SlideShare a Scribd company logo

ТЗИ 2017

А
Альбина Минуллина

Елена Торбенко, ФСТЭК России

Technology
1 of 18
Download to read offline
Заместитель начальника управления ФСТЭК России ТОРБЕНКО Елена Борисовна
ИЗМЕНЕНИЯ, ВНОСИМЫЕ В ЗАКОНОДАТЕЛЬСТВО О ЗАЩИТЕ ИНФОРМАЦИИ Федеральный закон «О внесении изменений в статью 16 Федерального закона «Об информации, информационных технологиях и о защите информации» (проект) Установление требований о защите информации в информационных системах, в которых обрабатывается информация, обладателями которой являются государственные органы. Установление обязанности операторов информационных систем по созданию систем защиты информации по информированию ФСТЭК России и ФСБ России о компьютерных инцидентах 2
ИЗМЕНЕНИЯ, ВНОСИМЫЕ В ЗАКОНОДАТЕЛЬСТВО О ЗАЩИТЕ ИНФОРМАЦИИ Постановление Правительства Российской Федерации от 11 мая 2017 г. № 555 «О внесении изменений в постановление Правительства Российской Федерации от 6 июля 2015 г. № 676 » Вносит изменения в требования к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации ГИС Установление обязанности операторов информационных систем Выполнение требований о защите информации Согласование МУ и ТЗ с ФСБ и ФСТЭК 3
ИЗМЕНЕНИЕ ЗАКОНОДАТЕЛЬСТВА О ЛИЦЕНЗИРОВАНИИ ДЕЯТЕЛЬНОСТИ ПО ТЗКИ Изменения, которые вносятся в акты правительства Российской Федерации по вопросам лицензирования отдельных видов деятельности утверждены постановлением Правительства Российской Федерации от 15 июня 2016 г. № 541 УТВЕРЖДЕН ФСТЭК России 19 апреля 2017 г. Перечень контрольно-измерительного и испытательного оборудования, средств контроля защищенности, необходимых для выполнения работ и оказания услуг, установленных Положением о лицензировании деятельности по технической защите конфиденциальной информации, утвержденным постановлением Правительства Российской Федерации от 3 февраля 2012 г. № 79 Сертификационные испытания на соответствие требованиям по безопасности информации продукции, используемой в целях защиты конфиденциальной информации исключены из перечня видов деятельности, подлежащих лицензированию Мониторинг информационной безопасности средств и систем информатизации включен в перечень видов деятельности, подлежащих лицензированию 4 Повышены лицензионные требования к соискателям лицензии и лицензиатам по технической защите конфиденциальной информации
МОНИТОРИНГ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ СРЕДСТВ И СИСТЕМ ИНФОРМАТИЗАЦИИ 5 Это услуги в части осуществления непрерывного наблюдения за состоянием безопасности информации, обрабатываемой средствами и системами информатизации, с целью выявления инцидентов безопасности информации, а также актуальных угроз безопасности информации обнаружение и идентификация инцидентов анализ инцидентов планирование и принятие мер по устранению инцидентов планирование и принятие мер по предотвращению повторного возникновения инцидентов контроль за событиями безопасности и действиями пользователей контроль (анализ) защищенности информации анализ и оценку функционирования СЗИ периодический анализ изменения угроз безопасности информации и принятие мер защиты информации документирование процедур и результатов контроля (мониторинга) за обеспечением уровня защищенности информации принятие решения по результатам контроля (мониторинга) о доработке (модернизации) СЗИ
ИЗМЕНЕНИЕ ТРЕБОВАНИЙ О ЗАЩИТЕ ИНФОРМАЦИИ, ОБРАБАТЫВАЕМОЙ В ГИС Актуализация Требований Упразднение 4 класса защищенности Определение видов проверок при аттестационных испытаниях Аттестация инфраструктуры, на которой функционирует ИС Применение БДУ и других источников информации об угрозах и уязвимостях при моделировании угроз и анализе уязвимостей Запрет проведения аттестации лицом, осуществлявшим проектирование/внедрение системы защиты информации Изменение классов защиты СЗИ, применяемых для защиты ИС различных классов защищенности ФСТЭК России ПРИКАЗ от 15 февраля 2017 г. № 27 О внесении изменений в приказ ФСТЭК России от 11 февраля 2013 г. № 17 6
ИЗМЕНЕНИЕ ТРЕБОВАНИЙ О ЗАЩИТЕ ИНФОРМАЦИИ В ИСПДН И В АСУ ТП КВО ФСТЭК России ПРИКАЗ от 23 февраля 2017 г. № 49 О внесении изменений в приказы ФСТЭК России от 18 февраля 2013 г. № 21 и от 14 марта 2014 г. № 31 Уровень защ-ти ИСПДн Класс защ-ти АСУ ТП Класс защиты СЗИ 1 1 4 2 2 5 3, 4 3 6 Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденные приказом ФСТЭК России от 18 февраля 2013 г. № 21 Требования к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды, утвержденные приказом ФСТЭК России от 14 марта 2014 г. № 31 7
УТВЕРЖДЕННЫЕ ФСТЭК РОССИИ ТРЕБОВАНИЯ К СРЕДСТВАМ ЗАЩИТЫ ИНФОРМАЦИИ Требования к системам обнаружения вторжений утверждены приказом ФСТЭК России от 6 декабря 2011 г. № 638 (зарегистрирован Минюстом России) 12 методических документов, содержащих профили защиты систем обнаружения вторжений Требования к средствам антивирусной защиты утверждены приказом ФСТЭК России от 20 марта 2012 г. № 28, зарегистрирован Минюстом России 24 методических документа, содержащих профили защиты средств антивирусной защиты Требования к средствам доверенной загрузки утверждены приказом ФСТЭК России от 27 сентября 2013 г. № 119 (зарегистрирован Минюстом России) 10 методических документов, содержащих профили защиты средств доверенной загрузки Требования к средствам контроля съемных машинных носителей информации утверждены приказом ФСТЭК России от 28 июля 2014 г. № 87 (зарегистрирован Минюстом России) 10 методических документов, содержащих профили защиты средств контроля съемных МНИ Требования к межсетевым экранам утверждены приказом ФСТЭК России от 9 февраля 2016 г. № 9 (зарегистрирован Минюстом России) 24 методических документа, содержащих профили защиты межсетевых экранов Требования безопасности информации к операционным системам утверждены приказом ФСТЭК России от 19 августа 2016 г. № 119 (зарегистрирован Минюстом России) 18 методических документов, содержащих профили защиты операционных систем 8
ТРЕБОВАНИЯ К МЕЖСЕТЕВЫМ ЭКРАНАМ ФСТЭК России ПРИКАЗ от 9 февраля 2016 г. № 9 Требования к межсетевым экранам Утверждение Требований 09.02.16 Регистрация Требований в Минюсте России 25.03.16 В ФСТЭК России не принимаются к рассмотрению заявки на сертификацию межсетевых экранов на соответствие иным требованиям c 01.07.16 Вступление в силу Требований 01.12.16 Сертификация и инспекционный контроль межсетевых экранов только на соответствие Требованиям c 01.12.16 9
ВНЕДРЕНИЕ ТРЕБОВАНИЙ К МЕЖСЕТЕВЫМ ЭКРАНАМ Разработка МЭ должна осуществляться на соответствие новым Требованиям Производство и поставка старых МЭ возможны при условии наличия действующего сертификата Применение старых МЭ возможно, если это предусмотрено документами, устанавливающими требования по защите информации Эксплуатация старых МЭ возможна при условии наличия действующих сертификатов соответствия Продление сертификатов соответствия на эксплуатируемые МЭ в частном порядке возможно при условии отсутствия актуальных уязвимостей Аттестация ИС, в которых применяются старые МЭ, возможна, если это предусмотрено требованиями по защите информации ФЕДЕРАЛЬНАЯ СЛУЖБА ПО ТЕХНИЧЕСКОМУ И ЭКСПОРТНОМУ КОНТРОЛЮ ИНФОРМАЦИОННОЕ СООБЩЕНИЕ по вопросам разработки, производства, поставки, применения и эксплуатации межсетевых экранов сертифицированных ФСТЭК России по требованиям безопасности информации от 24 марта 2017 г. № 240/24/1382 10
Утверждение Требований 19.08.16 Регистрация Требований в Минюсте России 19.09.16 В ФСТЭК России не принимаются к рассмотрению заявки на сертификацию операционных систем на соответствие иным требованиям c 01.01.17 Вступление в силу Требований 01.06.17 Сертификация и инспекционный контроль операционных систем только на соответствие Требованиям c 01.06.17 ТРЕБОВАНИЯ К ОПЕРАЦИОННЫМ СИСТЕМАМ ФСТЭК России ПРИКАЗ от 19 августа 2016 г. №119 Требования безопасности информации к операционным системам 11
Требования безопасности информации к системам управления базами данных (готовятся к утверждению) Требования безопасности информации к средствам управления потоками информации (готовятся к утверждению) Требования безопасности информации к средствам виртуализации ТРЕБОВАНИЯ К СРЕДСТВАМ ЗАЩИТЫ ИНФОРМАЦИИ, ПЛАНИРУЕМЫЕ К УТВЕРЖДЕНИЮ В 2017 ГОДУ 12
Требования безопасности информации к системам управления базами данных (готовятся к утверждению) Требования безопасности информации к средствам управления потоками информации (готовятся к утверждению) Требования к средствам виртуализации Требования к автоматизированным рабочим местам в защищенном исполнении Требования к базовым системам ввода-вывода (BIOS) Требования к средствам защиты от несанкционированного вывода (ввода) информации (DLP – системам) Требования к средствам контроля и анализа защищенности Требования к средствам обеспечения целостности Требования к средствам ограничения программной среды Требования к средствам идентификации и аутентификации Требования к средствам управления доступом Требования к средствам регистрации событий ТРЕБОВАНИЯ К СРЕДСТВАМ ЗАЩИТЫ ИНФОРМАЦИИ, ПЛАНИРУЕМЫЕ К УТВЕРЖДЕНИЮ В 2017-2018 ГОДАХ 13
НАЦИОНАЛЬНЫЙ СТАНДАРТ ПО БЕЗОПАСНОЙ РАЗРАБОТКЕ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ 1 • Формирование требований к программе 2 • Проектирование архитектуры программы 3 • Конструирование программы 4 • Тестирование программы 5 • Установка и приемка программы 6 • Эксплуатация программы 14
ГОСТЫ ПО УЯЗВИМОСТЯМ ИНФОРМАЦИОННЫХ СИСТЕМ 15
Анализ и классификация уязвимостей и НДВ ПО Типизация ПО (в том числе рассматривается микропрограммное ПО) Методы анализа уязвимостей и НДВ ПО в условиях наличия и отсутствия исходных текстов Дифференциация методов анализа в зависимости от типа и класса ПО МЕТОДИКА АНАЛИЗА УЯЗВИМОСТЕЙ И НЕДЕКЛАРИРОВАННЫХ ВОЗМОЖНОСТЕЙ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ ФСТЭК России Методический документ (проект) 16
В БДУ содержатся сведения: •о 194 угрозах безопасности информации; •более чем о 16 500 уязвимостях ПО СОВЕРШЕНСТВОВАНИЕ БАНКА ДАННЫХ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ Ведение учетной записи в Twitter Выгрузка данных в XML Возможность осуществления RSS-подписки Расширение функциональных возможностей БДУ Расширение сведений об угрозах и уязвимостях Реализация классификации угроз 17
Заместитель начальника управления ФСТЭК России ТОРБЕНКО Елена Борисовна

