С 1-го января 2014-го года в силу вступил новый руководящий документ ФСТЭК с требованиями к средствам доверенной загрузки. Информационное письмо об этом факте опубликовано 6-го февраля на сайте ФСТЭК. В требованиях выделены следующие типы средств доверенной загрузки:
- средства доверенной загрузки уровня базовой системы ввода-вывода,
- средства доверенной загрузки уровня платы расширения,
- средства доверенной загрузки уровня загрузочной записи.
ЦБ на прошлой неделе выложил для обсуждения на ТК122 проект рекомендаций Банка России в области стандартизации по ресурсному обеспечению информационной безопасности. Цель документа — показать методы обоснования выделения финансовых и человеческих ресурсов на обеспечение ИБ в банках. Документ пока сыроват на мой взгляд и на практике применим с трудом (в действующей редакции). Возможно в процессе обсуждения его удастся докрутить.
Также ЦБ во второй половине января выложил для обсуждения на ТК122 проект рекомендаций Банка России в области стандартизации по обеспечению информационной безопасности при использовании технологии виртуализации. Надо будет сравнить этот проект с проектом соответствующего ГОСТ, который подготовил ТК362.
В конце января, на заседании ТК122 также были утверждены новые редакции двух хорошо известных стандартов СТО 1.0 (это будет уже пятая версия) и СТО 1.2. В СТО 1.0 внесли ряд изменений, в т.ч. и в части последних поправок в законодательстве по персональным данным. Из интересных новаций — признание угроз 1-го и 2-го типа неактуальными. Более подробно я этот стандарт в контексте темы ПДн рассмотрю позже — там есть ряд интересных, а местами и спорных моментов.
Ну и наконец, как и написано в плане нормотворческой деятельности ФСТЭК на 2014-й год, подготовлен проект требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды, который скоро будет представлен заинтересованным лицам.
Я думаю, что по документам ФСТЭК информацию можно будет получить из первых рук на конференции «Актуальные вопросы защиты информации», которую проводит регулятор в эту среду, 12-го февраля. А информацию по документам Банка России можно будет получить в Магнитогорске.
Алексей!
После прочтения Инф.письма ФСТЭК Об утверждении требований к средствам довер.загрузки возник вопрос.
Это требования к производителям продукции, обеспечивающей доверенную загрузку? Или и для нас — её пользователей? Поясняю.
Банк, уровень защищённости ИСПДн — УЗ-3. По Приказу 21 ФСТЭК мера УПД.17 для УЗ-3 и УЗ-4 не обязывает применять дов.загрузку, как базовую. Если же почитать Информационной письмо ФСТЭК, то можно найти для У3-3 необходимость использования ИТ.СД3.335.ПЗ — средство доверенной загрузки уровня загрузочной записи.
Несоответствие Приказа 21 Информационному письму или что-то не понимаю?
Николай.
Николай,
в самом письме указано:
"Требования предназначены для организаций, осуществляющих в … работы по созданию средств защиты информации, заявителей на осуществление обязательной сертификации продукции, а также для испытательных лабораторий и органов по сертификации…"
Меня смутил абзац выше: Требования применяются…..
Внутренне я "уговорил" себя, что ИТ.СД3.ЗЗ5.П3 я могу использовать не на обязательной основе. Никто ведь не запрещает использовать, кроме обязательных мер и дополнительные по желанию.
Но для верности своих предположений я и хотел услышать мнения экспертов.
Вдруг совпадут с моим:)
Усли УПД.17 вы для себя включили в перечень защитных мер и у вас решено, что СрЗИ должны быть сертифицированными, то применять вы должны решения, соответствующие этому РД. Если же вы решили УПД.17 включить в меры защиты, а сертифицированные СрЗИ использовать не хотите, то этот РД для вас будет просто как методическое указание, что учесть при выборе