10.02.2014

О новых проектах стандартов и требований по ИБ

Каждый из фактов пока не тянет на отдельную заметку, поэтому решил объединить их вместе. За последние пару недель на свет появилось сразу несколько документов, которые на ближайшие пару лет установят требования в области своей применимости.

С 1-го января 2014-го года в силу вступил новый руководящий документ ФСТЭК с требованиями к средствам доверенной загрузки. Информационное письмо об этом факте опубликовано 6-го февраля на сайте ФСТЭК. В требованиях выделены следующие типы средств доверенной загрузки:
  • средства доверенной загрузки уровня базовой системы ввода-вывода,
  • средства доверенной загрузки уровня платы расширения,
  • средства доверенной загрузки уровня загрузочной записи.
ЦБ на прошлой неделе выложил для обсуждения на ТК122 проект рекомендаций Банка России в области стандартизации по ресурсному обеспечению информационной безопасности. Цель документа - показать методы обоснования выделения финансовых и человеческих ресурсов на обеспечение ИБ в банках. Документ пока сыроват на мой взгляд и на практике применим с трудом (в действующей редакции). Возможно в процессе обсуждения его удастся докрутить.

Также ЦБ во второй половине января выложил для обсуждения на ТК122 проект рекомендаций Банка России в области стандартизации по обеспечению информационной безопасности при использовании технологии виртуализации. Надо будет сравнить этот проект с проектом соответствующего ГОСТ, который подготовил ТК362.

В конце января, на заседании ТК122 также были утверждены новые редакции двух хорошо известных стандартов СТО 1.0 (это будет уже пятая версия) и СТО 1.2. В СТО 1.0 внесли ряд изменений, в т.ч. и в части последних поправок в законодательстве по персональным данным. Из интересных новаций - признание угроз 1-го и 2-го типа неактуальными. Более подробно я этот стандарт в контексте темы ПДн рассмотрю позже - там есть ряд интересных, а местами и спорных моментов.

Ну и наконец, как и написано в плане нормотворческой деятельности ФСТЭК на 2014-й год, подготовлен проект требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды, который скоро будет представлен заинтересованным лицам.

Я думаю, что по документам ФСТЭК информацию можно будет получить из первых рук на конференции "Актуальные вопросы защиты информации", которую проводит регулятор в эту среду, 12-го февраля. А информацию по документам Банка России можно будет получить в Магнитогорске.

4 коммент.:

Николай комментирует...

Алексей!
После прочтения Инф.письма ФСТЭК Об утверждении требований к средствам довер.загрузки возник вопрос.
Это требования к производителям продукции, обеспечивающей доверенную загрузку? Или и для нас - её пользователей? Поясняю.
Банк, уровень защищённости ИСПДн - УЗ-3. По Приказу 21 ФСТЭК мера УПД.17 для УЗ-3 и УЗ-4 не обязывает применять дов.загрузку, как базовую. Если же почитать Информационной письмо ФСТЭК, то можно найти для У3-3 необходимость использования ИТ.СД3.335.ПЗ - средство доверенной загрузки уровня загрузочной записи.
Несоответствие Приказа 21 Информационному письму или что-то не понимаю?
Николай.

-)гоист комментирует...

Николай,
в самом письме указано:
"Требования предназначены для организаций, осуществляющих в ... работы по созданию средств защиты информации, заявителей на осуществление обязательной сертификации продукции, а также для испытательных лабораторий и органов по сертификации..."

Николай комментирует...

Меня смутил абзац выше: Требования применяются.....
Внутренне я "уговорил" себя, что ИТ.СД3.ЗЗ5.П3 я могу использовать не на обязательной основе. Никто ведь не запрещает использовать, кроме обязательных мер и дополнительные по желанию.
Но для верности своих предположений я и хотел услышать мнения экспертов.
Вдруг совпадут с моим:)

Алексей Лукацкий комментирует...

Усли УПД.17 вы для себя включили в перечень защитных мер и у вас решено, что СрЗИ должны быть сертифицированными, то применять вы должны решения, соответствующие этому РД. Если же вы решили УПД.17 включить в меры защиты, а сертифицированные СрЗИ использовать не хотите, то этот РД для вас будет просто как методическое указание, что учесть при выборе