суббота, 14 февраля 2015 г.

Итоги конференции "Актуальные вопросы защиты информации"

12 февраля я посетила V конференцию по информационной безопасности "Актуальные вопросы защиты информации". Данную конференцию я посещаю впервые, поэтому впечатлений море. Очень приятно было увидеть представителей ФСТЭК, послушать их доклады, узнать о предстоящих изменениях в нормативно-правовых актах, методических документах и не только.

Всего в программе конференции было представлено 13 докладов, 5 из которых подготовили сотрудники ФСТЭК:
  1. Развитие нормативно-правовых и методических документов ФСТЭК России в области защиты информации. Докладчик - Виталий Лютиков, начальник Управления ФСТЭК России.
  2. Практика рассмотрения моделей угроз безопасности информации органов государственной власти и организаций. Докладчик - Елена Торбенко, заместитель начальника ФСТЭК России.
  3. Направления совершенствования сертификации средств защиты информации. Докладчик - Дмитрий Шевцов, заместитель начальника управления ФСТЭК.
  4. Основные недостатки, допускаемые заявителями при лицензировании деятельности по технической защите информации. Докладчик - Николай Мищенко, начальник отдела ФСТЭК России.
  5. Формирование банка данных угроз безопасности информации и базы данных уязвимостей информационно-телекоммуникационных технологий. Докладчик - Владимир Минаков, начальник отдела ФАУ "ГНИИИ ПТЗИ" ФСТЭК России.

Итак, рассмотрим каждый доклад отдельно.

Развитие нормативно-правовых и методических документов ФСТЭК России в области защиты информации. Докладчик - Виталий Лютиков, начальник Управления ФСТЭК России.

На сегодняшний день подготовлены проекты 6-ти новых методических документов:
  • Порядок аттестации информационных систем; 
  • Порядок обновления программного обеспечения в информационных системах;
  • Порядок выявления и устранения уязвимостей в информационных системах;
  • Порядок реагирования на инциденты, связанные с нарушением безопасности информации;
  • Защита информации в информационной системе при использовании мобильных устройств;
  • Защита информации в информационной системе при применении устройств беспроводного доступа.
В ближайшее время ожидается переработка приказа № 17 "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах". Любой желающий может отправить свои предложения/пожелания по изменению/совершенствованию приказа на адрес prikaz_17@fstec.ru до 15 апреля 2015 г. Внесение изменений запланировано на I квартал 2016 г., а правки в приложение к Приказу 17 с подробным перечнем мер защиты - на II квартал 2016 г.

Изменится подход к аттестации информационных систем. "Аттестат соответствия - это документ не для контролирующего органа, а для руководителя организации." При проверке аттестованных систем будут акцентировать внимание на:
  • Администрировании системы защиты информации;
  • Мониторинге за работой системы защиты и обеспечением уровня защищенности системы
  • Выявлении уязвимостей и реагировании на них
  • Управлении конфигурацией аттестованной информационной системы 
Обновление СТР-К запланировано на 2016 г.

Планируется разработка проектов новых методических документов по защите информации в АСУ ТП:
  • Меры защиты информации в автоматизированных системах управления;
  • Методика определения угроз безопасности информации в автоматизированных системах управления;
  • Порядок выявления и устранения уязвимостей в автоматизированных системах управления;
  • Порядок реагирования на инциденты, связанные с нарушение безопасности информации.
В конце доклада было задано много вопросов, но вот на вопрос: "Какая система является государственной?"- ответа конкретного не было, это очень огорчило.

Практика рассмотрения моделей угроз безопасности информации органов государственной власти и организаций. Докладчик - Елена Торбенко, заместитель начальника ФСТЭК России.

В 2014 г. сотрудники ФСТЭК России рассмотрели 60 моделей угроз, которые им прислали на согласование. Больше половины были возвращены составителям на доработку. Были выделены основные ошибки при составлении модели угроз:
  • Меры по защите информации не должны быть рассмотрены в модели угроз, они должны определяться уже на этапе разработки ТЗ;
  • Отсутствуют ссылки на нормативно-правовые акты, на основании которых составляется модель угроз;
  • Рассматриваются как правило только внешние нарушители;
  • Большое количество орфографических ошибок.
Подготовлен проект документа "Методика определения угроз безопасности информации в информационных системах".

Направления совершенствования сертификации средств защиты информации. Докладчик - Дмитрий Шевцов, заместитель начальника управления ФСТЭК.

Были представлены: структура системы сертификации ФСТЭК, показатели деятельности и направления совершенствования системы сертификации СЗИ. Осными направлениями являются:
  • Разработка и совершенствование требований и методических подходов по сертификации СЗИ;
  • Совершенствование порядка аккредитации органов по сертификации и испытательных лабораторий;
  • Совершенствование порядка сертификации СЗИ.
Основные недостатки, допускаемые заявителями при лицензировании деятельности по технической защите информации. Докладчик - Николай Мищенко, начальник отдела ФСТЭК России.

Данный доклад мне меньше всего понравился, так как презентация по нему полностью состояла из текста информационного сообщения ФСТЭК России от 23 апреля 2014 г. N 240/24/1433 "О типичных ошибках, допускаемых соискателями лицензий при подготовке и представлении документов для получения лицензий на деятельность по технической защите конфиденциальной информации и на деятельность по разработке и производству средств защиты конфиденциальной информации", который в открытом доступе есть на сайте ФСТЭК.

И последний доклад, но только по порядку, а не по значению - Формирование банка данных угроз безопасности информации и базы данных уязвимостей информационно-телекоммуникационных технологий. Докладчик - Владимир Минаков, начальник отдела ФАУ "ГНИИИ ПТЗИ" ФСТЭК России.

На сегодняшний день ФСТЭК сформировал банк данных угроз безопасности и БД уязвимостей, которые уже в начале марта 2015 г. будут в открытом доступе для пользователей на сайте ФСТЭК. В докладе были представлены примеры структур, описания и представления угроз и уязвимостей. 

ИТОГИ

Основными темами конференции были защита ГИС и АСУ ТП, тема защиты ПДн не затрагивалась, но было рекомендовано при организации защиты ИСПДн по приказу № 21 следовать положениям приказа № 17, в части последовательности и методики создания системы защиты.

В ближайшее время мы увидим много новых нормативно-правовых и методических документов. Получим доступ к банку угроз безопасности, который поможет организациям в составлении моделей гроз, а также доступ к базе данных уязвимостей, который поможет разработчикам средств защиты информации совершенствовать свои продукты, для повышения уровня защиты информации.

В целом конференция произвела хорошее впечатление, надеюсь что в следующем году докладов ФСТЭК будет еще больше, а вопросов оставшихся без ответов меньше.

Презентации конференции выложены на сайте http://tbforum.ru.

Комментариев нет:

Отправить комментарий