Recommended

FinCERT_основные направления деятельности и результаты работы
FinCERT_основные направления деятельности и результаты работыFinCERT_основные направления деятельности и результаты работы
FinCERT_основные направления деятельности и результаты работыАйдар Гилязов
 
Развитие правового регулирования в области АСУ ТП
Развитие правового регулирования в области АСУ ТПРазвитие правового регулирования в области АСУ ТП
Развитие правового регулирования в области АСУ ТПАльбина Минуллина
 
Вызовы_ИБ_Решения
Вызовы_ИБ_РешенияВызовы_ИБ_Решения
Вызовы_ИБ_РешенияАйдар Гилязов
 
Законопроект по безопасности критической инфраструктуры
Законопроект по безопасности критической инфраструктурыЗаконопроект по безопасности критической инфраструктуры
Законопроект по безопасности критической инфраструктурыАйдар Гилязов
 
Визуализация взломов в собственной сети PAN
Визуализация взломов в собственной сети PANВизуализация взломов в собственной сети PAN
Визуализация взломов в собственной сети PANАльбина Минуллина
 
Код безопасности. Иван Бойцов. "Secret Net Studio - Комплексная защита конечн...
Код безопасности. Иван Бойцов. "Secret Net Studio - Комплексная защита конечн...Код безопасности. Иван Бойцов. "Secret Net Studio - Комплексная защита конечн...
Код безопасности. Иван Бойцов. "Secret Net Studio - Комплексная защита конечн...Expolink
 
Основные направления регулирования ИБ в России
Основные направления регулирования ИБ в РоссииОсновные направления регулирования ИБ в России
Основные направления регулирования ИБ в РоссииAleksey Lukatskiy
 
Курс: Основы информационной безопасности.
Курс: Основы информационной безопасности.Курс: Основы информационной безопасности.
Курс: Основы информационной безопасности.Вячеслав Аксёнов
 

Recommended

FinCERT_основные направления деятельности и результаты работы
FinCERT_основные направления деятельности и результаты работыFinCERT_основные направления деятельности и результаты работы
FinCERT_основные направления деятельности и результаты работыАйдар Гилязов
 
Развитие правового регулирования в области АСУ ТП
Развитие правового регулирования в области АСУ ТПРазвитие правового регулирования в области АСУ ТП
Развитие правового регулирования в области АСУ ТПАльбина Минуллина
 
Вызовы_ИБ_Решения
Вызовы_ИБ_РешенияВызовы_ИБ_Решения
Вызовы_ИБ_РешенияАйдар Гилязов
 
Законопроект по безопасности критической инфраструктуры
Законопроект по безопасности критической инфраструктурыЗаконопроект по безопасности критической инфраструктуры
Законопроект по безопасности критической инфраструктурыАйдар Гилязов
 
Визуализация взломов в собственной сети PAN
Визуализация взломов в собственной сети PANВизуализация взломов в собственной сети PAN
Визуализация взломов в собственной сети PANАльбина Минуллина
 
