляющих повышенную
опасность для жизни и здоровья людей и для окружающей
природной среды

Методический
документ
ФСТЭК России
(2016 год)
7
НОВЫЕ ДОКУМЕНТЫ
НАЦИОНАЛЬНОЙ СИСТЕМЫ СТАНДАРТИЗАЦИИ
НАПРАВЛЕНЫ В
РОССТАНДАРТ
ГОСТ
Р
ХХХХХ
-
20
ХХ
«Защита
информации
.
Защита
информации
при
использовании
технологии
виртуализации
.
Общие
положения
;
ГОСТ
Р
ХХХХХ
-
20
ХХ
«Защита
информации
.
Разработка
безопасного
программного
обеспечения
.
Общие
требования»
ГОСТ
Р
56546
-
2015
«Защита
информации
.
Уязвимости
информационных
систем
.
Классификация
уязвимостей
информационных
систем

;
УТВЕРЖДЕНЫ
РОССТАНДАРТОМ
ГОСТ
Р
56545
-
2015
«Защита
информации
.
Уязвимости
информационных
систем
.
Правила
описания
уязвимостей

ГОСТ Р ИСО/МЭК ТО 15446
-
201Х
«Информационная технология. Методы и средства обеспечения
безопасности. Руководство по разработке профилей защиты и
заданий по
безопасности»;
ГОСТ Р ИСО/МЭК ТО
20004
-
201Х
«Информационная технология. Методы и средства обеспечения
безопасности. Детализация анализа уязвимостей программного обеспечения в
соответствии
с
ГОСТ Р ИСО/МЭК 15408 и ГОСТ Р ИСО/МЭК
18045
Часть
1. Использование доступных источников для
идентификации потенциальных уязвимостей

Часть
2. Тестирование
проникновения»
ПОДГОТОВЛЕНЫ К НАПРАВЛЕНИЮ В РОССТАНДАРТ
ТРЕБОВАНИЯ К СРЕДСТВАМ ЗАЩИТЫ ИНФОРМАЦИИ
Утвержденные:
Требования
к
системам
обнаружения
вторжений,
утверждены
приказом
ФСТЭК
России
от
6
декабря
2011
г
.

638
(
12
профилей
защиты
к
системам
обнаружения
вторжений)
Требования
к
средствам
антивирусной
защиты,
утверждены
приказом
ФСТЭК
России
от
20
марта
2012
г
.

28
(
24
профиля
защиты
к
средствам
антивирусной
защиты)
Требования
к
средствам
доверенной
загрузки,
утверждены
приказом
ФСТЭК
России
от
27
сентября
2013
г
.

119
(10 профилей
защиты к средствам доверенной
загрузки)
Требования
к
средствам
контроля
съемных
машинных
носителей
информации,
утверждены
приказом
ФСТЭК
России
от
28
июля
2014
г
.

87
(
10
профилей
защиты
к
средствам
контроля
съемных
машинных
носителей
информации)
Требования
к
межсетевым
экранам,
утверждены
приказом
ФСТЭК
России
от
9
февраля
2016
г
.

9
8
ТРЕБОВАНИЯ К МЕЖСЕТЕВЫМ ЭКРАНАМ
УТВЕРЖДЕНЫ
приказом ФСТЭК России
от 9 февраля 2016 г. № 9
Требования
к межсетевым экранам
Устанавливаются требования к среде
функционирования
Устанавливают 5 типов
межсетевых экранов
Учитывают актуальные угрозы
безопасности информации
Предъявляют дополнительные
требования доверия
Применяются
с 1 декабря 2016 г.
Учитывают современные технологии
межсетевого экранирования
Устанавливают
требования
по самозащите межсетевых экранов
Предусматривают глубокий анализ
протоколов при фильтрации
9
Требования безопасности информации, предъявляемые к операционным системам
(планируются к утверждению до 1 марта 2016 г.)
Требования безопасности информации, предъявляемые к системам управления базами данных
(планируются к утверждению до 1 марта 2016 г.)
Требования к базовым системам ввода
-
вывода (
BIOS
)
Требования к средствам управления потоками информации
Требования к средствам защиты от несанкционированного вывода (ввода) информации (
DLP

