ИБ. НПА. Новые требования к лицензиатам ФСТЭК - пентестеры


Постановления Правительства РФ от15.06.2016 N 541 внесло изменения в Постановление Правительства РФ от 3 февраля 2012 г. N 79 «о лицензировании деятельности по технической защите конфиденциальной информации»

Изменения вступают в силу 17.06.2017.

Давайте вспомним что изменилось:
1) виды работ и услуг:
В ряде случаев вместо “работ и услуг” стало применяться только “услуг по”.
Убрали сертификационные испытания и добавили услуги по мониторингу
- в) сертификационные испытания на соответствие требованиям по безопасности информации продукции …;
+ в) услуги по мониторингу информационной безопасности средств и систем информатизации;

В область лицензирования попала наладка СЗИ.  В СКЗИ-шном лицензировании “наладка” всегда упоминалась. Теперь вот и в ТЗКИ. Когда мы говорится про наладку программного обеспечения очевидно имеется в ввиду его настройка.
- е) установка, монтаж, испытания, ремонт средств защиты информации (технических средств защиты информации, защищенных технических средств обработки информации, технических средств контроля эффективности мер защиты информации, программных (программно-технических) средств защиты информации, защищенных программных (программно-технических) средств обработки информации, программных (программно-технических) средств контроля защищенности информации).
+ е) услуги по установке, монтажу, наладке, испытаниям, ремонту средств защиты информации (технических средств защиты информации, защищенных технических средств обработки информации, технических средств контроля эффективности мер защиты информации, программных (программно-технических) средств защиты информации, защищенных программных (программно-технических) средств обработки информации, программных (программно-технических) средств контроля эффективности защиты информации).

Сменили термин “Средства контроля защищенности” -> “средства контроля эффективности защиты”.
                Первый был в приказах ФСТЭК
“18.8. Меры по контролю (анализу) защищенности информации должны обеспечивать контроль уровня защищенности автоматизированной системы управления путем проведения мероприятий по выявлению и анализу уязвимостей, контролю установки обновлений программного обеспечения, состава программного обеспечения и технических средств и правильности функционирования средств защиты информации”
Второй из ГОСТ Р 50922-2006
“2.7.3 средство контроля эффективности защиты информации: Средство защиты информации, предназначенное или используемое для контроля эффективности защиты информации.
2.9.1 эффективность защиты информации: Степень соответствия результатов защиты информации цели защиты информации.”

2) От требования к наличию специалистов с образованием -> наличие руководителя с образованием (переподготовкой) и опытом + не менее 2х технических работников с образованием (переподготовкой) + стаж.
Теперь требуется повышать квалификацию (замечу, что минимально допустимый срок повышения квалификации – 16 часов, но среди программ согласованных с ФСТЭК скорее всего придется выбирать от 72 часов) указанных лиц не реже одного раза в 5 лет.  Раньше же лицензиаты вполне могли обходится сотрудниками, получившими высшее образование 10-15 лет назад.

3) Убрали требования к наличию лицензионных ОС, СУБД и другого ПО
4) Вместо наличия средств контроля защищенности -> теперь требуются средства контроля эффективности + средства контроля исходных текстов программного обеспечения

Ну а дальше перейдем к самому нашумевшему – утвержденному директором ФСТЭК России 16 декабря 2016 г. «Перечень контрольно-измерительного и испытательного оборудования, средств контроля защищенности, необходимых для выполнения работ и оказания услуг, установленных Положением о лицензировании деятельности по технической защите конфиденциальной информации, утвержденным постановлением Правительства Российской Федерации от 3 февраля 2012 г. N 79»

Для начала формальные ошибки:
·         ПП №79 в новом варианте требует средства контроля эффективности защиты, а в Перечне – средства контроля защищенности
·         ПП №79 в новом варианте требует средства контроля исходных текстов ПО, а в перечне о нем ни слова

Далее про пентестеров:  на SOС–forum ФСТЭК говорил что эта деятельность входит в лицензируемую “б) услуги по контролю защищенности конфиденциальной информации от несанкционированного доступа и ее модификации в средствах и системах информатизации”

Из планируемых изменений в 17 приказ ФСТЭК следовало что пентесты входят и в деятельность по аттестации.

А из Перечня следует, что “Средства, предназначенные для осуществления тестирования на проникновение” применяются в деятельности б, в, г.1, д.1. (контроль защищенности, мониторинг ИБ, аттестация, установка СЗИ). 