Код безопасности. Иван Бойцов. "Secret Net Studio - Комплексная защита конечн...
Код безопасности. Иван Бойцов. "Secret Net Studio - Комплексная защита конечн...Код безопасности. Иван Бойцов. "Secret Net Studio - Комплексная защита конечн...
Код безопасности. Иван Бойцов. "Secret Net Studio - Комплексная защита конечн...Expolink
 
Основные направления регулирования ИБ в России
Основные направления регулирования ИБ в РоссииОсновные направления регулирования ИБ в России
Основные направления регулирования ИБ в РоссииAleksey Lukatskiy
 
Курс: Основы информационной безопасности.
Курс: Основы информационной безопасности.Курс: Основы информационной безопасности.
Курс: Основы информационной безопасности.Вячеслав Аксёнов
 
Fortinet. Алексей Андрияшин. "Корпоративная фабрика безопасности"
Fortinet. Алексей Андрияшин. "Корпоративная фабрика безопасности"Fortinet. Алексей Андрияшин. "Корпоративная фабрика безопасности"
Fortinet. Алексей Андрияшин. "Корпоративная фабрика безопасности"Expolink
 
Краткий обзор курса: Создание автоматизированных систем в защищенном исполнении.
Краткий обзор курса: Создание автоматизированных систем в защищенном исполнении.Краткий обзор курса: Создание автоматизированных систем в защищенном исполнении.
Краткий обзор курса: Создание автоматизированных систем в защищенном исполнении.Вячеслав Аксёнов
 
НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей и их ...
НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей и их ...НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей и их ...
НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей и их ...Expolink
 
Решения Cisco для обеспечения соответствия требованиям регуляторов по безопас...
Решения Cisco для обеспечения соответствия требованиям регуляторов по безопас...Решения Cisco для обеспечения соответствия требованиям регуляторов по безопас...
Решения Cisco для обеспечения соответствия требованиям регуляторов по безопас...Cisco Russia
 
Aflex Distribution. Сергей Кожевников. "Комплексная информационная безопаснос...
Aflex Distribution. Сергей Кожевников. "Комплексная информационная безопаснос...Aflex Distribution. Сергей Кожевников. "Комплексная информационная безопаснос...
Aflex Distribution. Сергей Кожевников. "Комплексная информационная безопаснос...Expolink
 
Решения Cisco и их соответствие требованиям 21-го приказа ФСТЭК по защите пер...
Решения Cisco и их соответствие требованиям 21-го приказа ФСТЭК по защите пер...Решения Cisco и их соответствие требованиям 21-го приказа ФСТЭК по защите пер...
Решения Cisco и их соответствие требованиям 21-го приказа ФСТЭК по защите пер...Cisco Russia
 
SCADA v.0.5
SCADA v.0.5SCADA v.0.5
SCADA v.0.5Альбина Минуллина
 
Check Point. Сергей Чекрыгин. "На один шаг впереди"
Check Point. Сергей Чекрыгин. "На один шаг впереди"Check Point. Сергей Чекрыгин. "На один шаг впереди"
Check Point. Сергей Чекрыгин. "На один шаг впереди"Expolink
 
Clouds security (responsibility and information relations)
Clouds security (responsibility and information relations)Clouds security (responsibility and information relations)
Clouds security (responsibility and information relations)Вячеслав Аксёнов
 
АЛТЭКС-СОФТ. Захар Михайлов. "RedCheck, выполняем рекомендации Security Guide...
АЛТЭКС-СОФТ. Захар Михайлов. "RedCheck, выполняем рекомендации Security Guide...АЛТЭКС-СОФТ. Захар Михайлов. "RedCheck, выполняем рекомендации Security Guide...
АЛТЭКС-СОФТ. Захар Михайлов. "RedCheck, выполняем рекомендации Security Guide...Expolink
 
Решения Cisco и их соответствие требованиям 17-го приказа ФСТЭК по защите гос...
Решения Cisco и их соответствие требованиям 17-го приказа ФСТЭК по защите гос...Решения Cisco и их соответствие требованиям 17-го приказа ФСТЭК по защите гос...
Решения Cisco и их соответствие требованиям 17-го приказа ФСТЭК по защите гос...Cisco Russia
 
Кибербезопасность АСУ ТП АЭС
Кибербезопасность АСУ ТП АЭСКибербезопасность АСУ ТП АЭС
Кибербезопасность АСУ ТП АЭСVadim Podolniy
 
Positive Technologies. Григорий Тимофеев. "Позитивные технологии обеспечения ИБ"
Positive Technologies. Григорий Тимофеев. "Позитивные технологии обеспечения ИБ"Positive Technologies. Григорий Тимофеев. "Позитивные технологии обеспечения ИБ"
Positive Technologies. Григорий Тимофеев. "Позитивные технологии обеспечения ИБ"Expolink
 
Cloud security risk management (fragment of course materials)
Cloud security risk management (fragment of course materials)Cloud security risk management (fragment of course materials)
Cloud security risk management (fragment of course materials)Вячеслав Аксёнов
 
продукты компании ЭШЕЛОН для защиты информации
продукты компании ЭШЕЛОН для защиты информациипродукты компании ЭШЕЛОН для защиты информации
продукты компании ЭШЕЛОН для защиты информацииМаксим Илюхин
 
Доктор Веб. Вячеслав Медведев. "Год 2016. Антивирусная безопасность в тисках ...
Доктор Веб. Вячеслав Медведев. "Год 2016. Антивирусная безопасность в тисках ...Доктор Веб. Вячеслав Медведев. "Год 2016. Антивирусная безопасность в тисках ...
Доктор Веб. Вячеслав Медведев. "Год 2016. Антивирусная безопасность в тисках ...Expolink
 
Можно ли обмануть DLP
Можно ли обмануть DLPМожно ли обмануть DLP
Можно ли обмануть DLPАльбина Минуллина
 
10 лучших практик иб для гос
10 лучших практик иб для гос10 лучших практик иб для гос
10 лучших практик иб для госSergey Borisov
 
Лаборатория Касперского. Сергей Булович. ИТС Софт-проекты. Александр Рябцев. ...
Лаборатория Касперского. Сергей Булович. ИТС Софт-проекты. Александр Рябцев. ...Лаборатория Касперского. Сергей Булович. ИТС Софт-проекты. Александр Рябцев. ...
Лаборатория Касперского. Сергей Булович. ИТС Софт-проекты. Александр Рябцев. ...Expolink
 
Защищая ключевые Интернет-ресурсы
Защищая ключевые Интернет-ресурсыЗащищая ключевые Интернет-ресурсы
Защищая ключевые Интернет-ресурсыЭЛВИС-ПЛЮС
 
Развитие нормативно-правовых актов и методических документов ФСТЭК России в о...
Развитие нормативно-правовых актов и методических документов ФСТЭК России в о...Развитие нормативно-правовых актов и методических документов ФСТЭК России в о...
Развитие нормативно-правовых актов и методических документов ФСТЭК России в о...journalrubezh
 
Проектирование СЗИ.pdf
Проектирование СЗИ.pdfПроектирование СЗИ.pdf
Проектирование СЗИ.pdftrenders
 

More Related Content

What's hot

Fortinet. Алексей Андрияшин. "Корпоративная фабрика безопасности"
Fortinet. Алексей Андрияшин. "Корпоративная фабрика безопасности"Fortinet. Алексей Андрияшин. "Корпоративная фабрика безопасности"
Fortinet. Алексей Андрияшин. "Корпоративная фабрика безопасности"Expolink
 
