Расскажем о самых интересных событиях, произошедших в последние месяцы ушедшего года
ФСТЭК России сообщает о разработанной примерной программе повышения квалификации для специалистов, работающих в сфере обеспечения безопасности объектов критической информационной инфраструктуры.
Получить программу могут следующие организации по обращению в соответствующее подразделение ФСТЭК России:
- В центральный аппарат обращение направляют федеральные органы исполнительной власти.
- В управление ФСТЭК России по федеральному округу обращение направляют:
- органы исполнительной власти субъектов РФ;
- организации с государственным участием;
- организации оборонно-промышленного комплекса;
- организации, осуществляющие образовательную деятельность.
Порядок установки средств обнаружения компьютерных атак в сетях электросвязи
В конце ноября был опубликован новый проект документа Минкомсвязи, определяющий порядок монтажа и эксплуатации оборудования, взаимодействующего с ГосСОПКа в части обнаружения компьютерных атак в сетях электросвязи.
Пока в документе не выделяются конкретные разделы. Предлагаются положения об этапах согласования установки, монтажа оборудования и процесса эксплуатации, а также определены полномочия ФСБ России и организации, на сети электросвязи которой устанавливаются средства обнаружения.
Стоит отметить, что устанавливать средства обнаружения может только сторонняя организация, имеющая необходимые лицензии и заключившая госконтракт с ФСБ России. Сообщать о плановых отключениях средств обнаружения, которые могут повлечь нарушение функционирования средства поиска атак, можно только заказным письмом за 14 дней. Обсуждение проекта еще не окончено, поэтому можно активно предлагать свои поправки и формулировки.
Появился стандарт, определяющий требования к органам аттестации объектов информатизации, в которых ведется обработка государственной тайны. Так, если организация является таким органом аттестации, то она должна отвечать следующим требованиям по наличию:
• Организационно-распорядительных документов: нормативные правовые акты, методические документы, национальные стандарты, определяющие процедуру аттестации, а также документы, определяющие задачи, функции, права и обязанности организации. Кроме того, должен быть обеспечен учет, хранение и актуализация перечисленных документов.
• Работников с необходимой квалификацией:
- руководитель работ с минимальным стажем в области аттестации 5 лет при наличии высшего образования по направлению «Информационная безопасность» (при его отсутствии или при отсутствии профессиональной переподготовки, – 10 лет);
- инженеры (не менее трех) с высшим образованием по направлению «Информационная безопасность» или прошедшим профессиональную переподготовку.
• Средств измерений и испытаний, прошедших проверку в установленном порядке и имеющих необходимые сертификаты соответствия.
• Лицензий:
- на работу с информацией, составляющей государственную тайну;
- на оказание услуг в части технической защиты информации, составляющей государственную тайну.
• Объектов информатизации: в их число входят автоматизированные системы для обработки информации, составляющей государственную тайну, а также помещения со средствами защиты для обсуждения такой информации
В приложении к документу приведена форма Положения об аттестации, которым обязана руководствоваться организация. В дополнение к нему также необходимо иметь перечни документов, технических и программных средств для проведения аттестации, а также перечень работников, имеющих нужный уровень квалификации.
Правила взаимодействия с Единой биометрической системой для МВД России и ФСБ России
Постановлением правительства установлены правила передачи сведений из единой биометрической системы в МВД России и ФСБ России для реализации их полномочий в целях безопасности государства и противодействия терроризму.Сведения будут предоставляться по запросу вышеназванных органов на безвозмездной основе по запросу. В запросе должен быть указан идентификатор учетной записи лица, о котором запрашиваются сведения, или его изображение.
Отмечается, что взаимодействие между органами и оператором единой биометрической системы осуществляется в электронной форме. Единственным требованием в части безопасности передаваемых сведений является использование усиленной квалифицированной электронной подписи (подтвержденной аккредитованным удостоверяющим центром).
Требования к техническим средствам операторов связи для исполнения «пакета Яровой»
Наконец появились требования к информационным системам операторов связи. С помощью технических и программных средств таких систем осуществляется сбор, накопление, хранение, поиск и предоставление уполномоченным государственным органам информации пользователей услуг оператора связи (голосовая информация, изображения, звуки и др.).
Документ весьма обширный и подробный. В приложениях содержится полный перечень накапливаемой информации, требования к функционированию различных каналов (управления, данных, мониторинга и др.), требования к параметрам протокола ASN.1 (формат кодирования данных для их использования на любом техническом средстве, имеющим представление об этом стандарте) и прочие сведения.
Отмечается, что требования обязательны для применения в отношении указанных средств, подлежащих установке на сетях операторов связи, осуществляющих деятельность в рамках лицензий на оказание услуг связи.
Растущая потребность в отечественном программном обеспеченииПравительство усиленно продвигает импортозамещение в области программного обеспечения (ПО), что можно заметить по регулярно появляющимся нормативным актам.
На Минкомсвязи возложена функция централизованных госзакупок в части антивирусного ПО в рамках перехода на использование российского ПО.
Кроме того, появились методические рекомендации по исполнению переходных мероприятий. Изменения коснутся только государственных компаний, к 2021 году доля закупок которых в части российского ПО должна составлять не менее 85%. Рекомендовано назначить лицо, ответственное за мероприятия по переходу, занимающее должность не ниже заместителя руководителя. Также следует сформировать проектную группу и осуществлять мониторинг реализации планов по переходу на использование отечественного ПО.
В приложении к рекомендациям приведены формы плана мероприятий перехода и предоставления госкомпаниями сведений о ходе реализации плана мероприятий. Также указаны показатели и соответствующие им индикаторы эффективности перехода, на которые следует ориентироваться компаниям при достижении своих целевых показателей.
Стоит отметить, что в обществе тенденция импортозамещения не вызывает восторга. Пользователи ведут дискуссии на форумах на тему нехватки отечественных разработок для конкретных рабочих задач, сложность и дороговизну замены ПО, которая может столкнуться в том числе и с техническими сложностями использования нужного «железа».