Обзор изменений в законодательстве за октябрь 2015

Дата: 09.11.2015
Автор: Юлия Добровольская, ведущий аналитик

Анонс новых документов

За прошедший месяц различными источниками в СМИ было анонсировано несколько новых документов в сфере ИБ, которые готовятся к опубликованию. Так, в 2016 году ожидается принятие новой «Доктрины информационной безопасности», определяющей пять типов угроз национальной безопасности в информационной среде, включая:

  • действия других стран, направленные на проведение кибершпионских и диверсионных операций против органов власти и инфраструктурных предприятий РФ;
  • использование информационно-коммуникационных технологий зарубежными спецслужбами для дестабилизации внутриполитической ситуации в РФ;
  • рост темпов киберпреступности в банковской и финансовой сфере и нарушение злоумышленниками права граждан РФ на частную жизнь;
  • научно-техническое отставание России в сфере ИТ и связанная с этим зависимость страны от экспорта технологий, что влечет за собой возникновение рисков в области технического обеспечения и бесперебойности работы инфраструктур;
  • стремление отдельных государств использовать для достижения экономического и геополитического преимущества технологическое доминирование в глобальном информационном пространстве.

Кроме того, стало известно о завершении работы ФСТЭК России над национальным стандартом по безопасной разработке программного обеспечения для средств защиты информации, принятие которого ожидается в начале следующего года. Данный стандарт будет носить рекомендательный характер, однако в последствие он может быть внедрен и для обязательного применения.

Единая система ЦОДов

7 октября правительством РФ была утверждена Концепция перевода обработки и хранения государственных информационных ресурсов в систему федеральных и региональных центров обработки данных. Данная концепция указывает на необходимость организации системы центров обработки данных, управляемую одним оператором, для централизации информационно- телекоммуникационной инфраструктуры информационных систем органов власти. При этом основным подходом к реализации системы центров обработки данных является использование «облачных» технологий.

Концепция содержит ключевые требования к системе центров обработки данных и ее объектам, включая обеспечение резервирования каналов связи и катастрофоустойчивости решений, используемых при создании системы, требования к надежности и обеспечению защиты информации. В частности, защита информации в системе центров обработки данных предусматривает:

  • своевременное выявление угроз безопасности информации и уязвимостей;
  • реализацию необходимых мер и средств защиты информации;
  • обеспечение подключения к государственной системе обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ;
  • реализацию мероприятий по периодическому внутреннему и внешнему контролю состояния обеспечения информационной безопасности.

В соответствии с Концепцией переход на использование системы центров обработки данных должен осуществляться поэтапно в соответствии с планом мероприятий на период с 2015 по 2021 год, приведенном в приложении к Концепции. Однако реализация положений Концепций вызывает большое количество вопросов, главным образом связанных с отсутствием национальных стандартов в области обеспечения ИБ при использовании «облачных» технологий.

Новая версия стандарта оценки уязвимостей CVSS

Еще в июне 2015 года рабочей группой Common Vulnerability Scoring System-Special Interest Group была опубликована новая версия стандарта Common Vulnerability Scoring System, используемого для оценки существующих уязвимостей в информационных системах на основании различных критериев и метрик.

Новая версия стандарта направлена на расширение числа факторов, которые могут быть учтены при оценке уязвимостей. Теперь с использованием CVSS v3 стало возможным оценивать цепочки уязвимостей и учитывать случаи, когда уязвимый и атакуемый компоненты не совпадают. Кроме того, в новой версии стандарта вводятся дополнительные метрики и вносятся корректировки в существующие.

На сайте проекта Forum of Incident Response and Security Teams (FIRST) доступна подробная спецификация CVSS v3рекомендации по использованию новой версии стандарты, а также калькулятор и примеры расчетов метрик по методике CVSS v3.