Татьяна Пермякова, старший аналитик
Ксения Кузнецова, старший аналитик
В обзоре изменений законодательства в области информационной безопасности (далее – ИБ) за ноябрь 2022 года рассмотрим: проект порядка осуществления мониторинга защищенности во исполнение Указа №250, перечень сведений потенциально используемых против безопасности РФ, новый регламент лицензирования ФСБ России, требования по защите информации с использованием криптографических средств в государственных информационных системах (далее – ГИС), требования к отечественному программному обеспечению (далее – ПО), требования к линиям связи, пересекающим границу РФ, требования к оценке вреда субъектам ПДн в случае нарушения 152‑ФЗ, требования к подтверждению уничтожения ПДн и иные изменения в области ПДн, а также новые стандарты по управлению компьютерными инцидентами, результаты работы ТК 362 и другие новости в нормативном поле ИБ.
Мониторинг защищенности во исполнение Указа №250
Для общественного обсуждения представлен проект приказа ФСБ России «Об утверждении Порядка осуществления мониторинга защищенности информационных ресурсов, принадлежащих федеральным органам исполнительной власти, высшим исполнительным органам государственной власти субъектов Российской Федерации, государственным фондам, государственным корпорациям (компаниям), иным организациям, созданным на основании федеральных законов, стратегическим предприятиям, стратегическим акционерным обществам и системообразующим организациям российской экономики, юридическим лицам, являющимся субъектами критической информационной инфраструктуры Российской Федерации либо используемых ими». Перечисленные в наименовании проекта органы и организации далее будем называть организации.
Согласно проекту, мониторинг защищенности предлагается осуществлять непрерывно силами Центра защиты информации и специальной связи ФСБ России и территориальных органов безопасности (далее – органы безопасности) в отношении подключенных к сети Интернет информационных систем, информационно-телекоммуникационных сетей и автоматизированных систем управления.
Организациям необходимо предоставить в Центр защиты информации и специальной связи ФСБ России сведения о доменных именах и внешних сетевых адресах принадлежащих им информационных ресурсов в срок не позднее 1 марта 2023 года (и информацию об изменениях доменных имен, адресов или появлении новых ресурсов в срок 7 календарных дней с момента изменений).
Мониторинг предполагает сбор сведений и документации на ресурсы, обнаружение уязвимостей и оценку защищенности.
Сведения о ресурсах включают:
- документацию на информационные ресурсы и результаты их обследования;
- результаты обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты, полученные центрами государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (далее – ГосСОПКА);
- сведения о состоянии защищенности информационных ресурсов организаций, содержащиеся в ГосСОПКА;
- результаты осуществления оценки защищенности информационных ресурсов органов (организаций).
Организации должны исключить блокировку IP-адресов по запросу органов безопасности. Кроме того, выявление функционирующих сервисов и обнаружение уязвимостей информационных ресурсов органы по безопасности могут начать без предварительного предупреждения организаций о начале мероприятий.
При этом оценка защищенности ресурсов проводится на основании ежегодного плана, утверждаемого начальником Центра защиты информации и специальной связи ФСБ России, выписки из которого рассылаются организациям за 14 дней до начала мероприятий.
Оценка защищенности проводится путем подключения органами безопасности программных и программно-аппаратных комплексов (инструментов) к ресурсам как удаленно, так и на объектах организации. По результатам оценки защищенности Центром защиты информации и специальной связи ФСБ России формируются и направляются в адрес организации рекомендации по обеспечению защищенности информационных ресурсов.
Общественное обсуждение проекта завершилось 29 ноября.
Перечень сведений в области военной и военно-технической деятельности России, которые могут быть использованы против безопасности РФ
Официально опубликован приказ ФСБ России от 04.11.2022 № 547 «Об утверждении Перечня сведений в области военной, военно-технической деятельности Российской Федерации, которые при их получении иностранными источниками могут быть использованы против безопасности Российской Федерации».
