Документ обсуждает изменения в законодательстве о защите информации в России, касающиеся требований к информационным системам и обязанностей их операторов. Внесены изменения в лицензирование деятельности по технической защите информации и повышены требования к лицам, работающим в этой области. Также описаны новые требования к системам защиты информации и важные аспекты мониторинга и реагирования на инциденты безопасности.

1. Заместитель начальника управления ФСТЭК России
ТОРБЕНКО Елена Борисовна

2. ИЗМЕНЕНИЯ, ВНОСИМЫЕ В ЗАКОНОДАТЕЛЬСТВО
О ЗАЩИТЕ ИНФОРМАЦИИ
Федеральный закон
«О внесении изменений
в статью 16 Федерального закона
«Об информации,
информационных технологиях и о
защите информации»
(проект)
Установление требований о защите
информации в информационных системах, в
которых обрабатывается информация,
обладателями которой являются
государственные органы.
Установление обязанности операторов
информационных систем
по созданию систем защиты
информации
по информированию ФСТЭК России
и ФСБ России о компьютерных
инцидентах
2

3. ИЗМЕНЕНИЯ, ВНОСИМЫЕ В ЗАКОНОДАТЕЛЬСТВО
О ЗАЩИТЕ ИНФОРМАЦИИ
Постановление Правительства
Российской Федерации
от 11 мая 2017 г. № 555
«О внесении изменений в
постановление Правительства
Российской Федерации
от 6 июля 2015 г. № 676 »
Вносит изменения в требования к порядку
создания, развития, ввода в эксплуатацию,
эксплуатации и вывода из эксплуатации ГИС
Установление обязанности операторов
информационных систем
Выполнение требований о защите
информации
Согласование МУ и ТЗ
с ФСБ и ФСТЭК
3

4. ИЗМЕНЕНИЕ ЗАКОНОДАТЕЛЬСТВА
О ЛИЦЕНЗИРОВАНИИ ДЕЯТЕЛЬНОСТИ ПО ТЗКИ
Изменения, которые вносятся в акты правительства Российской Федерации
по вопросам лицензирования отдельных видов деятельности
утверждены постановлением Правительства Российской Федерации от 15 июня 2016 г. № 541
УТВЕРЖДЕН
ФСТЭК России
19 апреля 2017 г.
Перечень контрольно-измерительного
и испытательного оборудования,
средств контроля защищенности,
необходимых для выполнения работ и
оказания услуг, установленных
Положением о лицензировании
деятельности по технической защите
конфиденциальной информации,
утвержденным постановлением
Правительства Российской Федерации
от 3 февраля 2012 г. № 79
Сертификационные испытания на соответствие
требованиям по безопасности информации
продукции, используемой в целях защиты
конфиденциальной информации исключены из
перечня видов деятельности, подлежащих
лицензированию
Мониторинг информационной безопасности средств
и систем информатизации включен в перечень видов
деятельности, подлежащих лицензированию
4
Повышены лицензионные требования к соискателям
лицензии и лицензиатам по технической защите
конфиденциальной информации

5. МОНИТОРИНГ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
СРЕДСТВ И СИСТЕМ ИНФОРМАТИЗАЦИИ
5
Это услуги в части осуществления непрерывного наблюдения за состоянием
безопасности информации, обрабатываемой средствами и системами
информатизации, с целью выявления инцидентов безопасности информации, а также
актуальных угроз безопасности информации
обнаружение и
идентификация
инцидентов
анализ инцидентов
планирование и
принятие мер по
устранению
инцидентов
планирование и
принятие мер по
предотвращению
повторного
возникновения
инцидентов
контроль за
событиями
безопасности и
действиями
пользователей
контроль (анализ)
защищенности
информации
анализ и оценку
функционирования
СЗИ
периодический
анализ изменения
угроз безопасности
информации и
принятие мер
защиты информации
документирование
процедур и результатов
контроля (мониторинга)
за обеспечением уровня
защищенности
информации
принятие решения по
результатам контроля
(мониторинга) о
доработке
(модернизации) СЗИ

