Документ описывает тенденции в области информационной безопасности и изменения в правилах и методах, разработанных ФСТЭК России. Основные темы включают обновление методик и порядка аттестации информационных систем, защиту информации и импортозамещение в сфере ИТ. Также упоминаются планы по созданию новых CERT и повышение штрафов за нарушение законодательства в области информационной безопасности.

1. Несколько слайдов про
тенденции #поИБэ
04-2015
Прозоров Андрей, CISM
http://80na20.blogspot.ru

2. ФСТЭК не дремлет
До 15 апреля принимали предложения по правкам Приказа №17 (21)
Проекты документов:
• Методика определения угроз безопасности информации в ИС
• Порядок аттестации информационных систем
• Порядок обновления ПО в ИС
• Порядок выявления и устранения уязвимостей в ИС
• Порядок реагирования на инциденты, связанные с нарушением безопасности
информации
• Защита информации в ИС при использовании мобильных устройств
• Защита информации в ИС при применении устройств беспроводного доступа
Документы по АСУ ТП:
• Меры защиты информации в автоматизированных системах управления
• Методика определения угроз безопасности информации в автоматизированных
системах управления
• Порядок выявления и устранения уязвимостей в автоматизированных системах
управления
• Порядок реагирования на инциденты, связанные с нарушение безопасности
информации
СТР-К планируют начать обновлять в 2016 году

3. Не ТУ, а ПЗ
Основная проблема –
ГОСТ 15408 обновился в
2014 году
Уже есть требования к:
• Системы обнаружения вторжений
• Средства антивирусной защиты
• Средства доверенной загрузки
• Средства контроля съемных носителей информации
Ожидаем
• Средства защиты от
несанкционированного вывода (ввода)
информации (DLP-системы)
• Средства контроля и анализа
защищенности
• Средства ограничения программной
среды
• Средства межсетевого экранирования
• Средства управления потоками
информации
• Средства идентификации и
аутентификации
• Средства управления доступом
• Средства разграничения доступа
• Средства контроля целостности
• Средства очистки памяти
А также требования к:
• Средствам защиты среды
виртуализации
• Базовым системам ввода-вывода
• Операционным системам
• Система управления азами данных

4. СТО и РС (банки)

5. Импортозамещение – наше все!
• Тема не нова. Есть упоминание в
Доктрине ИБ (2000) и Стратегии
развития ИТ до 2025 года
• Опасаемся риска санкций (сложности с
покупкой, обновлением и
тех.поддержкой)
• Опасаемся рисков НДВ
• Многие СЗИ можно импортозамещать.
С АО и основным ПО (ОС) сложнее…
• Все идет к спискам рекомендованного
ПО (отраслевые и для гос.оранизаций)
• Государство готово выделять бюджеты
на долгосрочные программы

6. Мы хотим CERT !!!
• Доктрину ИБ пересматривают
• Акцент на защиту критически важных
объектов (КВО)
• Есть несколько частных CERT, ожидаем в
2015 году запуск FinCERT (ЦБ РФ) и
ГосСОПКА (ФСБ России)
• Появилась база угроз и уязвимостей
ФСТЭК России - http://bdu.fstec.ru

7. Все любят ПДн
• 24-ФЗ -> 149-ФЗ + 152-ФЗ
• 4-книжие ФСТЭК
• 58 приказ ФСТЭК
• обновление 152-ФЗ в 2011
• ПП 1119
• 21 приказ ФСТЭК
• Давайте повысим штрафы! Да!..
• Обезличивание по РКН
• Давайте повысим штрафы! Да!..
• 378 приказ ФСБ
• 242-ФЗ
• Давайте повысим штрафы! Да!..
Отчет РКН за 2014 год - http://80na20.blogspot.ru/2015/03/2014.html

8. Что будет дальше с ИБ в РФ?
Узнаем…