Новая редакция приказа также содержит 60 наименований таких сведений, некоторые из них уточняя или дополняя. Наиболее интересными для специалистов по защите информации являются следующие позиции:
- персональные данные военнослужащих и членов их семей, в т.ч. сведения об адресах проживания, посещаемые образовательные и медицинские учреждения, используемые транспортные средства и личные средства связи;
- сведения о средствах и сетях связи, в т.ч. номера служебных телефонов;
- сведения об использовании технологий криптографической защиты информации, квантовых технологий и искусственного интеллекта;
- сведения о функционировании центров ГосСОПКА, сил и средств, предназначенных для обнаружения, предупреждения и ликвидации последствий компьютерных атак;
- сведения о проведении закупок в части программных и программно-аппаратных средств информатизации и защиты информации для нужд предприятий оборонно-промышленного комплекса;
- сведения о составе и организации работы ГИС и объектов критической информационно инфраструктуры (далее – КИИ) (в т.ч. результатах анализа защищенности);
- сведения об обеспечении ИБ при реализации государственной политики в области космической деятельности.
Приказ вступил в силу с 1 декабря 2022 года.
Сведения ограниченного доступа в транспортной инфраструктуре
Официально опубликовано постановление Правительства Российской Федерации от 14.11.2022 № 2051 «Об утверждении Правил обращения со сведениями о результатах проведенной оценки уязвимости объектов транспортной инфраструктуры, судов ледокольного флота, используемых для проводки по морским путям, судов, в отношении которых применяются правила торгового мореплавания и требования в области охраны судов и портовых средств, установленные международными договорами Российской Федерации, а также со сведениями, содержащимися в планах и паспортах обеспечения транспортной безопасности объектов транспортной инфраструктуры и (или) транспортных средств, которые являются информацией ограниченного доступа, и признании утратившими силу некоторых актов Правительства Российской Федерации».
Постановление распространяется на специализированные организации в области обеспечения транспортной безопасности, объекты транспортной инфраструктуры и силы обеспечения транспортной безопасности (далее – организации).
Допуск работников указанных организаций к информации ограниченного доступа осуществляется с письменного разрешения ответственного за обеспечения транспортной безопасности на объекте транспортной инфраструктуры. При допуске к таким сведениям соблюдаются принципы минимально необходимого доступа в рамках должностных обязанностей как для исполнителей работ, так и для сил обеспечения транспортной безопасности.
Устанавливаются требования к использованию носителей информации ограниченного доступа (бумажным и электронным):
- ответственность за прием и учет носителей осуществляет уполномоченные на то должностные лица (ответственные, назначенные письменным распоряжением);
- на носителях должна проставляться пометка «Для служебного пользования» (далее – ДСП) (постановление устанавливает четкий порядок маркировки, учета и копирования таких носителей);
- работа с носителями с пометкой ДСП осуществляется на выделенных компьютерах;
- инвентаризация носителей осуществляется не реже одного раза в год.
Постановление отменяет ранее действовавшее одноименное постановление Правительства Российской Федерации от 24.11.2015 № 1257, в котором кроме указанных выше положений также были утверждены Правила проверки субъектом транспортной инфраструктуры сведений в отношении лиц, принимаемых на работу, непосредственно связанную с обеспечением транспортной безопасности, или выполняющих такую работу (в новом постановлении таких Правил нет).
Постановление вступает в силу с 1 марта 2023 года и действует в течение 6 лет.
Изменения в области персональных данных
Общедоступные ПДн
Официально опубликовано распоряжение Правительства РФ от 15.11.2022 № 3461-р, которым утверждается Перечень сведений, включенных в реестр линий связи, пересекающих государственную границу РФ, и средств связи, с которым подключаются указанные линии связи, содержащий информацию, которая является общедоступной.
Среди такой информации указаны фамилия, имя и отчество собственников или иных владельцев таких линий связи.
Распоряжение вступает в силу с 1 января 2023 года.
Требования к оценке вреда субъектам ПДн в случае нарушения 152-ФЗ
Официально опубликован приказ Роскомнадзора от 27.10.2022 № 178 «Об утверждении Требований к оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона «О персональных данных».
Приказом предусмотрены три степени вреда:
- высокая;
- средняя;
- низкая.
Степень вреда определяется с учетом:
- категорий обрабатываемых ПДн;
- наличия поручения на обработку ПДн иностранному лицу;
- форм обработки ПДн;
- мест хранения ПДн;
- действий в отношении ПДн;
- иных параметров.
