16.02.2016

Конференция ФСТЭК: новые требования к средствам защиты

Вспомните вот эту картинку:


Она была представлена на конференции ФСТЭК в феврале 2015-го года, то есть ровно год назад. А теперь посмотрите вот на эту картинку:


Она была представлена в одном из выступлений ФСТЭК осенью 2015-го года. Прошло всего полгода, а какие изменения произошли в ней - на первые два места вышли требования к операционным системам и системам управления базам данных.

А вот картинка уже этого года. Из списка исчезли требования к средствам разграничения доступа (управление доступом осталось), средствам ограничения программной среды и средствам контроля целостности. При этом добавились требования к... фанфары, SIEM.


Значит ли это, что ФСТЭК отказалась от упомянутых выше РД? Нет! Я еще раз напомню, что задачей ФСТЭК, озвученной несколько лет назад, является выпуск требований, закрывающих все меры защиты, упомянутые в 17/21/31-м приказах и которые могут быть закрыты именно техническими решениями. Просто у регулятора по ходу работы меняются приоритеты и не всегда хватает ресурсов на то, чтобы выпустить все и в озвученные ранее сроки. Например, в списке отсутствуют требования к промышленным антивирусам, а они уже в проекте есть. Так и со всеми другими требованиями - они в проектах той или иной степени готовности есть почти по всем направлениям. Но рассылаться по экспертам для оценки они будут позже, по мере утверждения более приоритетных документов.

В Facebook по данному слайду были комментарии, что ФСТЭК физически не успеет к 1-му марта выложить на сайт для общественного обсуждения проекты РД по ОС и СУБД. Ну так этого и не планируется. ФСТЭК вообще проекты РД к средствам защиты в публичный доступ не выкладывает - они доступны только заявителям, разработчикам (не всем) и испытательным лабораториям. Вот к 1-му марта именно от них планируется получить замечания, принять или нет, и утвердить финальную версию.