Краткий обзор курса: Создание автоматизированных систем в защищенном исполнении.
Краткий обзор курса: Создание автоматизированных систем в защищенном исполнении.Краткий обзор курса: Создание автоматизированных систем в защищенном исполнении.
Краткий обзор курса: Создание автоматизированных систем в защищенном исполнении.Вячеслав Аксёнов
 
НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей и их ...
НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей и их ...НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей и их ...
НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей и их ...Expolink
 
Решения Cisco для обеспечения соответствия требованиям регуляторов по безопас...
Решения Cisco для обеспечения соответствия требованиям регуляторов по безопас...Решения Cisco для обеспечения соответствия требованиям регуляторов по безопас...
Решения Cisco для обеспечения соответствия требованиям регуляторов по безопас...Cisco Russia
 
Aflex Distribution. Сергей Кожевников. "Комплексная информационная безопаснос...
Aflex Distribution. Сергей Кожевников. "Комплексная информационная безопаснос...Aflex Distribution. Сергей Кожевников. "Комплексная информационная безопаснос...
Aflex Distribution. Сергей Кожевников. "Комплексная информационная безопаснос...Expolink
 
Решения Cisco и их соответствие требованиям 21-го приказа ФСТЭК по защите пер...
Решения Cisco и их соответствие требованиям 21-го приказа ФСТЭК по защите пер...Решения Cisco и их соответствие требованиям 21-го приказа ФСТЭК по защите пер...
Решения Cisco и их соответствие требованиям 21-го приказа ФСТЭК по защите пер...Cisco Russia
 
Check Point. Сергей Чекрыгин. "На один шаг впереди"
Check Point. Сергей Чекрыгин. "На один шаг впереди"Check Point. Сергей Чекрыгин. "На один шаг впереди"
Check Point. Сергей Чекрыгин. "На один шаг впереди"Expolink
 
Clouds security (responsibility and information relations)
Clouds security (responsibility and information relations)Clouds security (responsibility and information relations)
Clouds security (responsibility and information relations)Вячеслав Аксёнов
 
АЛТЭКС-СОФТ. Захар Михайлов. "RedCheck, выполняем рекомендации Security Guide...
АЛТЭКС-СОФТ. Захар Михайлов. "RedCheck, выполняем рекомендации Security Guide...АЛТЭКС-СОФТ. Захар Михайлов. "RedCheck, выполняем рекомендации Security Guide...
АЛТЭКС-СОФТ. Захар Михайлов. "RedCheck, выполняем рекомендации Security Guide...Expolink
 
Решения Cisco и их соответствие требованиям 17-го приказа ФСТЭК по защите гос...
Решения Cisco и их соответствие требованиям 17-го приказа ФСТЭК по защите гос...Решения Cisco и их соответствие требованиям 17-го приказа ФСТЭК по защите гос...
Решения Cisco и их соответствие требованиям 17-го приказа ФСТЭК по защите гос...Cisco Russia
 
Кибербезопасность АСУ ТП АЭС
Кибербезопасность АСУ ТП АЭСКибербезопасность АСУ ТП АЭС
Кибербезопасность АСУ ТП АЭСVadim Podolniy
 
Positive Technologies. Григорий Тимофеев. "Позитивные технологии обеспечения ИБ"
Positive Technologies. Григорий Тимофеев. "Позитивные технологии обеспечения ИБ"Positive Technologies. Григорий Тимофеев. "Позитивные технологии обеспечения ИБ"
Positive Technologies. Григорий Тимофеев. "Позитивные технологии обеспечения ИБ"Expolink
 
Cloud security risk management (fragment of course materials)
Cloud security risk management (fragment of course materials)Cloud security risk management (fragment of course materials)
Cloud security risk management (fragment of course materials)Вячеслав Аксёнов
 
продукты компании ЭШЕЛОН для защиты информации
продукты компании ЭШЕЛОН для защиты информациипродукты компании ЭШЕЛОН для защиты информации
продукты компании ЭШЕЛОН для защиты информацииМаксим Илюхин
 
Доктор Веб. Вячеслав Медведев. "Год 2016. Антивирусная безопасность в тисках ...
Доктор Веб. Вячеслав Медведев. "Год 2016. Антивирусная безопасность в тисках ...Доктор Веб. Вячеслав Медведев. "Год 2016. Антивирусная безопасность в тисках ...
Доктор Веб. Вячеслав Медведев. "Год 2016. Антивирусная безопасность в тисках ...Expolink
 
10 лучших практик иб для гос
10 лучших практик иб для гос10 лучших практик иб для гос
10 лучших практик иб для госSergey Borisov
 
Лаборатория Касперского. Сергей Булович. ИТС Софт-проекты. Александр Рябцев. ...
Лаборатория Касперского. Сергей Булович. ИТС Софт-проекты. Александр Рябцев. ...Лаборатория Касперского. Сергей Булович. ИТС Софт-проекты. Александр Рябцев. ...
Лаборатория Касперского. Сергей Булович. ИТС Софт-проекты. Александр Рябцев. ...Expolink
 
Защищая ключевые Интернет-ресурсы
Защищая ключевые Интернет-ресурсыЗащищая ключевые Интернет-ресурсы
Защищая ключевые Интернет-ресурсыЭЛВИС-ПЛЮС
 

What's hot (20)

Fortinet. Алексей Андрияшин. "Корпоративная фабрика безопасности"
Fortinet. Алексей Андрияшин. "Корпоративная фабрика безопасности"Fortinet. Алексей Андрияшин. "Корпоративная фабрика безопасности"
Fortinet. Алексей Андрияшин. "Корпоративная фабрика безопасности"
 
Краткий обзор курса: Создание автоматизированных систем в защищенном исполнении.
Краткий обзор курса: Создание автоматизированных систем в защищенном исполнении.Краткий обзор курса: Создание автоматизированных систем в защищенном исполнении.
Краткий обзор курса: Создание автоматизированных систем в защищенном исполнении.
 
НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей и их ...
НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей и их ...НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей и их ...
НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей и их ...
 
Решения Cisco для обеспечения соответствия требованиям регуляторов по безопас...
Решения Cisco для обеспечения соответствия требованиям регуляторов по безопас...Решения Cisco для обеспечения соответствия требованиям регуляторов по безопас...
Решения Cisco для обеспечения соответствия требованиям регуляторов по безопас...
 
Aflex Distribution. Сергей Кожевников. "Комплексная информационная безопаснос...
Aflex Distribution. Сергей Кожевников. "Комплексная информационная безопаснос...Aflex Distribution. Сергей Кожевников. "Комплексная информационная безопаснос...
Aflex Distribution. Сергей Кожевников. "Комплексная информационная безопаснос...
 
Решения Cisco и их соответствие требованиям 21-го приказа ФСТЭК по защите пер...
Решения Cisco и их соответствие требованиям 21-го приказа ФСТЭК по защите пер...Решения Cisco и их соответствие требованиям 21-го приказа ФСТЭК по защите пер...
Решения Cisco и их соответствие требованиям 21-го приказа ФСТЭК по защите пер...
 