В случае установления различных степеней вреда, необходимо принимать более высокую степень вреда.
Результаты оценки вреда оформляются актом оценки вреда, который должен содержать:
- сведения об Операторе ПДн;
- сведения о лицах, проводивших оценку вреда;
- степень вреда и дату проведения такой оценки;
- дату издания акта оценки вреда.
Приказ вступает в силу с 01 марта 2023 года.
Требования к подтверждению уничтожения ПДн
Официально опубликован приказ Роскомнадзора от 28.10.2022 № 179 «Об утверждении Требований к подтверждению уничтожения персональных данных».
Приказом определяются документы, подтверждающие уничтожение ПДн субъектов ПДн:
- акт об уничтожении ПДн;
- выгрузка из журнала регистрации событий в информационной системе персональных данных (далее – ИСПДн).
В случае неавтоматизированной обработки ПДн подтверждением уничтожения ПДн служит Акт об уничтожении ПДн, а в случае смешанной или автоматизированной обработки ПДн дополнительно потребуется выгрузка из журнала.
Приказом предусмотрены бумажная и электронная форма Акта об уничтожении ПДн, в который включаются:
- сведения о лицах ранее ведущих обработку уничтоженных ПДн;
- сведения о лицах, уничтоживших ПДн;
- фамилия, имя и отчество субъектов ПДн, чьи ПДн уничтожены;
- перечень категорий уничтоженных ПДн и места их хранения;
- способ, причину и дату уничтожения ПДн.
Выгрузка из журнала должна содержать:
- сведения о субъектах ПДн, чьи ПДн уничтожены;
- перечень категорий уничтоженных ПДн;
- сведения об ИСПДн, в которой были уничтожены ПДн;
- причину и дату уничтожения ПДн.
Акт об уничтожении ПДн и выгрузка из журнала подлежат хранению в течение 3 лет с момента уничтожения ПДн.
Приказ вступает в силу с 01 марта 2023 года.
Новый регламент лицензирования ФСБ России
Федеральная служба безопасности Российской Федерации (далее – ФСБ России) представила для общественного обсуждения проект приказа «Об утверждении Административного регламента Федеральной службы безопасности Российской Федерации по предоставлению государственной услуги по лицензированию деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя)».
Проектом предлагается отменить ныне действующий одноименный приказ ФСБ России от 29.12.2020 № 641.
Согласно пояснительной записке к проекту, изменения вносятся с целью привести административный регламент в соответствие нормам Федерального закона от 04.05.2011 № 99-ФЗ «О лицензировании отдельных видов деятельности», а также Правилам разработки и утверждения административных регламентов предоставления государственных услуг, утвержденным постановлением Правительства Российской Федерации от 20.07.2021 № 1228.
Новый регламент предполагает следующие дополнения:
- Круг заявителей. В соответствии с проектом заявителем не может быть иностранное лицо. Государственная услуга при этом предоставляется по одному из вариантов (пп. 42-46) в зависимости от признаков заявителя. Перечень признаков предлагается утвердить приложением к проекту (пп. 2-4).
- Сокращены положения, касающиеся информирования заявителей и порядка досудебного (внесудебного) обжалования. Проект содержит только два пункта о порядке подачи и рассмотрения жалоб и формах их предоставления. Отдельный пункт об информировании заявителей о результатах предоставленной услуги исключен (п. 80 и 80.1).
- Уточнены возможные результаты оказания государственной услуги (п.10) проект подробно описывает требования к формату и срокам (пп. 11-16) предоставления результатов и их содержанию.
- Размер взимаемой платы. Добавлен пункт об отсутствии требования к оплате услуги при самостоятельном внесении изменений в реестр лицензий (п. 28). Стоимость государственных услуг, описываемых регламентом, приведена на сайте ФСБ России.
- Раздел III, описывающий порядок выполнения административных процедур, в проекте описывается подробнее для каждого варианта предоставления государственной услуги.
- Предлагается пункт, в явном виде указывающий обязанность уполномоченных лиц лицензирующего органа проводить ежегодные плановые проверки в рамках контроля за полнотой и качеством предоставления государственной услуги.
