Новости ФСТЭК

За последнюю неделю произошло два события, связанных с ФСТЭК, которые сами по себе может быть и не столь значительны, но определят развитие отрасли ИБ на ближайшее время. Итак, начнем со второго события — 29-го января ФСТЭК разместила у себя на сайте информационное сообщение о начале сбора предложений по внесению изменений в 17-й приказ по защите государственных информационных систем. Я уже как-то писал, что у ФСТЭК есть желание выйти на двухлетний жизненный цикл своих документов и вот первое доказательство. Будучи утвержденным в феврале 2014-го года, вторая редакция 17-го приказа должна быть принята спустя два года — в первом квартале 2016-го года.

Я уже не раз призывал специалистов отрасли поучаствовать в процессе подготовки предложений к нормативным документам регулятора, призываю и сейчас. Я как считал, так и продолжаю считать, что документы получились очень неплохими и гибкими в выборе защитных мер. Помню, что звучала не раз критика сложности 17-го (да и 21/31-го) приказа. Сейчас появляется возможность этот «недостаток» устранить, предложив свою структуру документа.

Но вернемся ко второму событию — 27-го января ФСТЭК анонсировала у себя на сайте проведение 12-го февраля ежегодной конференции «Актуальные вопросы защиты информации». Как это уже было в прошлом году, на конференции озвучиваются основные тенденции и планы развития нормативной базы на ближайшее время.

Что же мы видим в программе мероприятия? Во-первых, доклады, посвященные моделированию угроз и практике рассмотрения моделей угроз госорганов, направляемых в ФСТЭК для согласования. Могу предположить, что на конференции будет представлена долгожданная методика моделирования угроз.

Во-вторых, заявлена тема совершенствования системы сертификации средств защиты информации. Могу предположить, что будет анонсирован документ, о разработке которого речь шла в прошлом году, и который содержит новые правила оценки соответствия средств ИБ. На это же направлены и новые правила аккредитации органов по сертификации и испытательных лабораторий.

Третья тема касается изменения правил лицензирования деятельности по ТЗКИ. Аккурат к конференции ФСТЭК подготовила проект нового административного регламента и по этому вопросу. Еще одна тема, которой посвящена конференция ФСТЭК, — безопасность АСУ ТП. В прошлый раз представители регулятора анонсировали не только 31-й приказ, но и планы по разработке целого ряда методических документов. Возможно они будут представлены в этом году.

И, наконец, последняя, совершенно новая тема оставлена «на закуску» конференции — создание в России собственной базы угроз и уязвимостей, независящей от американских NVD и CVE. В этом блоке буду выступать и я с докладом «А что если завтра нас отключат от CVE… Как создать собственную систему Threat Intelligence«.

Вот такие новости от ФСТЭК…