SCADA v.0.5
SCADA v.0.5SCADA v.0.5
SCADA v.0.5
 
Check Point. Сергей Чекрыгин. "На один шаг впереди"
Check Point. Сергей Чекрыгин. "На один шаг впереди"Check Point. Сергей Чекрыгин. "На один шаг впереди"
Check Point. Сергей Чекрыгин. "На один шаг впереди"
 
Clouds security (responsibility and information relations)
Clouds security (responsibility and information relations)Clouds security (responsibility and information relations)
Clouds security (responsibility and information relations)
 
АЛТЭКС-СОФТ. Захар Михайлов. "RedCheck, выполняем рекомендации Security Guide...
АЛТЭКС-СОФТ. Захар Михайлов. "RedCheck, выполняем рекомендации Security Guide...АЛТЭКС-СОФТ. Захар Михайлов. "RedCheck, выполняем рекомендации Security Guide...
АЛТЭКС-СОФТ. Захар Михайлов. "RedCheck, выполняем рекомендации Security Guide...
 
Решения Cisco и их соответствие требованиям 17-го приказа ФСТЭК по защите гос...
Решения Cisco и их соответствие требованиям 17-го приказа ФСТЭК по защите гос...Решения Cisco и их соответствие требованиям 17-го приказа ФСТЭК по защите гос...
Решения Cisco и их соответствие требованиям 17-го приказа ФСТЭК по защите гос...
 
Кибербезопасность АСУ ТП АЭС
Кибербезопасность АСУ ТП АЭСКибербезопасность АСУ ТП АЭС
Кибербезопасность АСУ ТП АЭС
 
Positive Technologies. Григорий Тимофеев. "Позитивные технологии обеспечения ИБ"
Positive Technologies. Григорий Тимофеев. "Позитивные технологии обеспечения ИБ"Positive Technologies. Григорий Тимофеев. "Позитивные технологии обеспечения ИБ"
Positive Technologies. Григорий Тимофеев. "Позитивные технологии обеспечения ИБ"
 
Cloud security risk management (fragment of course materials)
Cloud security risk management (fragment of course materials)Cloud security risk management (fragment of course materials)
Cloud security risk management (fragment of course materials)
 
продукты компании ЭШЕЛОН для защиты информации
продукты компании ЭШЕЛОН для защиты информациипродукты компании ЭШЕЛОН для защиты информации
продукты компании ЭШЕЛОН для защиты информации
 
Доктор Веб. Вячеслав Медведев. "Год 2016. Антивирусная безопасность в тисках ...
Доктор Веб. Вячеслав Медведев. "Год 2016. Антивирусная безопасность в тисках ...Доктор Веб. Вячеслав Медведев. "Год 2016. Антивирусная безопасность в тисках ...
Доктор Веб. Вячеслав Медведев. "Год 2016. Антивирусная безопасность в тисках ...
 
Можно ли обмануть DLP
Можно ли обмануть DLPМожно ли обмануть DLP
Можно ли обмануть DLP
 
10 лучших практик иб для гос
10 лучших практик иб для гос10 лучших практик иб для гос
10 лучших практик иб для гос
 
Лаборатория Касперского. Сергей Булович. ИТС Софт-проекты. Александр Рябцев. ...
Лаборатория Касперского. Сергей Булович. ИТС Софт-проекты. Александр Рябцев. ...Лаборатория Касперского. Сергей Булович. ИТС Софт-проекты. Александр Рябцев. ...
Лаборатория Касперского. Сергей Булович. ИТС Софт-проекты. Александр Рябцев. ...
 
Защищая ключевые Интернет-ресурсы
Защищая ключевые Интернет-ресурсыЗащищая ключевые Интернет-ресурсы
Защищая ключевые Интернет-ресурсы
 

Similar to ТЗИ 2017

Развитие нормативно-правовых актов и методических документов ФСТЭК России в о...
Развитие нормативно-правовых актов и методических документов ФСТЭК России в о...Развитие нормативно-правовых актов и методических документов ФСТЭК России в о...
Развитие нормативно-правовых актов и методических документов ФСТЭК России в о...journalrubezh
 
Проектирование СЗИ.pdf
Проектирование СЗИ.pdfПроектирование СЗИ.pdf
Проектирование СЗИ.pdftrenders
 
Аксёнов_Опыт построения СЗИ.pdf
Аксёнов_Опыт построения СЗИ.pdfАксёнов_Опыт построения СЗИ.pdf
Аксёнов_Опыт построения СЗИ.pdftrenders
 
Проектирование_СЗИ_персональных_данных_практикум.pdf
Проектирование_СЗИ_персональных_данных_практикум.pdfПроектирование_СЗИ_персональных_данных_практикум.pdf
Проектирование_СЗИ_персональных_данных_практикум.pdftrenders
 
Обзор изменений в области персональных данных. Стало ли проще
Обзор изменений в области персональных данных. Стало ли прощеОбзор изменений в области персональных данных. Стало ли проще
Обзор изменений в области персональных данных. Стало ли прощеguestfa9aa
 
О сертификации ПО по требованиям безопасности информации в системе сертификац...
О сертификации ПО по требованиям безопасности информации в системе сертификац...О сертификации ПО по требованиям безопасности информации в системе сертификац...
О сертификации ПО по требованиям безопасности информации в системе сертификац...Олег Габов
 
Стадии создания АС в ЗИ (РБ).pdf
Стадии создания АС в ЗИ (РБ).pdfСтадии создания АС в ЗИ (РБ).pdf
Стадии создания АС в ЗИ (РБ).pdftrenders
 
seminar_fz-152_dataline(1)
seminar_fz-152_dataline(1)seminar_fz-152_dataline(1)
seminar_fz-152_dataline(1)Ignat Dydyshko
 
Направления совершенствования сертификации средств защиты информации
Направления совершенствования сертификации средств защиты информацииНаправления совершенствования сертификации средств защиты информации
Направления совершенствования сертификации средств защиты информацииjournalrubezh
 
Вопросы обеспечения соответствия разрабатываемых систем требованиям информаци...
Вопросы обеспечения соответствия разрабатываемых систем требованиям информаци...Вопросы обеспечения соответствия разрабатываемых систем требованиям информаци...
Вопросы обеспечения соответствия разрабатываемых систем требованиям информаци...SQALab
 
Техническая защита ИСПДн: проблемы... и решения?
Техническая защита ИСПДн: проблемы... и решения?Техническая защита ИСПДн: проблемы... и решения?
Техническая защита ИСПДн: проблемы... и решения?Алексей Волков
 
Комплексная защита персональных данных
Комплексная защита персональных данныхКомплексная защита персональных данных
Комплексная защита персональных данныхspiritussancti
 
Aksionov_B_E_E_R_2022.pdf
Aksionov_B_E_E_R_2022.pdfAksionov_B_E_E_R_2022.pdf
Aksionov_B_E_E_R_2022.pdftrenders
 
Актуальные вопросы защиты информации для государственных оранов
Актуальные вопросы защиты информации для государственных орановАктуальные вопросы защиты информации для государственных оранов
Актуальные вопросы защиты информации для государственных орановSergey Borisov
 
Проект приказа ФСТЭК по защите информации в АСУ ТП
Проект приказа ФСТЭК по защите информации в АСУ ТППроект приказа ФСТЭК по защите информации в АСУ ТП
Проект приказа ФСТЭК по защите информации в АСУ ТПAleksey Lukatskiy
 

Similar to ТЗИ 2017 (20)

Развитие нормативно-правовых актов и методических документов ФСТЭК России в о...
Развитие нормативно-правовых актов и методических документов ФСТЭК России в о...Развитие нормативно-правовых актов и методических документов ФСТЭК России в о...
Развитие нормативно-правовых актов и методических документов ФСТЭК России в о...
 