- Для каждого варианта государственной услуги в приложениях предусмотрена форма заявления (юридического лица или индивидуального предпринимателя)
По тексту также скорректированы некоторый формулировки, изменен порядок или форма иных разделов/пунктов приказа.
Общественное обсуждение проекта завершилось 16 ноября.
Криптография в ГИС
Официально опубликован приказ ФСБ России от 24.10.2022 № 524 «Об утверждении Требований о защите информации, содержащейся в государственных информационных системах, с использованием шифровальных (криптографических) средств».
Информация, содержащаяся в ГИС, подлежит защите с использованием средств криптографической защиты информации (далее – СКЗИ) в следующих случаях:
- этого требует законодательство РФ в области защиты информации, содержащейся в ГИС;
- в ГИС осуществляется передача информации по каналам связи, проходящим за пределами контролируемой зоны;
- необходимо обеспечить юридическую значимость электронных документов и их защиту от подделки.
По аналогии с ИСПДн, использование СКЗИ в ГИС подлежит обоснованию в модели угроз безопасности информации.
В ГИС допускается использование только сертифицированных в системе ФСБ России СКЗИ.
Приказ устанавливает правила обеспечения физической безопасности СКЗИ и порядок определения класса СКЗИ, необходимого для использования в ГИС. Класс определяется для каждого сегмента ГИС или для всей ГИС в целом (при отсутствии сегментов). Класс СКЗИ зависит от актуальных угроз и уровня значимости информации, обрабатываемой в ГИС.
Уровень значимости определяется в соответствии с Приказом ФСТЭК России от 11.02.2013 №17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах». Приказ дублирует правила определения уровня значимости, а также содержит таблицу для определения класса СКЗИ (см. ниже).
Приказ также содержит указания по определению класса СКЗИ еще и в зависимости от актуальных угроз и возможностей нарушителей.
Требования вступают в силу с 23.11.2023.
Напомним, что в отношении СКЗИ для защиты ПДн применяется также Приказ ФСБ России от 10 июля 2014 г. № 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности».
Использование российских криптографических алгоритмов в протоколе обмена ключами в сети Интернет версии 2 (IKEv2)
Техническим комитетом по стандартизации «Криптографическая защита информации» (ТК 26) представлены для общественного обсуждения Рекомендации по стандартизации «Информационная технология. Криптографическая защита информации. Использование российских криптографических алгоритмов в протоколе обмена ключами в сети Интернет версии 2 (IKEv2)» (далее – Рекомендации).
Рекомендации содержат описание протокола обмена ключами в сети Интернет версии 2 (Internet Key Exchange version 2 – IKEv2) при использовании в нем российских криптографических алгоритмов, определяемых документами национальной системы стандартизации РФ. Протокол IKEv2 предназначен для выработки ключей с целью защиты трафика в сетях TCP/IP посредством протоколов семейства IPsec при использовании в нем криптографических алгоритмов. Протокол может применяться при защите информации, не содержащей сведений, составляющих государственную тайну.
Создание национального удостоверяющего центра
В Государственную думу внесен законопроект № 244043-8 «О внесении изменений в Федеральный закон «Об информации, информационных технологиях о защите информации», направленный на создание информационной системы национального удостоверяющего центра, предназначенного для обеспечения устойчивого взаимодействия устройств в сети Интернет (далее – НУЦ).
НУЦ – ГИС, оператором которой является Минцифры России. НУЦ предназначена для создания и выдачи владельцам сайтов в сети Интернет сертификатов безопасности с применением:
- российских криптографических алгоритмов (ГОСТ);
- иных алгоритмов (например, алгоритма RSA).
Положение о НУЦ и перечень способов использования сертификатов безопасности утверждается Правительством РФ.
Информация о выданных сертификатах безопасности, размещаемая в НУЦ, является общедоступной.
Организации, индивидуальные предприниматели и физические лица, осуществляющие деятельность по созданию программного обеспечения в целях получения доступа к сайтам в сети Интернет, обязаны обеспечить возможность использования средствами информатизации сертификатов безопасности для установления пользователем криптографически защищенного соединения с сайтами в сети Интернет.
