Обзор изменений в законодательстве за июль 2013

Дата: 21.08.2013

ФСТЭК России дает пояснения по новым приказам

15 июля на сайте ФСТЭК России было опубликовано информационное сообщение, отвечающее на часть вопросов по защите информации и обеспечению безопасности ПДн при их обработке в информационных системах, возникших в связи с изданием приказов № 17 и № 21.

 

 
Надо ли переаттестовывать ИС, если они проходили аттестацию до вступления упомянутых новых приказов в силу?
Аттестованные по требованиям защиты информации до вступления в действие требований, утвержденных приказом ФСТЭК России N 17 и N 21, повторной аттестации (оценке эффективности) в связи с изданием указанных нормативных правовых актов не подлежат.

 

 

Как определить класс защищенности государственной информационной системы, если в ней обрабатываются персональные данные? Как соотнести класс защищенности ГИС и уровень защищенности ИСПДн?
При обработке ПДн в ГИС необходимо определять и уровень защищенности ПДН и класс за9щищенности ИС. При этом, если уровень защищенности персональных данных выше, чем установленный класс защищенности государственной информационной системы, то осуществляется повышение класса защищенности.

 

 

Что такое "оценка эффективности принимаемых мер по обеспечению безопасности персональных данных"? В какой форме она может проводиться коммерческими и государственными/муниципальными операторами ПДн?
Решение по форме оценки эффективности принимаемых мер по обеспечению безопасности ПДн и документов, разрабатываемых по результатам (в процессе) оценки эффективности, принимается оператором самостоятельно. Однако при обработке ПДн в ГИС оценка эффективности должна проводится в рамках обязательной аттестации по требованиям защиты информации в соответствии национальными стандартами ГОСТ РО 0043-003-2012 и ГОСТ РО 0043-004-2013 «Защита информации. Аттестация объектов информатизации. Программа и методики аттестационных испытаний».

 

 

Подпадают ли муниципальные образования под требования приказа № 17-й?
Приказ N 17 распространяется на муниципальные информационные системы.

 

 

Продолжает ли действовать СТР-К?
Приказ №17 не отменяет действие СТР-К

 

 

Как соотносятся старое понятие «автоматизированная система» и новое «информационная система»?
Использование понятий «информационная система» и «автоматизированная система» признается равнозначным.

 

 

Если в сертификате на средство защиты не указана сертификация на отсутствие НДВ, можно ли считать, что это СрЗИ проходило оценку соответствия на отсутствие НДВ?
При использовании сертифицированных СрЗИ для защиты информации в ГИС или обеспечения безопасности ПДн, соответствие уровню контроля отсутствия недекларированных возможностей должно указываться в сертификатах соответствия требованиям по безопасности информации на эти СрЗИ.

 

  • Как регламентируется применение тестов на проникновение и SDLC, прописанных в качестве мер нейтрализации актуальных угроз 1-го и 2-го типа?**
    Проведение тестирования ИС на проникновения и использованием в ИС системного и (или) прикладного ПО осуществляется по решению оператора.

 

Что еще готовит ФСТЭК в дополнение к 17-му и 21-му приказам?
Согласно сообщению в настоящее время в ФСТЭК России завершается разработка методических документов по описанию содержания мер защиты информации в информационных системах и порядку моделирования угроз безопасности информации в информационных системах, утверждение которых ожидается в 4 квартале 2013 года. Кроме того, в документе говорится о работе ФСТЭК России над рекомендациями в вопросах управления уязвимостями, реагирования на инциденты, обновления сертифицированных средств защиты информации и т. п.
 

 

Жаркий июль у NIST

 

В июле NIST опубликовал сразу три интересных документа:
 
— рекомендации по противодействию внедрению вредоносных программ— NIST SP 800-83 revision 1, Guide to Malware Incident Prevention and Handling for Desktops and Laptops;

 

— руководство по управлению обновлениями безопасности — NIST SP 800-40 revision 3, Guide to enterprise Patch Management Technologies;

— спецификации по биометрической идентификации при использовании персональных идентификационных карт, предназначенных для верификации личности их владельцев (PIV-карты) — NIST SP 800-76-2 Biometric Specifications for Personal Identity Verification.

В рекомендациях по противодействию вредоносным программам приводится классификация вредоносных программ и определяются меры по защите персональных компьютеров и ноутбуков от угроз их внедрения. Рекомендации направлены на снижение рисков, связанных с внедрением вредоносных программ, и могут быть использованы при оценке угроз.

Руководство по управлению обновлениями безопасности включает обзор базовых технологий, направленных на своевременную обнаружение и установку актуальных обновлений. Кроме того, в документе рассматриваются проблемы реализации процесса управления обновлениями безопасности, в том числе связанные с возможными конфликтами автоматических обновлений. Детальное описание процесса управления обновлениями безопасности приведено в предыдущей версии документа 2005 года — NIST SP 800-40 Version 2, Creating a Patch and Vulnerability Management Program.

В спецификациях по биометрической аутентификации рассматриваются различные форматы хранения данных, технические характеристики биометрических сенсоров, а также различные варианты параметров безопасности, используемых для биометрической аутентификации в персональных идентификационных картах, предназначенных для верификации личности их владельцев. В качестве одного из самых быстрых способов аутентификации указывается аутентификация по радужной оболочке глаза.