Проектирование СЗИ.pdf
Проектирование СЗИ.pdfПроектирование СЗИ.pdf
Проектирование СЗИ.pdf
 
Аксёнов_Опыт построения СЗИ.pdf
Аксёнов_Опыт построения СЗИ.pdfАксёнов_Опыт построения СЗИ.pdf
Аксёнов_Опыт построения СЗИ.pdf
 
Проектирование_СЗИ_персональных_данных_практикум.pdf
Проектирование_СЗИ_персональных_данных_практикум.pdfПроектирование_СЗИ_персональных_данных_практикум.pdf
Проектирование_СЗИ_персональных_данных_практикум.pdf
 
Обзор изменений в области персональных данных. Стало ли проще
Обзор изменений в области персональных данных. Стало ли прощеОбзор изменений в области персональных данных. Стало ли проще
Обзор изменений в области персональных данных. Стало ли проще
 
Information Security Certification process
Information Security Certification processInformation Security Certification process
Information Security Certification process
 
О сертификации ПО по требованиям безопасности информации в системе сертификац...
О сертификации ПО по требованиям безопасности информации в системе сертификац...О сертификации ПО по требованиям безопасности информации в системе сертификац...
О сертификации ПО по требованиям безопасности информации в системе сертификац...
 
Стадии создания АС в ЗИ (РБ).pdf
Стадии создания АС в ЗИ (РБ).pdfСтадии создания АС в ЗИ (РБ).pdf
Стадии создания АС в ЗИ (РБ).pdf
 
seminar_fz-152_dataline(1)
seminar_fz-152_dataline(1)seminar_fz-152_dataline(1)
seminar_fz-152_dataline(1)
 
Направления совершенствования сертификации средств защиты информации
Направления совершенствования сертификации средств защиты информацииНаправления совершенствования сертификации средств защиты информации
Направления совершенствования сертификации средств защиты информации
 
Вопросы обеспечения соответствия разрабатываемых систем требованиям информаци...
Вопросы обеспечения соответствия разрабатываемых систем требованиям информаци...Вопросы обеспечения соответствия разрабатываемых систем требованиям информаци...
Вопросы обеспечения соответствия разрабатываемых систем требованиям информаци...
 
Техническая защита ИСПДн: проблемы... и решения?
Техническая защита ИСПДн: проблемы... и решения?Техническая защита ИСПДн: проблемы... и решения?
Техническая защита ИСПДн: проблемы... и решения?
 
Attestation of personal data protection systems
Attestation of personal data protection systemsAttestation of personal data protection systems
Attestation of personal data protection systems
 
Комплексная защита персональных данных
Комплексная защита персональных данныхКомплексная защита персональных данных
Комплексная защита персональных данных
 
Aksionov_B_E_E_R_2022.pdf
Aksionov_B_E_E_R_2022.pdfAksionov_B_E_E_R_2022.pdf
Aksionov_B_E_E_R_2022.pdf
 
Information security systems development
Information security systems developmentInformation security systems development
Information security systems development
 
Актуальные вопросы защиты информации для государственных оранов
Актуальные вопросы защиты информации для государственных орановАктуальные вопросы защиты информации для государственных оранов
Актуальные вопросы защиты информации для государственных оранов
 
пр законодательство по иб для вузов 2014 08
пр законодательство по иб для вузов 2014 08пр законодательство по иб для вузов 2014 08
пр законодательство по иб для вузов 2014 08
 
ISMS audit and implementation
ISMS audit and implementationISMS audit and implementation
ISMS audit and implementation
 
Проект приказа ФСТЭК по защите информации в АСУ ТП
Проект приказа ФСТЭК по защите информации в АСУ ТППроект приказа ФСТЭК по защите информации в АСУ ТП
Проект приказа ФСТЭК по защите информации в АСУ ТП
 

More from Альбина Минуллина

Технология плоского_прямого резервного копирования
Технология плоского_прямого резервного копированияТехнология плоского_прямого резервного копирования
Технология плоского_прямого резервного копированияАльбина Минуллина
 
Сетевые решения HUAWEI для корпоративной инфраструктуры
Сетевые решения HUAWEI для корпоративной инфраструктурыСетевые решения HUAWEI для корпоративной инфраструктуры
Сетевые решения HUAWEI для корпоративной инфраструктурыАльбина Минуллина
 
От реального оборудования к виртуальному
От реального оборудования к виртуальномуОт реального оборудования к виртуальному
От реального оборудования к виртуальномуАльбина Минуллина
 
Доступ к корпоративным приложениям, десктопам и данным с любого устройства
Доступ к корпоративным приложениям, десктопам и данным с любого устройстваДоступ к корпоративным приложениям, десктопам и данным с любого устройства
Доступ к корпоративным приложениям, десктопам и данным с любого устройстваАльбина Минуллина
 
All Flash системы хранения – примеры из реального опыта
All Flash системы хранения – примеры из реального опытаAll Flash системы хранения – примеры из реального опыта
All Flash системы хранения – примеры из реального опытаАльбина Минуллина
 
Тренды угроз для БД и веб-приложений
Тренды угроз для БД и веб-приложенийТренды угроз для БД и веб-приложений
Тренды угроз для БД и веб-приложенийАльбина Минуллина
 
Типовые атаки на корпоративную информационную систему (КИС)
Типовые атаки на корпоративную информационную систему (КИС)Типовые атаки на корпоративную информационную систему (КИС)
Типовые атаки на корпоративную информационную систему (КИС)Альбина Минуллина
 
Результаты пилотов Kaspersky Anti Targeted Attack Platform
Результаты пилотов Kaspersky Anti Targeted Attack PlatformРезультаты пилотов Kaspersky Anti Targeted Attack Platform
Результаты пилотов Kaspersky Anti Targeted Attack PlatformАльбина Минуллина
 
Искусственный интеллект на защите информации
Искусственный интеллект на защите информацииИскусственный интеллект на защите информации
Искусственный интеллект на защите информацииАльбина Минуллина
 
Адаптивная модель кибербезопасности для цифрового предприятия
Адаптивная модель кибербезопасности для цифрового предприятияАдаптивная модель кибербезопасности для цифрового предприятия
Адаптивная модель кибербезопасности для цифрового предприятияАльбина Минуллина
 
100%-ный контроль для 100%-ной безопасности
100%-ный контроль для 100%-ной безопасности100%-ный контроль для 100%-ной безопасности
100%-ный контроль для 100%-ной безопасностиАльбина Минуллина
 

More from Альбина Минуллина (20)

Не бойтесь виртуализации АСУ ТП
Не бойтесь виртуализации АСУ ТПНе бойтесь виртуализации АСУ ТП
Не бойтесь виртуализации АСУ ТП
 
Технология плоского_прямого резервного копирования
Технология плоского_прямого резервного копированияТехнология плоского_прямого резервного копирования
Технология плоского_прямого резервного копирования
 
Сетевые решения HUAWEI для корпоративной инфраструктуры
Сетевые решения HUAWEI для корпоративной инфраструктурыСетевые решения HUAWEI для корпоративной инфраструктуры
Сетевые решения HUAWEI для корпоративной инфраструктуры
 
