БДУ ФСТЭК: состояние и перспективы

Продолжу рассказ о конференции «Актуальные вопросы защиты информации». Кроме представителей центрального аппарата ФСТЭК, на конференции выступил представитель ГНИИИ ПТЗИ С.В. Соловьев с рассказом о Банке данных угроз и уязвимостей и о перспективах его развития.

На момент доклада в БДУ содержались сведения о 15377 уязвимостях и 194 угрозах. Разумеется, эти цифры будут пополняться, а работа с БДУ станет более удобной.

В 2016 г реализовано представление сведений об уязвимостях в формате XML. Соотношение количества уязвимостей по уровню их опасности в 2016 г выглядело следующим образом:

Низкая опасность – 2%

Средняя – 31%

Высокая – 64%

Критическая – 3%.

Соотношение критических уязвимостей по производителям ПО:

 Равнение на лидеров! :)

Наиболее популярные параметры при обращении к базе уязвимостей: тип ПО, вендор и уровень опасности уязвимости

В 2016 г реализовано еженедельное обновление базы уязвимостей, а сам БДУ перенесен в защищенный гос. сегмент RSNet.  Подготовлен калькулятор CVSS v.3.0.

Наиболее популярные уязвимости в 2016г:

Наиболее «популярное» ПО с точки зрения запросов о наличии уязвимостей:  

Вопросы сертификации СЗИ на ТБ-форуме

Наибольше внимание на конференции «Актуальные вопросы защиты информации» (8 февраля, г. Москва) представители ФСТЭК традиционно уделили вопросам сертификации СЗИ. Презентация начальника 2 управления ФСТЭК Д.Н. Шевцова так и называлась: «Проблемные вопросы сертификации СЗИ». Наибольшим вниманием со стороны регулятора в данной области пользуются следующие направления:

            -   Разработка и внедрение требований к СЗИ;
-   Качество поддержки сертифицированных СЗИ;
 -  Прекращение поддержки сертифицированных СЗИ;
-   Выявление и устранение уязвимостей в СЗИ заявителями на сертификацию, испытательными лабораториями и операторами ИС.

Дмитрий Николаевич напомнил, какие документы, определяющие требования к СЗИ были утверждены начиная с 2011 г. В 2017 году планируется утвердить требования:

Дальнейшие планы разработки требований озвучены не были, чтобы не подвергаться критике за то, что иногда заявленные сроки выхода документов не соблюдаются.

Поскольку после ввода в действие новых требований к МЭ возникло много вопросов, ФСТЭК готовит по этому поводу специальное инф. Сообщение, в котором будут разъяснены следующие вопросы:

Разумеется, находящиеся сейчас в эксплуатации МЭ, сертифицированные по требованиям 1997 года можно использовать до окончания срока действия сертификата. Продлять такие сертификаты ФСТЭК будет в индивидуальном порядке при условии отсутствия в них актуальных уязвимостей.

Так же в презентации показано, какие МЭ уже получили сертификаты на соответствие новым требованиям:

 В настоящее время процедуру сертификации проходит еще ряд продуктов.

Что больше всего беспокоит ФСТЭК в области сертификации и эксплуатации СЗИ? Этому посвящен следующий слайд:

"Особенности" получения лицензий ФСТЭК

На прошедшей 8 февраля конференции «Актуальные вопросы защиты информации» немало внимания было уделено вопросам получения лицензий ФСТЭК. Представители регулятора объясняли суть изменений, внесенных в Постановления Правительства РФ №79 и №171. Начальник отдела лицензирования Н.И. Мищенко подробно рассказал о новых требованиях к специалистам, наличие которых обязательно для получения лицензии, о появившемся новом виде услуг по мониторингу ИБ. В новой редакции 79-го постановления четко определено, какие виды работ организации могут выполнять для собственных нужд без лицензии, а на какие работы необходимо получать лицензию даже «для себя».

В выступлении Н.И. Мищенко чувствовалось желание сделать вопросы, касающиеся лицензирования, более понятными для соискателей. Представитель ФСТЭК рекомендовал обращаться за консультациями в управления ФСТЭК по Федеральным округам или в отдел лицензирования центрального аппарата и обещал помощь со стороны своих подчиненных. Более того, ФСТЭК готовит специальные методические рекомендации, в которых процедура подготовки организаций к получению лицензий будет расписана подробно. За стремление облегчить участь соискателей и сделать процедуру лицензирования прозрачной и понятной хочется сказать ФСТЭК России спасибо.

Не обошлось, конечно, и без «ложки дегтя».