За последнюю неделю произошло два события, связанных с ФСТЭК, которые сами по себе может быть и не столь значительны, но определят развитие отрасли ИБ на ближайшее время. Итак, начнем со второго события - 29-го января ФСТЭК разместила у себя на сайте информационное сообщение о начале сбора предложений по внесению изменений в 17-й приказ по защите государственных информационных систем. Я уже как-то писал, что у ФСТЭК есть желание выйти на двухлетний жизненный цикл своих документов и вот первое доказательство. Будучи утвержденным в феврале 2014-го года, вторая редакция 17-го приказа должна быть принята спустя два года - в первом квартале 2016-го года.
Я уже не раз призывал специалистов отрасли поучаствовать в процессе подготовки предложений к нормативным документам регулятора, призываю и сейчас. Я как считал, так и продолжаю считать, что документы получились очень неплохими и гибкими в выборе защитных мер. Помню, что звучала не раз критика сложности 17-го (да и 21/31-го) приказа. Сейчас появляется возможность этот "недостаток" устранить, предложив свою структуру документа.
Но вернемся ко второму событию - 27-го января ФСТЭК анонсировала у себя на сайте проведение 12-го февраля ежегодной конференции "Актуальные вопросы защиты информации". Как это уже было в прошлом году, на конференции озвучиваются основные тенденции и планы развития нормативной базы на ближайшее время.
Что же мы видим в программе мероприятия? Во-первых, доклады, посвященные моделированию угроз и практике рассмотрения моделей угроз госорганов, направляемых в ФСТЭК для согласования. Могу предположить, что на конференции будет представлена долгожданная методика моделирования угроз.
Во-вторых, заявлена тема совершенствования системы сертификации средств защиты информации. Могу предположить, что будет анонсирован документ, о разработке которого речь шла в прошлом году, и который содержит новые правила оценки соответствия средств ИБ. На это же направлены и новые правила аккредитации органов по сертификации и испытательных лабораторий.
Третья тема касается изменения правил лицензирования деятельности по ТЗКИ. Аккурат к конференции ФСТЭК подготовила проект нового административного регламента и по этому вопросу. Еще одна тема, которой посвящена конференция ФСТЭК, - безопасность АСУ ТП. В прошлый раз представители регулятора анонсировали не только 31-й приказ, но и планы по разработке целого ряда методических документов. Возможно они будут представлены в этом году.
И, наконец, последняя, совершенно новая тема оставлена "на закуску" конференции - создание в России собственной базы угроз и уязвимостей, независящей от американских NVD и CVE. В этом блоке буду выступать и я с докладом "А что если завтра нас отключат от CVE… Как создать собственную систему Threat Intelligence".
Вот такие новости от ФСТЭК...
Я уже не раз призывал специалистов отрасли поучаствовать в процессе подготовки предложений к нормативным документам регулятора, призываю и сейчас. Я как считал, так и продолжаю считать, что документы получились очень неплохими и гибкими в выборе защитных мер. Помню, что звучала не раз критика сложности 17-го (да и 21/31-го) приказа. Сейчас появляется возможность этот "недостаток" устранить, предложив свою структуру документа.
Но вернемся ко второму событию - 27-го января ФСТЭК анонсировала у себя на сайте проведение 12-го февраля ежегодной конференции "Актуальные вопросы защиты информации". Как это уже было в прошлом году, на конференции озвучиваются основные тенденции и планы развития нормативной базы на ближайшее время.
Что же мы видим в программе мероприятия? Во-первых, доклады, посвященные моделированию угроз и практике рассмотрения моделей угроз госорганов, направляемых в ФСТЭК для согласования. Могу предположить, что на конференции будет представлена долгожданная методика моделирования угроз.
Во-вторых, заявлена тема совершенствования системы сертификации средств защиты информации. Могу предположить, что будет анонсирован документ, о разработке которого речь шла в прошлом году, и который содержит новые правила оценки соответствия средств ИБ. На это же направлены и новые правила аккредитации органов по сертификации и испытательных лабораторий.
Третья тема касается изменения правил лицензирования деятельности по ТЗКИ. Аккурат к конференции ФСТЭК подготовила проект нового административного регламента и по этому вопросу. Еще одна тема, которой посвящена конференция ФСТЭК, - безопасность АСУ ТП. В прошлый раз представители регулятора анонсировали не только 31-й приказ, но и планы по разработке целого ряда методических документов. Возможно они будут представлены в этом году.
И, наконец, последняя, совершенно новая тема оставлена "на закуску" конференции - создание в России собственной базы угроз и уязвимостей, независящей от американских NVD и CVE. В этом блоке буду выступать и я с докладом "А что если завтра нас отключат от CVE… Как создать собственную систему Threat Intelligence".
Вот такие новости от ФСТЭК...
Похоже, что от своих обещаний "утвердить методические докменты в IV квартале 2013 года" регулятор оконочательно отказался. Писать новую редакцию приказа интереснее, чем методички к нему: пусть оператор голову ломает.
ОтветитьУдалитьОчень надеюсь что будет учтен опыт прошлой встречи. Сделают кофебрейки и всем достанется по стулу.)))
ОтветитьУдалитьНа стулья надеюсь, а вот насчет кофе я бы не обольщался
ОтветитьУдалить