четверг, 13 февраля 2014 г.

IV конференция и планы ФСТЭК

12 февраля 2014г в рамках ТБ-форума состоялась IV конференция «Актуальные вопросы защиты информации». Участие представителей ФСТЭК России и известных экспертов в области ИБ обеспечило мероприятию настоящий аншлаг, по причине которого многим посетителям пришлось слушать выступления стоя (в виду нехватки стульев). Основными участниками и, естественно, ньюсмейкерами конференции стали руководители управлений ФСТЭК В. Лютиков и Д. Шевцов, поделившиеся планами нормотворчества на ближайшие два года. Традиционный интерес вызвала презентация А. Лукацкого (ООО Cisco Systems), а так же выступление представителя одного из основных разработчиков проектов НПА ФСТЭК – А. Сидак (ООО «ЦБИ»), поделившегося секретами выбора мер защиты информации в ГИС (выбор так называемых «мер усиления»).

Планов у ФСТЭК громадье. Только под Приказ №17 предполагается утвердить не менее 8 методических документов (впрочем, один из них, «Меры защиты информации в ГИС», уже был утвержден за день до конференции). Примерный перечень остальных выглядит так:

- «Методика определения угроз безопасности информации в ИС» (обсуждение планируется в I квартале 2014г;
- «Порядок аттестации ИС»;
- «Порядок обновления ПО в ИС»;
- «Порядок выявления и устранения уязвимостей в ИС»;
- «Порядок реагирования на инциденты нарушения безопасности информации»;
- «Защита информации в ИС при использовании мобильных устройств»;
- «Защита информации в ИС при использовании устройств беспроводного доступа».

Этот список, насколько можно понять из выступления В. Лютикова, не окончательный и будет расширяться. В 17-м приказе достаточно много требований к мерам, никак не регламентированным в действующих НПА. А приказ, вообще-то, требуется выполнять уже сейчас. Во всяком случае, пытаться.

Вторым важным направлением развития НПА является проект «Требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды». Чем хорош проект? Тем, что в нем реализован точно такой же принцип организации ЗИ и выбора мер защиты, как и в 17-м и 21-м приказах. Только мер здесь не 13, и даже не 15, а двадцать одна (включая, например, меры по информированию и обучению пользователей). Принцип выбора, как и в предыдущих документах, четырехшаговый (базовый набор, адаптация, уточнение, дополнение). А вот классов ИС не 4, а 3, да и сама классификация попроще, чем в 17-м. И еще одна важная деталь: аттестация АСУ ПТП КВО не обязательна, оценить соответствие защищенной системы можно в форме приемки в эксплуатацию. Собственно, проект документа уже выложен на сайте ФСТЭК и вряд ли нуждается в более детальном рассказе. Методические документы, о которых шла речь выше, будут, разумеется, применяться и для реализации «Требований …».
(продолжение следует ...)

Комментариев нет:

Отправить комментарий