6. ИЗМЕНЕНИЕ ТРЕБОВАНИЙ О ЗАЩИТЕ ИНФОРМАЦИИ,
ОБРАБАТЫВАЕМОЙ В ГИС
Актуализация Требований
Упразднение 4 класса защищенности
Определение видов проверок при аттестационных
испытаниях
Аттестация инфраструктуры, на которой
функционирует ИС
Применение БДУ и других источников
информации об угрозах и уязвимостях при
моделировании угроз и анализе уязвимостей
Запрет проведения аттестации лицом,
осуществлявшим проектирование/внедрение
системы защиты информации
Изменение классов защиты СЗИ, применяемых
для защиты ИС различных классов
защищенности
ФСТЭК России
ПРИКАЗ
от 15 февраля 2017 г. № 27
О внесении изменений
в приказ ФСТЭК России
от 11 февраля 2013 г. № 17
6

7. ИЗМЕНЕНИЕ ТРЕБОВАНИЙ
О ЗАЩИТЕ ИНФОРМАЦИИ В ИСПДН И В АСУ ТП КВО
ФСТЭК России
ПРИКАЗ
от 23 февраля 2017 г. № 49
О внесении изменений
в приказы ФСТЭК России
от 18 февраля 2013 г. № 21
и от 14 марта 2014 г. № 31 Уровень защ-ти
ИСПДн
Класс защ-ти
АСУ ТП
Класс защиты
СЗИ
1 1 4
2 2 5
3, 4 3 6
Состав и содержание организационных
и технических мер по обеспечению безопасности
персональных данных при их обработке в
информационных системах персональных данных,
утвержденные приказом ФСТЭК России
от 18 февраля 2013 г. № 21
Требования к обеспечению защиты информации в
автоматизированных системах управления
производственными и технологическими
процессами на критически важных объектах,
потенциально опасных объектах, а также
объектах, представляющих повышенную
опасность для жизни и здоровья людей и для
окружающей природной среды, утвержденные
приказом ФСТЭК России
от 14 марта 2014 г. № 31
7

8. УТВЕРЖДЕННЫЕ ФСТЭК РОССИИ ТРЕБОВАНИЯ
К СРЕДСТВАМ ЗАЩИТЫ ИНФОРМАЦИИ
Требования к системам обнаружения вторжений
утверждены приказом ФСТЭК России от 6 декабря 2011 г. № 638 (зарегистрирован Минюстом России)
12 методических документов, содержащих профили защиты систем обнаружения вторжений
Требования к средствам антивирусной защиты
утверждены приказом ФСТЭК России от 20 марта 2012 г. № 28, зарегистрирован Минюстом России
24 методических документа, содержащих профили защиты средств антивирусной защиты
Требования к средствам доверенной загрузки
утверждены приказом ФСТЭК России от 27 сентября 2013 г. № 119 (зарегистрирован Минюстом России)
10 методических документов, содержащих профили защиты средств доверенной загрузки
Требования к средствам контроля съемных машинных носителей информации
утверждены приказом ФСТЭК России от 28 июля 2014 г. № 87 (зарегистрирован Минюстом России)
10 методических документов, содержащих профили защиты средств контроля съемных МНИ
Требования к межсетевым экранам
утверждены приказом ФСТЭК России от 9 февраля 2016 г. № 9 (зарегистрирован Минюстом России)
24 методических документа, содержащих профили защиты межсетевых экранов
Требования безопасности информации к операционным системам
утверждены приказом ФСТЭК России от 19 августа 2016 г. № 119 (зарегистрирован Минюстом России)
18 методических документов, содержащих профили защиты операционных систем
8

9. ТРЕБОВАНИЯ К МЕЖСЕТЕВЫМ ЭКРАНАМ
ФСТЭК России
ПРИКАЗ
от 9 февраля 2016 г. № 9
Требования
к межсетевым экранам
Утверждение Требований 09.02.16
Регистрация Требований в
Минюсте России
25.03.16
В ФСТЭК России не
принимаются к
рассмотрению заявки на
сертификацию межсетевых
экранов на соответствие
иным требованиям
c
01.07.16
Вступление в силу
Требований
01.12.16
Сертификация и
инспекционный контроль
межсетевых экранов только
на соответствие
Требованиям
c
01.12.16
9

10. ВНЕДРЕНИЕ ТРЕБОВАНИЙ К МЕЖСЕТЕВЫМ ЭКРАНАМ
Разработка МЭ должна осуществляться на
соответствие новым Требованиям
Производство и поставка старых МЭ возможны
при условии наличия действующего сертификата
Применение старых МЭ возможно, если это
предусмотрено документами, устанавливающими
требования по защите информации
Эксплуатация старых МЭ возможна при условии
наличия действующих сертификатов соответствия
Продление сертификатов соответствия на
эксплуатируемые МЭ в частном порядке
возможно при условии отсутствия актуальных
уязвимостей
Аттестация ИС, в которых применяются старые
МЭ, возможна, если это предусмотрено
требованиями по защите информации
ФЕДЕРАЛЬНАЯ СЛУЖБА
ПО ТЕХНИЧЕСКОМУ И
ЭКСПОРТНОМУ КОНТРОЛЮ
ИНФОРМАЦИОННОЕ СООБЩЕНИЕ
по вопросам разработки, производства,
поставки, применения и эксплуатации
межсетевых экранов сертифицированных
ФСТЭК России по требованиям
безопасности информации
от 24 марта 2017 г. № 240/24/1382
10