От реального оборудования к виртуальному
От реального оборудования к виртуальномуОт реального оборудования к виртуальному
От реального оборудования к виртуальному
 
Модернизация ЦОДа
Модернизация ЦОДаМодернизация ЦОДа
Модернизация ЦОДа
 
Доступ к корпоративным приложениям, десктопам и данным с любого устройства
Доступ к корпоративным приложениям, десктопам и данным с любого устройстваДоступ к корпоративным приложениям, десктопам и данным с любого устройства
Доступ к корпоративным приложениям, десктопам и данным с любого устройства
 
WorkspaceOne
WorkspaceOneWorkspaceOne
WorkspaceOne
 
SimpliVity
SimpliVitySimpliVity
SimpliVity
 
HPE Aruba Mobile First
HPE Aruba Mobile FirstHPE Aruba Mobile First
HPE Aruba Mobile First
 
All Flash системы хранения – примеры из реального опыта
All Flash системы хранения – примеры из реального опытаAll Flash системы хранения – примеры из реального опыта
All Flash системы хранения – примеры из реального опыта
 
Тренды угроз для БД и веб-приложений
Тренды угроз для БД и веб-приложенийТренды угроз для БД и веб-приложений
Тренды угроз для БД и веб-приложений
 
Типовые атаки на корпоративную информационную систему (КИС)
Типовые атаки на корпоративную информационную систему (КИС)Типовые атаки на корпоративную информационную систему (КИС)
Типовые атаки на корпоративную информационную систему (КИС)
 
Результаты пилотов Kaspersky Anti Targeted Attack Platform
Результаты пилотов Kaspersky Anti Targeted Attack PlatformРезультаты пилотов Kaspersky Anti Targeted Attack Platform
Результаты пилотов Kaspersky Anti Targeted Attack Platform
 
Искусственный интеллект на защите информации
Искусственный интеллект на защите информацииИскусственный интеллект на защите информации
Искусственный интеллект на защите информации
 
Внедрение IDM
Внедрение IDMВнедрение IDM
Внедрение IDM
 
Аудит веб-приложений
Аудит веб-приложенийАудит веб-приложений
Аудит веб-приложений
 
Адаптивная модель кибербезопасности для цифрового предприятия
Адаптивная модель кибербезопасности для цифрового предприятияАдаптивная модель кибербезопасности для цифрового предприятия
Адаптивная модель кибербезопасности для цифрового предприятия
 
SandBlast Solutions
SandBlast SolutionsSandBlast Solutions
SandBlast Solutions
 
100%-ный контроль для 100%-ной безопасности
100%-ный контроль для 100%-ной безопасности100%-ный контроль для 100%-ной безопасности
100%-ный контроль для 100%-ной безопасности
 
Управление кибербезопасностью
Управление кибербезопасностьюУправление кибербезопасностью
Управление кибербезопасностью
 