системам
)
Требования к средствам контроля и анализа защищенности
Требования к средствам идентификации и аутентификации
Требования к средствам управления доступом
Требования к средствам мониторинга событий безопасности (
SIEM
)
Требования к средствам защиты среды виртуализации
Разработанные, планируемые к утверждению в 2016, 2017 годах:
ТРЕБОВАНИЯ К СРЕДСТВАМ ЗАЩИТЫ ИНФОРМАЦИИ
10
СОВЕРШЕНСТВОВАНИЕ БАНКА ДАННЫХ УГРОЗ
БЕЗОПАСНОСТИ ИНФОРМАЦИИ
11
Развитие базы данных
уязвимостей:
Изменение атрибутов
уязвимостей;
Исследование уязвимостей
Развитие базы данных
угроз:
Классификация угроз;
Добавление атрибутов угроз
Расширение функциональных
возможностей:
Подписка на обновления;
Модуль статистики;
Раздел по небезопасным
конструкциям кода
Банк
данных
угроз
безопасности
информации
ПРОБЛЕМНЫЕ ВОПРОСЫ СЕРТИФИКАЦИИ
СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ.
ПОДХОДЫ ПО СОВЕРШЕНСТВОВАНИЮ
КАЧЕСТВА СЕРТИФИЦИРОВАННЫХ СРЕДСТВ
ЗАЩИТЫ ИНФОРМАЦИИ
АНАЛИЗ
УЯЗВИМОСТЕЙ
ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ
ПРИ СЕРТИФИКАЦИИ
I
ЭТАП
Проверка устранения известных
уязвимостей объекта и среды его
функционирования
II
ЭТАП
Подтверждение отсутствия возможности
эксплуатации потенциальных
уязвимостей
Анализ общедоступных источников
информации об уязвимостях
Устранение уязвимостей заявителем
на сертификацию в случае их
выявления
Идентификация потенциальных
уязвимостей
Тестирование проникновения объекта в
среде функционирования
12
Разработка тестов
для тестирования
проникновения
1 Конструкторская, производственная документация (технические условия,
задание
по безопасности) на СЗИ должны включать:
Требования
по порядку обновления
сертифицируемых средств защиты
Требования к
порядку
информирования потребителей
об
обновлении и
каналу
доведения
обновления
2 Эксплуатационная документация (формуляр, руководства)
на
СЗИ
должны
включать:
Описание способа
обновления СЗИ
Источник
обновления СЗИ
Информацию о способе
информирования об
обновлении
Порядок верификации
и
применения
обновлений
ТРЕБОВАНИЯ К ДОКУМЕНТАЦИИ СРЕДСТВ ЗАЩИТЫ
ИНФОРМАЦИИ В ЧАСТИ ИХ ПОДДЕРЖКИ
13
МЕТОДИКА АНАЛИЗА УЯЗВИМОСТЕЙ И НЕДЕКЛАРИРОВАННЫХ
ВОЗМОЖНОСТЕЙ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ
Анализ и
классификация
уязвимостей и НДВ
ПО
Типизация ПО
(в том числе
рассматривается
микропрограммное
ПО)
Методы анализа
уязвимостей и НДВ
ПО в условиях
наличия и
отсутствия
исходных текстов
Дифференциация
методов анализа в
зависимости типа и
класса ПО
ФСТЭК России
Методический
документ
(проект
)
14
СОВЕРШЕНСТВОВАНИЕ НОРМАТИВНОГО
И МЕТОДИЧЕСКОГО ОБЕСПЕЧЕНИЯ
ВОПРОСОВ ЗАЩИТЫ ИНФОРМАЦИИ
Начальник
2 управления ФСТЭК России
Лютиков Виталий Сергеевич

Приложенные файлы

  • pdf 4507889
    Размер файла: 2 MB Загрузок: 0

Добавить комментарий