Итого, ФСТЭК сейчас создает/разрабатывает (из публично озвученного на конференции в день Трифона-Мышегона):
1️⃣ Требования по обеспечению защищенности государственных информационных систем и значимых объектов критической информационной инфраструктуры Российской Федерации от несанкционированных воздействий типа «отказ в обслуживании»
2️⃣ Типовая программа и методики аттестационных испытаний
3️⃣ Методика анализа уязвимостей
4️⃣ Методика тестирования функций безопасности
5️⃣ Методика испытания системы защиты информации с использованием средств тестирования
6️⃣ Методика тестирования производительности NGFW
7️⃣ Центр компетенций по тестированию производительности, устойчивости функционирования и функциональных возможностей МЭ и иных сетевых устройств
8️⃣ Полигон для тестирования СрЗИ путем эмуляции действий нарушителей
9️⃣ Центр исследований в области обеспечения информационной безопасности при использовании технологий искусственного интеллекта
1️⃣0️⃣ Методика выявления уязвимостей и НДВ в ПО
1️⃣1️⃣ 5 ГОСТов по безопасной разработке, из которых парочка уже принята, но на слайдах не было отражено (руководство по оценке безопасности разработки, руководство по проведению статического анализа, руководство по разработке безопасного ПО, доверенный компилятор C/C++ и управление безопасностью ПО при использовании заимствованных и привлеченных компонентов)
1️⃣2️⃣ Показатель (и методика его определения) состояния защиты информации и обеспечения безопасности объектов КИИ в ОГВ и(или) организации
1️⃣3️⃣ Показатель (и методика его определения) зрелости деятельности ОГВ и организаций по защите информации и обеспечению безопасности объектов КИИ
1️⃣4️⃣ Требования о защите информации, содержащейся в государственных и иных информационных системах, обладателями которых являются РФ, субъект РФ, муниципальное образование

​​📖 ГОСТ | Системы с конструктивной информационной безопасностью

Технический комитет по стандартизации «Защита информации» (ТК 362) приступил к рассмотрению проекта национального стандарта «Защита информации. Системы с конструктивной информационной безопасностью. Методология разработки».

ВЕБИНАР: «О технических мерах защиты ПДн простыми словами»

Основные темы вебинара:
🔵 Что на самом деле обязан выполнить оператор ПДн?
🔵 Что такое технические меры защиты ПДн? Как их выполнить?
🔵 Требования к составу мер защиты ПДн от Правительства РФ, ФСТЭК и ФСБ.
🔵 Как подтвердить, что требования выполняются?

Спикер с опытом работы в органах власти, аттестации и в лицензиате ФСТЭК/ФСБ.

📆 Вебинар состоится 29 февраля в 11.00 по МСК.

⚠️ Участие бесплатное, но необходима предварительная регистрация.

🗝 Бонусы для зарегистрированных участников:
+ запись и презентация вебинара;
+ чек-лист «Как выполнить требования ФЗ-152»;
+ гайд: всё о проверках Роскомнадзора, ФСТЭК, ФСБ.

✅ ЗАРЕГИСТРИРОВАТЬСЯ

Требования к "облачной" электронной подписи

8 Центр ФСБ России сообщает, что требования к средствам "облачной" (удаленной, дистанционной) электронной подписи планируется утвердить во втором полугодии 2024 года.

Нормативные правовые акты, устанавливающие обязательные требования, вступают в силу с 1 марта или с 1 сентября соответствующего года, но не ранее чем по истечении девяноста дней после дня официального опубликования соответствующего нормативного правового акта. Получаем, если требования должны вступить в силу с 1 сентября текущего года, то утвердить их должны до 1 июня (а до этого должна пройти процедура общественного обсуждения и регистрация в Минюсте), если этого не произойдет, то следующей датой вступления в силу является 01.03.2025.

Приказ ФСБ России «Об утверждении требований к средствам электронной подписи и средствам удостоверяющего центра, применяемым для реализации функций, предусмотренных частью 2.2 статьи 15 Федерального закона «Об электронной подписи» является единственным документом, который из перечня нормативных правовых актов для реализации норм Федерального закона 476-ФЗ ещё не принят. В мае 2022 года проект данного приказа направлялся на согласование в государственные органы.

