ФСТЭК России опубликовал проект методического документа «Меры защиты информации в государственных информационных системах», тем самым выполнив обещание по разработке методических документов по описанию содержания мер защиты в информационной системе, установленных приказами №17 и 21, данное в июльском информационном сообщении. Новый документ содержит подробные разъяснения по реализации требований по обеспечению информационной безопасности, определенных приказом №17, включая правила выбора и реализации организационных и технических мер защиты информации. Для каждой меры защиты, определенной в 17-ом приказе, приводятся требования по ее реализации, а также требования по усилению, которые могут применяться дополнительно.
Детальное описание мер защиты включает определение конкретных параметров их реализации, например, таких как:
— период времени неиспользования учетных записей пользователей, после которого должно осуществляться их автоматическое блокирование;
— время бездействия пользователя, после которого обеспечивается блокирование сеанса;
— длина пароля;
— максимальное количество неуспешных попыток аутентификации.
— перечень событий безопасности, подлежащих регистрации, и прочее.
Кроме того, в документе определяются конкретные организационные меры, а также необходимость документирования различных процессов управления информационной безопасности, в том числе порядок:
— применения беспроводных соединений;
— применения удаленного доступа;
— использования мобильных технических средств;
— доступа к машинным носителям информации;
— перемещения виртуальных машин.
Тем самым новый документ ФСТЭК может служить основой для формирования технических требований, а также пересмотра типового пакета ОРД, разрабатываемого в рамках проектов по защите ПДн.
Список запрещенной информация для Интернета
Сразу три федеральных ведомства — Роскомнадзор, Федеральная служба РФ по контролю за оборотом наркотиков (ФСКН) и Роспотребнадзор — подписали приказ, в котором содержится перечень критериев оценки информации на интернет-сайтах, запрещенной к распространению в России. Всего выделяется пять групп критериев оценки информации. В число запрещенной входит информация, содержащая:
— детскую порнографию;
— сведения о способах, методах разработки, изготовления и использования наркотических средств, и местах их приобретения;
— способы совершения самоубийств.
Обеспечение ИБ как часть стратегии развития ИТ в РФ
Правительство утвердило документ «Стратегия развития отрасли информационных технологий в РФ на 2014—2020 годы и на перспективу до 2025 года». Стратегия содержит раздел «Обеспечение информационной безопасности», в котором определены долгосрочные меры по обеспечению ИБ органов государственной власти, организаций и граждан.
Согласно стратегии одним из приоритетных направлений исследований и разработок в области информационных технологий являются технологии информационной безопасности, включая новые биометрические системы и системы идентификации, приложения и инфраструктурные решения для повышения безопасности в компьютерных сетях, а также новые алгоритмы и устройства автоматизированной высоконадежной проверки компьютерных средств вычислительной техники на отсутствие незадекларированных возможностей.
Новая версия PCI DSS
Совет PCI SSC (Payment Card Industry Security Standards Council) опубликовал новую версию стандарта безопасности данных индустрии платежных карт PCI DSS 3.0, а также стандарта безопасности данных платежных приложений PA-DSS.
Версия 3.0 вступает в силу 1 января 2014 года. Версия 2.0 также будет действительна до 31 декабря 2014 для обеспечения организациям достаточного времени для перехода на новый стандарт.
Изменения в стандарты вносятся каждые три года в соответствии с потребностями рынка, а также основываясь на обратной связи участников индустрии платежных карт.
Обновления включают в себя конкретные рекомендации для принятия стандарта PCI DSS как части повседневных бизнес-процессов, а также передовой опыт поддержания соответствия стандарту PCI DSS.