Минцифры России по согласованию с ФСБ России и ФСТЭК России устанавливает требования к технологиям взаимодействия СКЗИ со средствами информатизации, сайтами в сети Интернет, а также использованию содержащихся в сертификате безопасности ключей идентификации и аутентификации сайтов в сети Интернет.
Конфискация за преступления в сфере компьютерной информации
В Государственной Думе РФ выступили с инициативой, позволяющей конфисковать имущество, полученное в результате совершения преступлений в сфере компьютерной информации (статьи 272, 273, 274, 2741 Уголовного Кодекса РФ).
В пояснительной записке уточняется, что по статистическим данным Министерства внутренних дел РФ в 2021 году совершено на 62,5% больше преступлений в сфере компьютерной информации, чем за аналогичный период 2020 года. Законопроект призван повысить эффективность мер по противодействию такого рода преступлениям.
Требования к отечественному ПО
Для общественного обсуждения представлен проект постановления Правительства РФ «О внесении изменений в некоторые акты Правительства Российской Федерации».
Проектом предлагается установить требования к программам для электронных вычислительных машин и базам данных, сведения о которых включены в единый реестр российских программ для электронных вычислительных машин и базам данных (далее – Реестр). Среди таких требований встречаются положения в области ИБ, а именно:
- обновления ПО должны выполняться только после подтверждения со стороны пользователя ПО;
- ПО должно соответствовать требованиям законодательства РФ о защите информации и о защите ПДн в случаях, установленных законодательством РФ;
- передача данных по каналам связи, в том числе текстовых сообщений и (или) электронных документов, голосовой, звуковой, визуальной и иной информации, с использованием ПО должна осуществляться с учетом требований законодательства РФ о защите информации и о связи.
Проект содержит требования для каждого класса системного и прикладного ПО, среди которых:
- поддержка шифрования жестких дисков, использования токенов, управления правами пользователей на уровне файловой системы для операционных систем;
- наличие хотя бы одного сертифицированного в системе ФСТЭК России дистрибутива операционной системы/системы управления базами данных;
- контроль целостности, резервное копирование, журналирование событий системы управления базами данных;
- идентификация аутентификация пользователей, передача информации по защищенным каналам связи с применением криптографических средств защиты для офисных приложений;
- использование сертифицированных средств электронной подписи, интеграция с внешним антивирусным ПО для почтовых приложений;
- разграничение прав доступа пользователей органайзеров;
- требования по защите данных для средств антивирусной защиты и т.д.
Кроме того, к ПО предъявляются требования по совместимости с иным ПО или аппаратными средствами, входящими в состав Реестра:
- ПО должно быть совместимо хотя бы с одним центральным процессором, включенным в Реестр;
- ПО должно работать под управлением хотя бы одной операционной системы, включенной в Реестр;
- в случае доступа с использованием средств интернет-браузера – должен быть хотя бы один Интернет-браузер, включенный в Реестр, с помощью средств которого можно получить доступ к ПО.
Общественное обсуждение проекта завершилось 5 декабря. В случае утверждения проект вступает в силу с 1 июля 2023 года.
Требования к линиям связи, пересекающим границу РФ
Официально опубликован приказ Минцифры России от 12.09.2022 № 659 «Об утверждении требований к линиям связи, пересекающим Государственную границу Российской Федерации, и к средствам связи, к которым подключаются указанные линии связи».
Согласно Приказу трансграничные линии связи должны:
- обслуживаться и эксплуатироваться российскими организациями в соответствии с регламентами , утвержденными оператором связи (собственником или иными владельцами технологических сетей связи, точки обмена трафиком или трансграничной линии связи в соответствии с законодательством РФ);
- соответствовать проектной документации и регламентам эксплуатации;
- управляться с территории РФ, в случае их размещения за границей РФ и при наличии законного основания принадлежности операторам связи РФ;
- соответствовать коэффициенту эксплуатационного показателя надежности сети международной телефонной связи не менее 0,999.
Средства связи, подключенные к трансграничным линиям связи, должны быть:
- защищены от несанкционированного доступа;
- зарезервированы таким образом, чтобы отказ одного из них не мог привести к полному прекращению функционирования трансграничной линии связи;
- сертифицированы (иметь декларацию) в области связи, в случае присоединения трансграничных линий связи к сетям связи общего пользования;
- обеспечены электроснабжением, осуществляемым от двух независимых взаимно резервирующих источников электропитания с применением устройств автоматического ввода резерва.
