Бизнес безопасности или безопасность бизнеса? О том и о другом в одном блоге При проверках они больше смотрят на содержание а оно как раз описано в м приказе , а не на форму организационно-распорядительной документации Есть техпасорт - хорошо, нет - плохо, делайте. А если состав ИС зафиксирован каким-либо другим документом, им это очень не нравится. Так же и по другим, пришедшим из аттестации АС с ГТ документам. Доказать, что они не обязательны крайне сложно. Меня смутил термин "новое средство защиты". Очень бы не хотелось увидеть в документе двузначности - новый с точки зрения приобретения его оператором для построения СЗИ нельзя покупать средства защиты без контроля НДВ для защиты ГИС с момента вступления в силу нового документа, уже используемые средства защиты без контроля НДВ использовать по-прежнему можно или новый с точки зрения выдачи сертификата производителю средства защиты для защиты ГИС можно использовать и покупать средства защиты без контроля НДВ, если сертификаты на них выданы до вступления в силу документа.. Крайне желательно, чтобы этот момент был расписан четко, на уровне ожидаемых ФСТЭК действий операторов что можно и при каких условиях , а не просто термином "ново средство защиты", а то опять потом разъяснять придется. Не новым и не старым, а действующим сегодня. Точно так же и при повторной аттестации придется подтверждать выполнение в ИС действующих а не трехлетней давности требований. Так, во всяком случае, объясняют все представители регулятора. Эта позиция регулятора понятна, но не бесспорна. В определении аттестации нигде не сказано, что должно проверяться соответствие именно действующим требованиям. Согласно общему правоприменительному принципу требования НПА распространяются только на отношения, возникшие после даты их вступления в силу. Я по крайней мере руководствуюсь таким принципом. Главная страница Мои выступления Мои курсы Мои книги Обо мне DISCLAIMER. Главная Законодательство Оценка соответствия Лицензирование НПС Персданные Регуляторы ФСТЭК ФСБ Роскомнадзор Банк России Минкомсвязь Измерение ИБ Цена безопасности Экономика ИБ Метрики Тенденции Облака АСУ ТП Кибербезопасность Управление инцидентами SDLC Threat Intelligence Разное Security for Dummies Мероприятия по ИБ в Интерактивные карты атак Слияния и поглощения на рынке ИБ. Страницы Главная страница Мои выступления Мои курсы Мои книги Обо мне DISCLAIMER. СТОБР станет обязательным Может ли ГОСТ быть обязательным? BlackBerry покупает Encription Уральский форум: Роскомнадзор и кредитные организа Реестр отечественного софта в контексте информацио АСУ ТП, ГОСТы, методички, модел Надежность - палка безопасности о двух концах Очередной мертворожденный законопроект по ИБ в Рос Лицензия ТЗКИ для собственных нужд больше не потре О вчерашнем поручении Президента по очередному вит Категории законодательство персональные данные ФСТЭК тенденции консолидация ФСБ поглощения выставки угрозы стандарты Россия Банк России SCADA криптография обучение оценка соответствия 80 Роскомнадзор 74 цена безопасности 73 Интернет-ресурсы 71 метрики 69 Разное 68 НПС 66 управление инцидентами 66 проблемы ИБ-компаний 53 стратегия 51 заблуждения 50 Юмор 49 экономика 49 психология 46 Минкомсвязь 44 безопасность бизнеса 44 SOC 43 облачная безопасность 43 cloud 40 философия 39 наука 38 Threat Intelligence 36 аутентификация 35 риски 33 повышение осведомленности 31 антивирус 30 лицензирование 30 DLP 29 SDLC 28 PCI DSS 27 кибервойна 25 международная ИБ 25 архитектура 23 геймификация 23 SIEM 22 кибербезопасность 22 мобильный офис 22 BYOD 21 аутсорсинг 20 APT 18 CISO 18 ISO 17 хакеры 17 NIST 16 Web 16 кризис 16 маркетинг 16 электронные платежи 16 ДБО 15 киберпреступность 15 IPS 14 США 14 видео 13 виртуализация 13 CERT 12 аудит 12 госорганы 12 история 12 классификация 12 стартап 12 