Среди других документов, которые готовит ФСТЭК стоит отметить новую методичку по 31-му приказу, которая раскроет, что скрывается за многими, не всегда понятными защитными мерами для промышленных сетей. Это будет полный аналог методического документы «Меры защиты информации в государственных информационных системах», который был выпущен в дополнение к 17-му приказу. ФСТЭК называет срок — конец 2016-го года, но я побуду пессимистом и предположу, что это будет скорее первый квартал 2017-го года (все-таки при нехватке ресурсов, ФСТЭК не потянет все свои планы и обязательно что-то да передвинет).
В контексте национальной стандартизации хочется отметить следующее:
- В 2015-м году было утверждено два новых ГОСТа (56545 и 56546) по классификации и описанию уязвимостей.
- В Росстандарт направлены два разработанных ГОСТа — по безопасности технологий виртуализации и по безопасной разработке ПО (SDLC). После утверждения первого ГОСТа ФСТЭК будет принимать требования к средствам защиты виртуализации. Второй ГОСТ возможно со временем станет обязательным — пока же он будет носить рекомендательный характер.
- Подготовлены к направлению в Росстандарт еще два ГОСТа — по разработке профилей защиты и заданий по безопасности и по анализу уязвимостей. Последний, в свою очередь, состоит из двух частей — по использованию доступных источников для идентификации потенциальных уязвимостей и по тестированию на проникновению (пентестам).
Кстати, по анализу уязвимостей ФСТЭК готовит еще один, безусловно интересный документ — методику анализа уязвимостей и недекларированных возможностей программного обеспечения. Это давно назревший документ, который позволит проводить анализ на отсутствие НДВ даже при отсутствии исходных кодов устаревшего ПО или ПО, происходящего из других государств.
Из важного: ФСТЭК планомерно добивается того, чтобы заявители на сертификацию включали в документацию на свою продукцию требования по порядку обновления и информирования потребителей об обновлении и способах его получения. То, что так усложняло жизнь многим заказчикам, которые не знали, где взять сертифицированные обновления, теперь постепенно сходит на нет. ФСТЭК на конференции несколько раз повторил, что они будут сильно «драть» заявителей, не соблюдающих эти правила.
Тоже касается и включения соответствующих разделов в документацию для пользователей:
Что касается методички по моделированию угроз, то я уже про него высказывался. Виталий Сергеевич Лютиков назвал срок — конец марта 2016-го года. Стоит подождать.
Добрый день, Алексей! Уже середина апреля 2016 года, а методички по моделированию угроз всё нет. Алексей у Вас есть информация о её судьбе?
Не готов комментировать. Я уже столько раз за ФСТЭК говорил, что вот-вот…
Добрый день, Алексей! Два вопроса, прокомментируйте пожалуйста:
1. Смогут ли комерческие организации в будущем обладать какой-либо лицензией для проведения испытаний НДВ по новой методике самостоятельно?
2. Требуется ли сейчас, все-таки, обязательное наличие сертификата контроля НДВ ПО АСУ ТП?
1. Проведение испытаний на НДВ проводят только коммерческие компании, аккредитованные ФСТЭК или ФСБ. Это не менялось и не будет.
2. Не требовалось и не требуется. Но в долгосрочной перспективе как минимум сертификацию могут сделать обязательной. Возможно и с НДВ. Применительно к АСУ ТП в этом есть смысл, но есть и много сложностей