Приказ вступает в силу с 1 января 2023 года.
Методические документы ФСТЭК России для программных и программно-аппаратных средств
Федеральная служба по техническому и экспортному контролю Российской Федерации (далее – ФСТЭК России) опубликовала два методических документов для программных и программно-аппаратных средств.
Методика оценки уровня критичности уязвимостей программных, программно-аппаратных средств
Методика подлежит применению операторами информационных систем (далее – ИС) при выявлении и устранении уязвимостей программных и программно-аппаратных средств в соответствии с требованиями безопасности информации, содержащейся в государственных ИС, объекта критической информационной инфраструктуры, а также иными требованиями законодательства РФ.
Приоритет при устранении уязвимостей отдается сертифицированным средствам. Оценка уровня критичности согласно методике проводится специалистами по информационной безопасности (требований к составу рабочей группы и уровню компетенций методикой не предъявляются).
Методика устанавливает порядок оценки уровня критичности уязвимостей. Показатель критичности вычисляется по формуле и зависит от уровня опасности уязвимости и влияния уязвимости на функционирование ИС. Уровень опасности рассчитывается путем расчета базовых, временных и контекстных метрик по методике Common Vulnerability Scoring System (CVSS) 3.0 или 3.1. В методике приведены подробные комментарии как рассчитать нужные параметры, используя калькулятор Банка данных угроз ФСТЭК России. Влияние уязвимости на функционирование ИС также рассчитывается по формуле и зависит от показателей, характеризующих:
- тип компонента ИС, подверженного уязвимости;
- количество уязвимых компонентов ИС;
- влияние уязвимого компонента на защищенность периметра ИС.
Для всех трех показателей приведена таблица со шкалой оценки. Итоговая оценка уровня критичности по приведенной в методике таблице переводится в невербальное значение (низкий, средний, высокий, критичный). Методика также содержит рекомендации по оперативности и порядку применения защитных мер.
Методика тестирования обновлений безопасности программных, программно-аппаратных средств
Методика определяет порядок работ по тестирования обновлений ПО (в т.ч. с открытым исходным кодом), предназначенного для устранения уязвимостей программных и программно-аппаратных средств (далее – обновление безопасности). Область применения совпадает с областью применения методики оценки уровня критичности, описанной ранее.
Устранение уязвимостей сертифицированных программных и программно-аппаратных средств осуществляется в приоритетном порядке. Тестированию подлежат обновления безопасности, направленные на устранения уязвимостей после оценки их критичности по методике, описанной ранее. Тестирование обновлений осуществляют специалисты по защите информации оператора ИС.
Методика описывает порядок тестирования обновлений безопасности в три этапа:
- Подготовка к проведению тестирования.
- Проведение тестирования.
- Оформление результатов тестирования.
Методика не описывает способы получения обновлений, а также не устанавливает порядок выбора среды тестирования – они определяются на усмотрение специалистов по защите информации, проводящих тестирование.
Для тестирования рекомендуется использовать инструментальные средства анализа и контроля, не имеющие ограничений по применению на территории РФ.
В ходе проведения тестирования должны выполняться следующие тесты:
- сверка идентичности обновлений безопасности;
- проверка подлинности обновлений безопасности;
- антивирусный контроль обновлений безопасности;
- поиск опасных конструкций в обновлениях безопасности;
- мониторинг активности обновлений безопасности в среде функционирования;
- ручной анализ обновлений безопасности.
Методика устанавливает общие требования к каждому тесту, но выбор инструментов и способов тестирования остается за специалистом, проводящим тестирование. Результаты каждого теста должны быть оформлены в виде Отчета. Методика приводит требования к составу такого Отчета и его форму. Также Методика содержит правила принятия решений о результатах тестирования (о возможности установки обновлений в зависимости от результатов тестов).