ЭЦП 11 внутренние угрозы 11 кредитные карты 10 троян 10 IoT 9 Social Media 9 атрибуция 9 спам 9 Usability 8 ВТО 8 Интернет 8 МинОбороны 8 биометрия 8 книги 8 культура ИБ 8 статьи 8 open source 7 Совет Безопасности 7 аналогии 7 ООН 6 СУБД 6 непрерывность бизнеса 6 опыт 6 ОДКБ 5 ФАИТ 5 таможенный союз 5 терминология 5 уязвимости 5 этика 5 M2M 4 NBAD 4 МВД 4 Олимпиада 4 СНГ 4 СОРМ 4 мошенничество 4 перлюстрация 4 политика ИБ 4 русский язык 4 сканеры безопасности 4 страхование 4 VoIP 3 Интернет-маньяки 3 женщины 3 мобильные платежи 3 служебная тайна 3 тендер 3 ISACA 2 RFID 2 UTM 2 Wi-Fi 2 УЭК 2 ЦОД 2 безопасность 2 кибертерроризм 2 CIP 1 NIAC 1 SDN 1 resilience 1 БРИКС 1 Время 1 ЕАЭС 1 ШОС 1 кадры 1 терминальный доступ 1 транспорт 1 управление потоками 1 фишинг 1 электронное правительство 1. Ну вот и обещанный рассказ о планах по нормотворчеству ФСТЭК. Тут тоже надо сразу оговориться. Виталий Сергеевич Лютиков сразу признался, что при численного людей, занимающихся нормотворчеством, а это 6 человек, не всегда удается следовать озвученным ранее планам. По этой же причине и в плане ФСТЭК указано гораздо меньше документов, чем может появиться в реальности. Итак, ключевые изменения коснутся, как я уже и писал, го приказа, распространяющегося пока на государственные и муниципальные информационны системы, а в перспективе и на иные системы, обрабатывающие государственный информационный ресурс. Проект новой редакции го приказа уже готов и в ближайшие несколько дней должен быть выложен на сайт ФСТЭК. Правда, есть вероятность, что изменений туда внести уже не получится. Все-таки, ФСТЭК собирала эти предложения весь прошлый год формально - до апреля прошлого года. Кто не успел это сделать тогда, могут, конечно, попытаться, но я бы не рассчитывал на то, что их голос будет услышан. Чтоже стало отличительной чертой новой редакции го приказа? Перенос места моделирования угроз со стадии формирования требований на стадию разработки системы защиты. Сделано это было специально и вполне осознанно. И это еще раз подчеркивает, что ФСТЭК действительно сфокусирован именно на госорганах, а не на коммерческих предприятиях. Ведь когда по уму надо моделировать угрозы? Как можно раньше, то есть на этапе формирования требований к информационной системе. Но в госорганах на этом этапе еще нет финансироваия и моделировать угрозы прочто не на что. Отсюда нелогичный, но обоснованный с практической точки зрения перенос данного этапа. Добавляется 5 новых документов, определяющих правила и процедуры политики защиты информации. Из зала сразу прозвучал вопрос о том, не планирует ли ФСТЭК разработать шаблоны документов, которые можно было бы использовать в деятельности организаций. Представитель ФСТЭК сразу же ответил, что в планах такого нет и при проверках они больше смотрят на содержание а оно как раз описано в м приказе , а не на форму организационно-распорядительной документации. Я, правда, надеялся услышать еще про проект ГОСТа, который должен быть установить формы шаблоны пару десятков типовых документов, требуемых при проведении аттестации и лицензировании паспорт на ИС, границы контролируемой зоны и т. Проект этого ГОСТа пару лет назад рассматривался в ТК , но с тех пор про него что-то ничего не слышно. Одним из революционных и при этом ни на что не влияющих изменений стал отказ от 4-го класса ГИС и переход на 3-хуровневую классификацию информационных систем как в м приказе. Обусловлено это было двумя вещами. Первая - в надзорной деятельности ФСТЭК ГИС 4-го класса не встречались ни разу, что и привело к мысли о его ненужности. А вторая ее не озвучили, но судя по всему она тоже подтолкнула к принятому решению - переход ФСТЭК на новые РД с требованиями к средствам защиты информации. В них принята схема с 6-ью классами защищенности 3 для гостайны и 3 - для