Новые требования к межсетевым экранам
Из информационного сообщения ФСТЭК России стало известно об утверждении новых требований к межсетевым экранам. Помимо шести классов межсетевых экранов (самый низкий класс — шестой, самый высокий — первый) в новых требованиях выделяется пять типов межсетевых экранов от «А» до «Д», различающихся по следующим признакам:
- размещение (место применения) межсетевого экрана (на физической границе между сегментами сети, на узле информационной системы, в АСУ ТП и др.);
- тип исполнения межсетевого экрана (программное или программно-техническое).
Кроме того, новые требования устанавливают соответствие между классами МЭ и классами информационных систем, в которых они должны применяться:
- МЭ 6-го класс: в ГИС 3-го и 4-го класса защищенности, в АСУ ТП — 3-го класса защищенности, в ИСПДн при необходимости обеспечения 3-го и 4-го уровня защищенности ПДн;
- МЭ 5-го класса — в ГИС и АСУ ТП 2-го класса защищенности, в ИСПДн при необходимости обеспечения 2-го уровня защищенности ПДн;
- МЭ 4-го класса — в ГИС и АСУ ТП — 1-го класса защищенности, ИСПДн при необходимости обеспечения 1-го уровня защищенности ПДн;
- МЭ 1-го, 2-го и 3-го классов — в информационных системах, обрабатывающих информацию, содержащую государственную тайну.
Новые требования вступят в силу с 1 декабря 2016.
Ограничение сервисов VoIP
В прошедшем месяце на публичное обсуждение вынесен законопроект, вносящий изменения в правила присоединения сетей эклектросвязи и их взаимодействия.
Предлагаемая редакция документа предусматривает исключение операторов, предоставляющих услуги связи по передаче голосовой информации (то есть VoIP), из списка тех, кому разрешено присоединяться к местным и другим сетям. Учитывая широкое использование технологии VoIP в различных сервисах связи, таких как Skype и Viber, предлагаемые изменения могут значительно ограничить возможности пользователей данных сервисов в совершении звонков на стационарные или мобильные телефоны и наоборот.
Обновленные требования к платежным приложениям
Вслед за новой версией PCI DSS, рассмотренной в предыдущем обзоре, в мае была опубликована новая версия стандарта безопасности данных для платежного программного обеспечения PA-DSS.
К важным изменениям в PA-DSS версии 3.2 относится обновление требований по приведению в соответствие с PCI DSS v3.2.
Также внесены изменения в «Руководство по внедрению PA-DSS», содержащее рекомендации по настройке платежных приложений, обеспечивающие соответствие PCI DSS. В том числе внесены изменения в части осуществления процедур безопасной установки исправлений и обновлений программ, а также инструкций по защите данных о держателях карт при использовании журналов отладки.