Профессиональные стандарты
Для общественного обсуждения представлены проекты профессиональных стандартов, косвенно связанных с информационной безопасностью (далее – ИБ) и содержащих описание трудовых функций специалистов:
Руководитель проектов в области информационных технологий:
- управление проектами в области информационных технологий (далее – ИТ) на основе полученных планов проектов в условиях, когда проект не выходит за пределы утвержденных параметров;
- управление проектами в области ИТ малого и среднего уровня сложности в условиях неопределенности, порождаемых запросами на изменения, с применением формальных инструментов управления рисками и проблемами проекта;
- управление проектами в области ИТ любого масштаба в условиях высокой неопределенности, вызываемой запросами на изменения и рисками, и с учетом влияния организационного окружения проекта; разработка новых инструментов и методов управления проектами в области ИТ.
Для осуществления всех указанных функций специалист должен владеть знаниями основ ИБ.
- обеспечение функционирования баз данных (далее – БД);
- оптимизация функционирования БД;
- предотвращение потерь и повреждений данных при сбоях технического характера;
- управление развитием БД.
Для осуществления всех указанных функций специалист должен владеть знаниями основ ИБ а также уметь выявлять инциденты ИБ в БД.
- техническое сопровождение проектирования ИТ-сервиса, автоматизированной системы, автоматизированной информационной системы, автоматизированной системы управления, программного, информационного продукта или средства (далее – Системы);
- техническое проектирование Системы и сопровождение разработанных проектных решений;
- концептуально-логическое проектирование Системы и сопровождение разработанных проектных решений;
- управление работами системных аналитиков в проекте или процессе проектирования, создания, приобретения, развития, поддержки, замены или утилизации Системы (далее на всем жизненном цикле Системы).
Специалист должен взаимодействовать со специалистами по ИБ в рамках определения и описания требований и возможных решений в области защиты информации.
Специалист по информационным системам
- техническая поддержка процессов создания (модификации) и сопровождения информационных систем (далее – ИС), автоматизирующих задачи организационного управления и бизнес-процессы;
- выполнение работ по созданию (модификации) и сопровождению ИС, автоматизирующих задачи организационного управления и бизнес-процессы;
- управление работами по сопровождению и проектами создания (модификации) ИС, автоматизирующих задачи организационного управления и бизнес-процессы.
Специалист должен взаимодействовать со специалистами по ИБ при обнаружении инцидентов ИБ, а также должен знать основы ИБ и модель угроз безопасности ИС.
Общественное обсуждение проектов завершилось 1 декабря. В случае утверждения проектов они вступают в силу с 1 марта 2023 года и действуют в течение 6 лет.
Результаты ТК 362
Опубликованы доклады о ходе работ по плану Технического комитета по стандартизации «Защита информации» (далее – ТК 362) по состоянию на 29.11.2022.
В секретариат ТК 362 представлена для рассмотрения первая редакция проекта национального стандарта ГОСТ Р 52447-2005 «Защита информации. Техника защиты информации. Классификация средств защиты информации от несанкционированного доступа и номенклатура показателей качества и надежности» в секретариат ТК 362 для рассмотрения и последующего представления председателю ТК 362 для принятия решения об организации его публичного обсуждения.
Проводились работы по доработке окончательной редакции проектов национальных стандартов:
- ГОСТ Р «Защита информации. Система организации и управления защитой информации. Общие положения»;
- ГОСТ Р ИСО/МЭК 15408-1-20ХХ «Информационная технология. Методы и средства обеспечения безопасности Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель»;
- ГОСТ Р ИСО/МЭК 15408-2-20ХХ «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные компоненты безопасности»;
- ГОСТ Р «Защита информации. Разработка безопасного программного обеспечения. Руководство по оценке безопасности разработки программного обеспечения»;
- ГОСТ Р «Защита информации. Идентификация и аутентификация. Уровни доверия аутентификации».
Срок представления проекта национального стандарта в секретариат ТК 362 – декабрь 2022 года.
Завершены работы по издательскому редактированию и подготовке к утверждению проектов национальных стандартов по управлению компьютерными инцидентами (подробнее о стандартах рассказываем в следующем разделе).
Проведено заседание РГ 4 по обсуждению состояния дел в части развития комплекса стандартов 270ХХ и практики работы в РФ по сертификации на соответствие требованиям ГОСТ Р ИСО/МЭК 2700 после февраля 2022 года.