11. Утверждение Требований 19.08.16
Регистрация Требований в
Минюсте России 19.09.16
В ФСТЭК России не
принимаются к рассмотрению
заявки на сертификацию
операционных систем
на соответствие иным
требованиям
c
01.01.17
Вступление в силу Требований 01.06.17
Сертификация и
инспекционный контроль
операционных систем только
на соответствие Требованиям
c
01.06.17
ТРЕБОВАНИЯ К ОПЕРАЦИОННЫМ СИСТЕМАМ
ФСТЭК России
ПРИКАЗ
от 19 августа 2016 г. №119
Требования
безопасности информации
к операционным системам
11

12. Требования безопасности информации к
системам управления базами данных
(готовятся к утверждению)
Требования безопасности информации к
средствам управления потоками
информации
(готовятся к утверждению)
Требования безопасности информации к
средствам виртуализации
ТРЕБОВАНИЯ К СРЕДСТВАМ ЗАЩИТЫ ИНФОРМАЦИИ,
ПЛАНИРУЕМЫЕ К УТВЕРЖДЕНИЮ В 2017 ГОДУ
12

13. Требования безопасности информации к системам управления базами данных
(готовятся к утверждению)
Требования безопасности информации к средствам управления потоками информации
(готовятся к утверждению)
Требования к средствам виртуализации
Требования к автоматизированным рабочим местам в защищенном исполнении
Требования к базовым системам ввода-вывода (BIOS)
Требования к средствам защиты от несанкционированного вывода (ввода) информации
(DLP – системам)
Требования к средствам контроля и анализа защищенности
Требования к средствам обеспечения целостности
Требования к средствам ограничения программной среды
Требования к средствам идентификации и аутентификации
Требования к средствам управления доступом
Требования к средствам регистрации событий
ТРЕБОВАНИЯ К СРЕДСТВАМ ЗАЩИТЫ ИНФОРМАЦИИ,
ПЛАНИРУЕМЫЕ К УТВЕРЖДЕНИЮ В 2017-2018 ГОДАХ
13

14. НАЦИОНАЛЬНЫЙ СТАНДАРТ ПО БЕЗОПАСНОЙ
РАЗРАБОТКЕ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ
1
• Формирование требований к программе
2
• Проектирование архитектуры программы
3
• Конструирование программы
4
• Тестирование программы
5
• Установка и приемка программы
6
• Эксплуатация программы
14

15. ГОСТЫ ПО УЯЗВИМОСТЯМ ИНФОРМАЦИОННЫХ СИСТЕМ 15

16. Анализ и
классификация
уязвимостей и НДВ
ПО
Типизация ПО
(в том числе
рассматривается
микропрограммное
ПО)
Методы анализа
уязвимостей и НДВ
ПО в условиях
наличия и
отсутствия
исходных текстов
Дифференциация
методов анализа в
зависимости от
типа и класса ПО
МЕТОДИКА АНАЛИЗА УЯЗВИМОСТЕЙ И
НЕДЕКЛАРИРОВАННЫХ ВОЗМОЖНОСТЕЙ ПРОГРАММНОГО
ОБЕСПЕЧЕНИЯ
ФСТЭК России
Методический
документ
(проект)
16

17. В БДУ содержатся сведения:
•о 194 угрозах безопасности информации;
•более чем о 16 500 уязвимостях ПО
СОВЕРШЕНСТВОВАНИЕ БАНКА ДАННЫХ УГРОЗ
БЕЗОПАСНОСТИ ИНФОРМАЦИИ
Ведение учетной записи в
Twitter
Выгрузка данных в XML
Возможность осуществления
RSS-подписки
Расширение функциональных
возможностей БДУ
Расширение сведений об
угрозах и уязвимостях
Реализация классификации
угроз
17

18. Заместитель начальника управления ФСТЭК России
ТОРБЕНКО Елена Борисовна