Не вижу тут какого-либо противоречия. Просто есть пентестеры – для которых это основной вид деятельности, тогда это деятельность по контролю защищенности.  А есть тестирование которые проводятся в рамках других крупных работ – создании СЗПДн, аттестации (интеграторы или аттестаторы)

Посмотрим какие средства требуются именно пентестерам (услуги по контролю защищенности КИ от НСД) для получения лицензии.
Программные средства формирования и контроля полномочий доступа в информационных (автоматизированных) системах
Должны иметь сертификат соответствия ФСТЭК России
Средства контроля эффективности применения средств защиты информации
Должны иметь сертификаты соответствия ФСТЭК России
Программное средство контроля целостности программ и программных комплексов
Должно иметь сертификат соответствия ФСТЭК России
Система контроля (анализа) защищенности информационных систем
Должна иметь сертификат соответствия ФСТЭК России
Средства, предназначенные для осуществления тестирования на проникновение

На первый взгляд ничего страшного нет. Классический набор + новые средства тестирования на проникновения, под которые пока не требуется сертификат и подойдет пачка опенсорсных утилит с функциями: 

Должны выявлять угрозы безопасности информации путём имитации действий нарушителя, в том числе осуществления сбора данных о проектных решениях и о параметрах настройки средств и систем информатизации, в отношении которых осуществляется мониторинг информационной безопасности, и преодоления (обхода) их систем защиты информации за счет внедрения во вводимые данные структурированных запросов к базам данных, межсайтового исполнения сценариев, некорректного управления сеансами связи, отсутствия подтверждения корректности перенаправлений и эксплуатации других уязвимостей


В следующий раз про мониторинг.



Комментарии

Отправить комментарий

Популярные сообщения из этого блога

СКЗИ. НПА. Некоторые вопросы применения криптографии

Изображение
Как показывает практика, немногие организации помнят и руководствуются приказом ФАПСИ (правопреемником которой является ФСБ России) от 13 июня 2001 г. N 152 "Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну ". А ведь Инструкция является обязательной при использовании сертифицированных СКЗИ для обеспечения безопасности информации ограниченного доступа (подлежащей защите в соответствии с законодательством РФ).     А это ПДн, все виды тайн, ГИСы, НПСы, будущие КИИ. С 2008 по 2012 год для ПДн действовало послабление в виде “Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обесп...
Далее...

КИИ. Категорирование объектов, часть 3

Изображение
Продолжаем проводить категорирование объекта КИИ на примере организации сферы здравоохранения. На предыдущем этапе мы выявили критические процессы организации. Теперь определяем объекты КИИ и отправляем их на согласование (этап простой и очевидный, но постараюсь добавить несколько полезных моментов) 3. Определение объектов КИИ Продолжаем начатое на прошлых этапах (а можно и совместить 1-3) общение с руководителями подразделений. Спрашиваем какие ИС или АСУ обрабатывают информацию, необходимую для обеспечения выявленных критических процессов, и (или) осуществляют управление, контроль или мониторинг критических процессов. Отдельно в ИТ подразделении получаем полный перечень ИС (он должен был готовится в рамках мероприятий по ПДн) и АСУ, совместно с ИТ выкидываем из перечня ИС, не связанные с критическими процессами (как правило, кадровые, бухгалтерские, отчетность, банк-клиенты). В результате, того, что данные об ИС и АСУ получены не из одного источника, гарантируется его ...
Далее...

Модель угроз безопасности клиента финансовой организации

Изображение
  Уже более 2 месяцев как вступил в силу методический документ ФСТЭК по моделированию угроз, а ни одного публичного примера модели угроз информационной безопасности сообществом не было опубликовано. Как мы обсуждали на межблогерском вебинаре по моделированию угроз ИБ , такой пример мог бы сильно помочь ответственным лицам, обязанным руководствоваться данной методикой. Пример модели угроз обещал сделать Алексей Лукацкий, но пока у него получилась серия публикаций про проблемы моделирования и примера ещё нет. В УЦСБ в рамках услуг по моделированию угроз, коллеги уже провели необходимую аналитику и подготовили внутренние средства автоматизации для разработки МУ, что уже говорит о возможности моделирования угроз по новой Методике.  К последнему межблогерскому вебинару по безопасности клиентов финансовых организаций я решил проверить насколько адекватной получится модель угроз для типового сегмента клиента ФО (а для данной статьи ещё и обновил графическое оформление). ...
Далее...