СОИБ. Анализ. Требования к защите систем общего пользования

Со второго ноября вступает в силу совместный приказ ФСТЭК России и ФСБ России от 31 августа 2010 г. N 416/489.

Данный приказ вводит классификацию (государственных) информационных систем общего пользования (I и II класс)

Большинство требований достаточно понятны и логичны, кроме одного ньюанса. Для систем I класса обязательными является применение ряда сертифицированных ФСБ России средств защиты.

Проблема в том, что средства обнаружения компьютерных атак, средства межсетевого экранирования, сертифицированные ФСБ России фактически отсутствуют на рынке.
Требование к системе защиты информации
I Класс
II Класс
1
Подсистема защиты от НСД
средства, сертифицированные ФСБ России
средства, сертифицированные ФСБ России или ФСТЭК России
2
Подсистема регистрации событий доступа
v
v
3
Подсистема записи трафика
Не менее 10 дней
Не менее суток
4
Подсистема криптографической защиты (ЭЦП)
средства, сертифицированные ФСБ России
средства, сертифицированные ФСБ России
5
Подсистема антивирусной защиты
средства, сертифицированные ФСБ России
средства, сертифицированные ФСБ России или ФСТЭК России
6
Подсистема обнаружения вторжений
средства, сертифицированные ФСБ России
средства, сертифицированные ФСБ России или ФСТЭК России
7
Подсистема межсетевого экранирования
средства, сертифицированные ФСБ России
средства, сертифицированные ФСБ России или ФСТЭК России
8
Подсистема обеспечения непрерывности работы
Сертифицированные ИБП
ИБП
9
Резервное оборудование и ПО
Частичное резервирование оборудования
10
Средства резервного копирования и восстановления
Средства резервного копирования и восстановления
11
Подсистема физической защиты
СКУД, видеонаблюдение
СКУД


Мероприятия по созданию системы защиты
I Класс
II Класс
1
Разработка модели угроз
v
v
2
Разработка проекта защиты
v
v
3
Поставка и сертификация средств защиты информации
v
v
4
ПНР
v
v
5
Уведомления о готовности
ФСБ России
ФСТЭК России
6
Передача в эксплуатацию
v
v

Так-же необходимо выполнение ряда организационных мероприятий, для обеспечения которых необходимо разработать регламентирующие документы, например:
  • Регламент управления событиями
  • Регламент управления инцидентами
  • План обеспечения непрерывности работы
  • Регламенты восстановления
Ещё одно из новшеств - это сканирование защищенности ИС общего пользования подразделением ФСБ России.

Видимо в ФСБ приобрели сканер защищенности типа XSpider с неограниченной лицензией.

Всё бы ничего - но нужен грамотный регламент проведения такой проверки.

Во первых для того чтобы сканирование не нарушило работоспособности ИС - необходимо грамотно подбирать шаблоны сканирования.
Во вторых администраторы ИС общего пользования должны быть уведомлены в какое время и с каких адресов проводится сканирование.


Комментарии

Отправить комментарий

Популярные сообщения из этого блога

СОИБ. Проектирование. Защита файловых ресурсов

Изображение
 В сегодняшней заметке хотелось бы уделить внимание комплексным решениям по защите файловых ресурсов. Несмотря на тенденцию хранения ценной информации в корпоративных приложениях и БД, в большинстве организаций всё равно хранится чувствительная информация в виде файлов. Могу привести следующие примеры: ·         даже если ценная информация хранится в БД, периодически она выгружается оттуда для передачи в другие системы (платежная информация хранится в АБС банка, но для межбанковских платежей используется передача файлов) ·         ценная информация может выгружаться пользователями из БД и сохраняться во временных файлах в рамках выполнения их служебных обязанностей ·         бизнес приложения обычно формируют отчетность, результаты анализа для руководителей в виде документов и именно эта информация представляет наибольшую ценность ·      ...
Далее...

СЗПДн. Анализ. Приказ ФСТЭК №21 (UPD)

Изображение
Как вы, наверное, уже заметили, Минюст зарегистрировал и опубликовал новый приказ ФСТЭК №21 от 18.02.2013 "Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных". Хотя я и участвовал в совершенствовании документа ( SOISO ), специально не хотел публиковать каких-то аналитических статей для широкого круга пользователей, потому что слишком уж в России быстро и сильно меняются конечные версии документов по сравнению с их проектами. И большая радость может  неожиданно сменится на большую печаль. Начнем пожалуй с порядка действий. Для наглядности процесс привожу в виде схемы, включая перечень мероприятий, необходимые данные и возможные результаты. (Кликать по ссылке1 - картинка JPG,  но лучше загружайте в формате PDF - там лучшее качество текста. Стрелки со сплошными линиями - значит есть явное требование в приказе, с пунктирными -...
Далее...

Новый ГОСТ по обнаружению КА и реагированию на инциденты

Изображение
Вчера на сайте ФСТЭК России для общественного обсуждения был выложен ГОСТ Р «Защита информации. Обнаружения, предупреждения и ликвидации последствий компьютерныхатак и реагирования на компьютерные инциденты. Термины и определения» Как следует из названия, стандарт содержит: термины, определения, взаимосвязь терминов. Термины и определения разделены на разделы и подразделы. Обнаружение компьютерных атак и реагирование на компьютерные инциденты – это тема в которой пересекаются интересы многих регулирующих и иных организаций. Разработчики стандарта так обосновывают его необходимость: “Анализ национальных стандартов, нормативных правовых актов и методических документов показывает необходимость установления единой терминологии в части обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты. Отсутствие единой терминологии может привести к нарушению взаимопонимания между заказч...
Далее...