Конференция ФСТЭК: новые требования к средствам защиты

Законодательство
Вспомните вот эту картинку:

Она была представлена на конференции ФСТЭК в феврале 2015-го года, то есть ровно год назад. А теперь посмотрите вот на эту картинку:

Она была представлена в одном из выступлений ФСТЭК осенью 2015-го года. Прошло всего полгода, а какие изменения произошли в ней — на первые два места вышли требования к операционным системам и системам управления базам данных.

А вот картинка уже этого года. Из списка исчезли требования к средствам разграничения доступа (управление доступом осталось), средствам ограничения программной среды и средствам контроля целостности. При этом добавились требования к… фанфары, SIEM.

Значит ли это, что ФСТЭК отказалась от упомянутых выше РД? Нет! Я еще раз напомню, что задачей ФСТЭК, озвученной несколько лет назад, является выпуск требований, закрывающих все меры защиты, упомянутые в 17/21/31-м приказах и которые могут быть закрыты именно техническими решениями. Просто у регулятора по ходу работы меняются приоритеты и не всегда хватает ресурсов на то, чтобы выпустить все и в озвученные ранее сроки. Например, в списке отсутствуют требования к промышленным антивирусам, а они уже в проекте есть. Так и со всеми другими требованиями — они в проектах той или иной степени готовности есть почти по всем направлениям. Но рассылаться по экспертам для оценки они будут позже, по мере утверждения более приоритетных документов.

В Facebook по данному слайду были комментарии, что ФСТЭК физически не успеет к 1-му марта выложить на сайт для общественного обсуждения проекты РД по ОС и СУБД. Ну так этого и не планируется. ФСТЭК вообще проекты РД к средствам защиты в публичный доступ не выкладывает — они доступны только заявителям, разработчикам (не всем) и испытательным лабораториям. Вот к 1-му марта именно от них планируется получить замечания, принять или нет, и утвердить финальную версию.

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем.