Анонс новых документов
За прошедший месяц различными источниками в СМИ было анонсировано несколько новых документов в сфере ИБ, которые готовятся к опубликованию. Так, в 2016 году ожидается принятие новой «Доктрины информационной безопасности», определяющей пять типов угроз национальной безопасности в информационной среде, включая:
- действия других стран, направленные на проведение кибершпионских и диверсионных операций против органов власти и инфраструктурных предприятий РФ;
- использование информационно-коммуникационных технологий зарубежными спецслужбами для дестабилизации внутриполитической ситуации в РФ;
- рост темпов киберпреступности в банковской и финансовой сфере и нарушение злоумышленниками права граждан РФ на частную жизнь;
- научно-техническое отставание России в сфере ИТ и связанная с этим зависимость страны от экспорта технологий, что влечет за собой возникновение рисков в области технического обеспечения и бесперебойности работы инфраструктур;
- стремление отдельных государств использовать для достижения экономического и геополитического преимущества технологическое доминирование в глобальном информационном пространстве.
Кроме того, стало известно о завершении работы ФСТЭК России над национальным стандартом по безопасной разработке программного обеспечения для средств защиты информации, принятие которого ожидается в начале следующего года. Данный стандарт будет носить рекомендательный характер, однако в последствие он может быть внедрен и для обязательного применения.
Единая система ЦОДов
7 октября правительством РФ была утверждена Концепция перевода обработки и хранения государственных информационных ресурсов в систему федеральных и региональных центров обработки данных. Данная концепция указывает на необходимость организации системы центров обработки данных, управляемую одним оператором, для централизации информационно- телекоммуникационной инфраструктуры информационных систем органов власти. При этом основным подходом к реализации системы центров обработки данных является использование «облачных» технологий.
Концепция содержит ключевые требования к системе центров обработки данных и ее объектам, включая обеспечение резервирования каналов связи и катастрофоустойчивости решений, используемых при создании системы, требования к надежности и обеспечению защиты информации. В частности, защита информации в системе центров обработки данных предусматривает:
- своевременное выявление угроз безопасности информации и уязвимостей;
- реализацию необходимых мер и средств защиты информации;
- обеспечение подключения к государственной системе обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ;
- реализацию мероприятий по периодическому внутреннему и внешнему контролю состояния обеспечения информационной безопасности.
В соответствии с Концепцией переход на использование системы центров обработки данных должен осуществляться поэтапно в соответствии с планом мероприятий на период с 2015 по 2021 год, приведенном в приложении к Концепции. Однако реализация положений Концепций вызывает большое количество вопросов, главным образом связанных с отсутствием национальных стандартов в области обеспечения ИБ при использовании «облачных» технологий.
Новая версия стандарта оценки уязвимостей CVSS
Еще в июне 2015 года рабочей группой Common Vulnerability Scoring System-Special Interest Group была опубликована новая версия стандарта Common Vulnerability Scoring System, используемого для оценки существующих уязвимостей в информационных системах на основании различных критериев и метрик.
Новая версия стандарта направлена на расширение числа факторов, которые могут быть учтены при оценке уязвимостей. Теперь с использованием CVSS v3 стало возможным оценивать цепочки уязвимостей и учитывать случаи, когда уязвимый и атакуемый компоненты не совпадают. Кроме того, в новой версии стандарта вводятся дополнительные метрики и вносятся корректировки в существующие.
На сайте проекта Forum of Incident Response and Security Teams (FIRST) доступна подробная спецификация CVSS v3, рекомендации по использованию новой версии стандарты, а также калькулятор и примеры расчетов метрик по методике CVSS v3.