остальных видов информации ограниченного доступа или защищаемых информационных систем. В прежней редакции го да и го приказа была достаточно сложная схема с соотнесением классов защищенности средств защиты и классов защищености информационных систем с подключением к Интернет или без оного. С переходом же на трехуровневую схему соотнесение стало очень простой задачей 6 класс средства защиты - 3-й класс ГИС, 5 класс средства защиты - 2-й класс, 4 класс защиты - 1-й класс. Зато ФСТЭК явно потребовала сертификации средств защиты на 4-й уровень отсутствия НДВ, если они планируются применяться в государственных информационных системах. Раньше это требование тоже было, но не формализовано. С принятием новой редакции минимальный уровень НДВ будет явно требоваться от любого нового средства защиты. Обратите внимание - нового! К уже приобретенным средствам защиты это требование не применимо закон обратной силы не имеет. В й приказ добавили 9 новых блоков защитных мер. Еще 5 взяты из го приказа - безопасная разработка, управление обновлениями, планирование мероприятий по обеспечению защиты информации, информирование и обучение персонала, анализ угроз и рисков 6-й блок из го приказа, про действия в нештатных ситуациях, в новую редакцию го не вошел. Наконец, было добавлено два совсем новых блока защитных мер - защита информации при использовании мобильных устройств и управление потоками информации. Вот такие изменения грядут для государственных информационных систем и, возможно, в перспективе, для иных систем, обрабатывающих государственные информационные ресурсы. Срок вступления обсуждаемых поправок пока не известен - предположу, что стоит отсчитать не более 6 месяцев с момента регистрации документа в Минюсте. И если это произойдет примерно в апреле, то новый й приказ вступит в силу осенью этого года. Хотя в условиях непростой экономической ситуации и правил бюджетирования многих госорганов, я бы на месте ФСТЭК, ввел этот приказ с 1-го января года. Отправить по электронной почте Написать об этом в блоге Опубликовать в Twitter Опубликовать в Facebook Поделиться в Pinterest. Следующее Предыдущее Главная страница. Комментарии к сообщению Atom. Категории аналогии антивирус архитектура атрибуция аудит аутентификация аутсорсинг Банк России безопасность безопасность бизнеса биометрия БРИКС видео виртуализация внутренние угрозы Время ВТО выставки геймификация госорганы ДБО ЕАЭС женщины заблуждения законодательство Интернет Интернет-маньяки Интернет-ресурсы история кадры кибербезопасность кибервойна киберпреступность кибертерроризм классификация книги консолидация кредитные карты кризис криптография культура ИБ лицензирование маркетинг МВД международная ИБ метрики Минкомсвязь МинОбороны мобильные платежи мобильный офис мошенничество наука непрерывность бизнеса НПС облачная безопасность обучение ОДКБ Олимпиада ООН опыт оценка соответствия перлюстрация персональные данные повышение осведомленности поглощения политика ИБ проблемы ИБ-компаний психология Разное риски Роскомнадзор Россия русский язык сканеры безопасности служебная тайна СНГ Совет Безопасности СОРМ спам стандарты стартап статьи стратегия страхование СУБД США таможенный союз тенденции тендер терминальный доступ терминология транспорт троян угрозы управление инцидентами управление потоками УЭК уязвимости ФАИТ философия фишинг ФСБ ФСТЭК хакеры цена безопасности ЦОД ШОС экономика электронное правительство электронные платежи этика ЭЦП Юмор APT BYOD CERT CIP CISO cloud DLP IoT IPS ISACA ISO M2M NBAD NIAC NIST open source PCI DSS resilience RFID SCADA SDLC SDN SIEM SOC Social Media Threat Intelligence Usability UTM VoIP Web Wi-Fi. Design by FThemes Blogger Theme by Lasantha - Premium Blogger Themes Cloud CRM.
Паралимпийские игры 2004
Основные направления биотехнологии
Монеты украины таблица 2016