ТЗИ 2017

  • 1. Заместитель начальника управления ФСТЭК России ТОРБЕНКО Елена Борисовна
  • 2. ИЗМЕНЕНИЯ, ВНОСИМЫЕ В ЗАКОНОДАТЕЛЬСТВО О ЗАЩИТЕ ИНФОРМАЦИИ Федеральный закон «О внесении изменений в статью 16 Федерального закона «Об информации, информационных технологиях и о защите информации» (проект) Установление требований о защите информации в информационных системах, в которых обрабатывается информация, обладателями которой являются государственные органы. Установление обязанности операторов информационных систем по созданию систем защиты информации по информированию ФСТЭК России и ФСБ России о компьютерных инцидентах 2
  • 3. ИЗМЕНЕНИЯ, ВНОСИМЫЕ В ЗАКОНОДАТЕЛЬСТВО О ЗАЩИТЕ ИНФОРМАЦИИ Постановление Правительства Российской Федерации от 11 мая 2017 г. № 555 «О внесении изменений в постановление Правительства Российской Федерации от 6 июля 2015 г. № 676 » Вносит изменения в требования к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации ГИС Установление обязанности операторов информационных систем Выполнение требований о защите информации Согласование МУ и ТЗ с ФСБ и ФСТЭК 3
  • 4. ИЗМЕНЕНИЕ ЗАКОНОДАТЕЛЬСТВА О ЛИЦЕНЗИРОВАНИИ ДЕЯТЕЛЬНОСТИ ПО ТЗКИ Изменения, которые вносятся в акты правительства Российской Федерации по вопросам лицензирования отдельных видов деятельности утверждены постановлением Правительства Российской Федерации от 15 июня 2016 г. № 541 УТВЕРЖДЕН ФСТЭК России 19 апреля 2017 г. Перечень контрольно-измерительного и испытательного оборудования, средств контроля защищенности, необходимых для выполнения работ и оказания услуг, установленных Положением о лицензировании деятельности по технической защите конфиденциальной информации, утвержденным постановлением Правительства Российской Федерации от 3 февраля 2012 г. № 79 Сертификационные испытания на соответствие требованиям по безопасности информации продукции, используемой в целях защиты конфиденциальной информации исключены из перечня видов деятельности, подлежащих лицензированию Мониторинг информационной безопасности средств и систем информатизации включен в перечень видов деятельности, подлежащих лицензированию 4 Повышены лицензионные требования к соискателям лицензии и лицензиатам по технической защите конфиденциальной информации
  • 5. МОНИТОРИНГ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ СРЕДСТВ И СИСТЕМ ИНФОРМАТИЗАЦИИ 5 Это услуги в части осуществления непрерывного наблюдения за состоянием безопасности информации, обрабатываемой средствами и системами информатизации, с целью выявления инцидентов безопасности информации, а также актуальных угроз безопасности информации обнаружение и идентификация инцидентов анализ инцидентов планирование и принятие мер по устранению инцидентов планирование и принятие мер по предотвращению повторного возникновения инцидентов контроль за событиями безопасности и действиями пользователей контроль (анализ) защищенности информации анализ и оценку функционирования СЗИ периодический анализ изменения угроз безопасности информации и принятие мер защиты информации документирование процедур и результатов контроля (мониторинга) за обеспечением уровня защищенности информации принятие решения по результатам контроля (мониторинга) о доработке (модернизации) СЗИ
  • 6. ИЗМЕНЕНИЕ ТРЕБОВАНИЙ О ЗАЩИТЕ ИНФОРМАЦИИ, ОБРАБАТЫВАЕМОЙ В ГИС Актуализация Требований Упразднение 4 класса защищенности Определение видов проверок при аттестационных испытаниях Аттестация инфраструктуры, на которой функционирует ИС Применение БДУ и других источников информации об угрозах и уязвимостях при моделировании угроз и анализе уязвимостей Запрет проведения аттестации лицом, осуществлявшим проектирование/внедрение системы защиты информации Изменение классов защиты СЗИ, применяемых для защиты ИС различных классов защищенности ФСТЭК России ПРИКАЗ от 15 февраля 2017 г. № 27 О внесении изменений в приказ ФСТЭК России от 11 февраля 2013 г. № 17 6
  • 7. ИЗМЕНЕНИЕ ТРЕБОВАНИЙ О ЗАЩИТЕ ИНФОРМАЦИИ В ИСПДН И В АСУ ТП КВО ФСТЭК России ПРИКАЗ от 23 февраля 2017 г. № 49 О внесении изменений в приказы ФСТЭК России от 18 февраля 2013 г. № 21 и от 14 марта 2014 г. № 31 Уровень защ-ти ИСПДн Класс защ-ти АСУ ТП Класс защиты СЗИ 1 1 4 2 2 5 3, 4 3 6 Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденные приказом ФСТЭК России от 18 февраля 2013 г. № 21 Требования к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды, утвержденные приказом ФСТЭК России от 14 марта 2014 г. № 31 7
  • 8. УТВЕРЖДЕННЫЕ ФСТЭК РОССИИ ТРЕБОВАНИЯ К СРЕДСТВАМ ЗАЩИТЫ ИНФОРМАЦИИ Требования к системам обнаружения вторжений утверждены приказом ФСТЭК России от 6 декабря 2011 г. № 638 (зарегистрирован Минюстом России) 12 методических документов, содержащих профили защиты систем обнаружения вторжений Требования к средствам антивирусной защиты утверждены приказом ФСТЭК России от 20 марта 2012 г. № 28, зарегистрирован Минюстом России 24 методических документа, содержащих профили защиты средств антивирусной защиты Требования к средствам доверенной загрузки утверждены приказом ФСТЭК России от 27 сентября 2013 г. № 119 (зарегистрирован Минюстом России) 10 методических документов, содержащих профили защиты средств доверенной загрузки Требования к средствам контроля съемных машинных носителей информации утверждены приказом ФСТЭК России от 28 июля 2014 г. № 87 (зарегистрирован Минюстом России) 10 методических документов, содержащих профили защиты средств контроля съемных МНИ Требования к межсетевым экранам утверждены приказом ФСТЭК России от 9 февраля 2016 г. № 9 (зарегистрирован Минюстом России) 24 методических документа, содержащих профили защиты межсетевых экранов Требования безопасности информации к операционным системам утверждены приказом ФСТЭК России от 19 августа 2016 г. № 119 (зарегистрирован Минюстом России) 18 методических документов, содержащих профили защиты операционных систем 8
  • 9. ТРЕБОВАНИЯ К МЕЖСЕТЕВЫМ ЭКРАНАМ ФСТЭК России ПРИКАЗ от 9 февраля 2016 г. № 9 Требования к межсетевым экранам Утверждение Требований 09.02.16 Регистрация Требований в Минюсте России 25.03.16 В ФСТЭК России не принимаются к рассмотрению заявки на сертификацию межсетевых экранов на соответствие иным требованиям c 01.07.16 Вступление в силу Требований 01.12.16 Сертификация и инспекционный контроль межсетевых экранов только на соответствие Требованиям c 01.12.16 9
  • 10. ВНЕДРЕНИЕ ТРЕБОВАНИЙ К МЕЖСЕТЕВЫМ ЭКРАНАМ Разработка МЭ должна осуществляться на соответствие новым Требованиям Производство и поставка старых МЭ возможны при условии наличия действующего сертификата Применение старых МЭ возможно, если это предусмотрено документами, устанавливающими требования по защите информации Эксплуатация старых МЭ возможна при условии наличия действующих сертификатов соответствия Продление сертификатов соответствия на эксплуатируемые МЭ в частном порядке возможно при условии отсутствия актуальных уязвимостей Аттестация ИС, в которых применяются старые МЭ, возможна, если это предусмотрено требованиями по защите информации ФЕДЕРАЛЬНАЯ СЛУЖБА ПО ТЕХНИЧЕСКОМУ И ЭКСПОРТНОМУ КОНТРОЛЮ ИНФОРМАЦИОННОЕ СООБЩЕНИЕ по вопросам разработки, производства, поставки, применения и эксплуатации межсетевых экранов сертифицированных ФСТЭК России по требованиям безопасности информации от 24 марта 2017 г. № 240/24/1382 10
  • 11. Утверждение Требований 19.08.16 Регистрация Требований в Минюсте России 19.09.16 В ФСТЭК России не принимаются к рассмотрению заявки на сертификацию операционных систем на соответствие иным требованиям c 01.01.17 Вступление в силу Требований 01.06.17 Сертификация и инспекционный контроль операционных систем только на соответствие Требованиям c 01.06.17 ТРЕБОВАНИЯ К ОПЕРАЦИОННЫМ СИСТЕМАМ ФСТЭК России ПРИКАЗ от 19 августа 2016 г. №119 Требования безопасности информации к операционным системам 11
  • 12. Требования безопасности информации к системам управления базами данных (готовятся к утверждению) Требования безопасности информации к средствам управления потоками информации (готовятся к утверждению) Требования безопасности информации к средствам виртуализации ТРЕБОВАНИЯ К СРЕДСТВАМ ЗАЩИТЫ ИНФОРМАЦИИ, ПЛАНИРУЕМЫЕ К УТВЕРЖДЕНИЮ В 2017 ГОДУ 12
  • 13. Требования безопасности информации к системам управления базами данных (готовятся к утверждению) Требования безопасности информации к средствам управления потоками информации (готовятся к утверждению) Требования к средствам виртуализации Требования к автоматизированным рабочим местам в защищенном исполнении Требования к базовым системам ввода-вывода (BIOS) Требования к средствам защиты от несанкционированного вывода (ввода) информации (DLP – системам) Требования к средствам контроля и анализа защищенности Требования к средствам обеспечения целостности Требования к средствам ограничения программной среды Требования к средствам идентификации и аутентификации Требования к средствам управления доступом Требования к средствам регистрации событий ТРЕБОВАНИЯ К СРЕДСТВАМ ЗАЩИТЫ ИНФОРМАЦИИ, ПЛАНИРУЕМЫЕ К УТВЕРЖДЕНИЮ В 2017-2018 ГОДАХ 13
  • 14. НАЦИОНАЛЬНЫЙ СТАНДАРТ ПО БЕЗОПАСНОЙ РАЗРАБОТКЕ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ 1 • Формирование требований к программе 2 • Проектирование архитектуры программы 3 • Конструирование программы 4 • Тестирование программы 5 • Установка и приемка программы 6 • Эксплуатация программы 14
  • 15. ГОСТЫ ПО УЯЗВИМОСТЯМ ИНФОРМАЦИОННЫХ СИСТЕМ 15
  • 16. Анализ и классификация уязвимостей и НДВ ПО Типизация ПО (в том числе рассматривается микропрограммное ПО) Методы анализа уязвимостей и НДВ ПО в условиях наличия и отсутствия исходных текстов Дифференциация методов анализа в зависимости от типа и класса ПО МЕТОДИКА АНАЛИЗА УЯЗВИМОСТЕЙ И НЕДЕКЛАРИРОВАННЫХ ВОЗМОЖНОСТЕЙ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ ФСТЭК России Методический документ (проект) 16
  • 17. В БДУ содержатся сведения: •о 194 угрозах безопасности информации; •более чем о 16 500 уязвимостях ПО СОВЕРШЕНСТВОВАНИЕ БАНКА ДАННЫХ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ Ведение учетной записи в Twitter Выгрузка данных в XML Возможность осуществления RSS-подписки Расширение функциональных возможностей БДУ Расширение сведений об угрозах и уязвимостях Реализация классификации угроз 17
  • 18. Заместитель начальника управления ФСТЭК России ТОРБЕНКО Елена Борисовна