12 февраля я посетила V конференцию по информационной безопасности "Актуальные вопросы защиты информации". Данную конференцию я посещаю впервые, поэтому впечатлений море. Очень приятно было увидеть представителей ФСТЭК, послушать их доклады, узнать о предстоящих изменениях в нормативно-правовых актах, методических документах и не только.
Всего в программе конференции было представлено 13 докладов, 5 из которых подготовили сотрудники ФСТЭК:
Итак, рассмотрим каждый доклад отдельно.
Развитие нормативно-правовых и методических документов ФСТЭК России в области защиты информации. Докладчик - Виталий Лютиков, начальник Управления ФСТЭК России.
На сегодняшний день подготовлены проекты 6-ти новых методических документов:
В ближайшее время ожидается переработка приказа № 17 "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах". Любой желающий может отправить свои предложения/пожелания по изменению/совершенствованию приказа на адрес prikaz_17@fstec.ru до 15 апреля 2015 г. Внесение изменений запланировано на I квартал 2016 г., а правки в приложение к Приказу 17 с подробным перечнем мер защиты - на II квартал 2016 г.Всего в программе конференции было представлено 13 докладов, 5 из которых подготовили сотрудники ФСТЭК:
- Развитие нормативно-правовых и методических документов ФСТЭК России в области защиты информации. Докладчик - Виталий Лютиков, начальник Управления ФСТЭК России.
- Практика рассмотрения моделей угроз безопасности информации органов государственной власти и организаций. Докладчик - Елена Торбенко, заместитель начальника ФСТЭК России.
- Направления совершенствования сертификации средств защиты информации. Докладчик - Дмитрий Шевцов, заместитель начальника управления ФСТЭК.
- Основные недостатки, допускаемые заявителями при лицензировании деятельности по технической защите информации. Докладчик - Николай Мищенко, начальник отдела ФСТЭК России.
- Формирование банка данных угроз безопасности информации и базы данных уязвимостей информационно-телекоммуникационных технологий. Докладчик - Владимир Минаков, начальник отдела ФАУ "ГНИИИ ПТЗИ" ФСТЭК России.
Итак, рассмотрим каждый доклад отдельно.
Развитие нормативно-правовых и методических документов ФСТЭК России в области защиты информации. Докладчик - Виталий Лютиков, начальник Управления ФСТЭК России.
На сегодняшний день подготовлены проекты 6-ти новых методических документов:
- Порядок аттестации информационных систем;
- Порядок обновления программного обеспечения в информационных системах;
- Порядок выявления и устранения уязвимостей в информационных системах;
- Порядок реагирования на инциденты, связанные с нарушением безопасности информации;
- Защита информации в информационной системе при использовании мобильных устройств;
- Защита информации в информационной системе при применении устройств беспроводного доступа.
Изменится подход к аттестации информационных систем. "Аттестат соответствия - это документ не для контролирующего органа, а для руководителя организации." При проверке аттестованных систем будут акцентировать внимание на:
- Администрировании системы защиты информации;
- Мониторинге за работой системы защиты и обеспечением уровня защищенности системы
- Выявлении уязвимостей и реагировании на них
- Управлении конфигурацией аттестованной информационной системы
Планируется разработка проектов новых методических документов по защите информации в АСУ ТП:
- Меры защиты информации в автоматизированных системах управления;
- Методика определения угроз безопасности информации в автоматизированных системах управления;
- Порядок выявления и устранения уязвимостей в автоматизированных системах управления;
- Порядок реагирования на инциденты, связанные с нарушение безопасности информации.
Практика рассмотрения моделей угроз безопасности информации органов государственной власти и организаций. Докладчик - Елена Торбенко, заместитель начальника ФСТЭК России.
В 2014 г. сотрудники ФСТЭК России рассмотрели 60 моделей угроз, которые им прислали на согласование. Больше половины были возвращены составителям на доработку. Были выделены основные ошибки при составлении модели угроз:
- Меры по защите информации не должны быть рассмотрены в модели угроз, они должны определяться уже на этапе разработки ТЗ;
- Отсутствуют ссылки на нормативно-правовые акты, на основании которых составляется модель угроз;
- Рассматриваются как правило только внешние нарушители;
- Большое количество орфографических ошибок.
Направления совершенствования сертификации средств защиты информации. Докладчик - Дмитрий Шевцов, заместитель начальника управления ФСТЭК.
Были представлены: структура системы сертификации ФСТЭК, показатели деятельности и направления совершенствования системы сертификации СЗИ. Осными направлениями являются:
Основные недостатки, допускаемые заявителями при лицензировании деятельности по технической защите информации. Докладчик - Николай Мищенко, начальник отдела ФСТЭК России.
- Разработка и совершенствование требований и методических подходов по сертификации СЗИ;
- Совершенствование порядка аккредитации органов по сертификации и испытательных лабораторий;
- Совершенствование порядка сертификации СЗИ.
Данный доклад мне меньше всего понравился, так как презентация по нему полностью состояла из текста информационного сообщения ФСТЭК России от 23 апреля 2014 г. N 240/24/1433 "О типичных ошибках, допускаемых соискателями лицензий при подготовке и представлении документов для получения лицензий на деятельность по технической защите конфиденциальной информации и на деятельность по разработке и производству средств защиты конфиденциальной информации", который в открытом доступе есть на сайте ФСТЭК.
И последний доклад, но только по порядку, а не по значению - Формирование банка данных угроз безопасности информации и базы данных уязвимостей информационно-телекоммуникационных технологий. Докладчик - Владимир Минаков, начальник отдела ФАУ "ГНИИИ ПТЗИ" ФСТЭК России.
И последний доклад, но только по порядку, а не по значению - Формирование банка данных угроз безопасности информации и базы данных уязвимостей информационно-телекоммуникационных технологий. Докладчик - Владимир Минаков, начальник отдела ФАУ "ГНИИИ ПТЗИ" ФСТЭК России.
На сегодняшний день ФСТЭК сформировал банк данных угроз безопасности и БД уязвимостей, которые уже в начале марта 2015 г. будут в открытом доступе для пользователей на сайте ФСТЭК. В докладе были представлены примеры структур, описания и представления угроз и уязвимостей.
ИТОГИ
Основными темами конференции были защита ГИС и АСУ ТП, тема защиты ПДн не затрагивалась, но было рекомендовано при организации защиты ИСПДн по приказу № 21 следовать положениям приказа № 17, в части последовательности и методики создания системы защиты.
В ближайшее время мы увидим много новых нормативно-правовых и методических документов. Получим доступ к банку угроз безопасности, который поможет организациям в составлении моделей гроз, а также доступ к базе данных уязвимостей, который поможет разработчикам средств защиты информации совершенствовать свои продукты, для повышения уровня защиты информации.
В ближайшее время мы увидим много новых нормативно-правовых и методических документов. Получим доступ к банку угроз безопасности, который поможет организациям в составлении моделей гроз, а также доступ к базе данных уязвимостей, который поможет разработчикам средств защиты информации совершенствовать свои продукты, для повышения уровня защиты информации.
В целом конференция произвела хорошее впечатление, надеюсь что в следующем году докладов ФСТЭК будет еще больше, а вопросов оставшихся без ответов меньше.
Презентации конференции выложены на сайте http://tbforum.ru.
Комментариев нет:
Отправить комментарий