🚀Об ЭП и УЦ

​​📖 Проекты ГОСТов от ТК 362

Технический комитет по стандартизации «Защита информации» (ТК 362) приступил к рассмотрению следующих проектов национальных стандартов:

• ГОСТ Р «Защита информации. Защита информации от утечки из программной среды информационных и автоматизированных систем. Общие положения».

• ГОСТ Р «Защита информации. Идентификация и аутентификация. Уровни доверия аутентификации».

​​📁 Традиционная справка-доклад о ходе работ по плану ТК 362 (по состоянию на 27.02.2024).

​​ ➡️ Порядок представления субъектами КИИ из сферы транспорта сведений об объектах КИИ

ФСТЭК России информирует о порядке представления субъектами КИИ, осуществляющими деятельность в сфере транспорта, перечней объектов КИИ, подлежащих категорированию, а также сведений о присвоении объектам КИИ одной из категорий значимости либо неприсвоения им одной из таких категорий.

Источник: Информационное сообщение ФСТЭК России от 06.03.2024 № 240/82/580 «О порядке представления субъектами критической информационной инфраструктуры сведений о результатах присвоения объектам критический информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий».

​​💰 Субсидии на создание и развитие ГИС

Официально опубликовано постановление Правительства Российской Федерации от 20.03.2024 № 335
«О порядке предоставления предусмотренных федеральным законом о федеральном бюджете субсидий на осуществление капитальных вложений в создание и развитие государственных информационных систем».

​​ ⚡️ Изменения в 187-ФЗ | импортозамещение ЗОКИИ и категорирование

В ГосДуму внесен законопроект «О внесении изменений в Федеральный закон «О безопасности критической информационной инфраструктуры Российской Федерации», касающиеся уже осуществляемых мероприятий по импортозамещению на ЗОКИИ, категорирования с учетом типовых отраслевых перечней ОКИИ, а также необходимости разработки отраслевых методических документов по категорированию.

🛡 Стандарт Банка России по обеспечению безопасности финансовых сервисов при удаленном подтверждении личности клиента

Представлен стандарт Банка России СТО БР БФБО-1.8-2024 «Безопасность финансовых (банковских) операций. Обеспечение безопасности финансовых сервисов при проведении дистанционной идентификации и аутентификации. Состав мер защиты информации».


Документ носит рекомендательный характер и вступит в силу 01.07.2024.

​​🔒 Технические средства противодействия угрозам

Официально опубликован приказ Роскомнадзора от 19.02.2024 № 25 «Об утверждении технических условий установки технических средств противодействия угрозам, а также требований к сетям связи при использовании технических средств противодействия угрозам», отменяющий ранее действующий на эту тему приказ Роскомнадзора от 31.07.2019 № 228 «Об утверждении технических условий установки технических средств противодействия угрозам, а также требований к сетям связи при использовании технических средств противодействия угрозам».

⚡️Банк России опубликовал Методические рекомендации 7-МР от 21 марта 2024 года.

➡️Согласно документу кредитным организациям (КО) и некредитным финансовым организациям (НФО) следует унифицировать подходы к управлению риском информационной безопасности и обеспечению непрерывности оказания финансовых услуг за счет обеспечения требований новых стандартов серии «57580.хх»:

• ГОСТ Р 57580.3-2022 «Безопасность финансовых (банковских) операций. Управление риском реализации информационных угроз и обеспечение операционной надежности. Общие положения».

• ГОСТ Р 57580.4-2022 «Безопасность финансовых (банковских) операций. Обеспечение операционной надежности. Базовый состав организационных и технических мер».

➡️В 7-МР в части управления риском информационной безопасности рекомендуется:

1. Банкам с размерами активов более 500 млрд. рублей и банкам с универсальной лицензией и активами менее 500 млрд. рублей обеспечить реализацию усиленного уровня защиты согласно ГОСТ Р 57580.3

2. Остальным КО обеспечить реализацию стандартного уровня защиты согласно ГОСТ Р 57580.3.


➡️В 7-МР в части обеспечения операционной надежности рекомендуется:

1. Банкам с размерами активов более 500 млрд. рублей обеспечить реализацию усиленного уровня защиты согласно ГОСТ Р 57580.4.

2. Остальным КО обеспечить реализацию стандартного уровня защиты согласно ГОСТ Р 57580.4.

3. НФО, указанным в п.1.4.2 757-П, в числе которых:
• центральные контрагенты;
• центральный депозитарий;
• регистраторы финансовых транзакций

обеспечить реализацию усиленного уровня защиты согласно ГОСТ Р 57580.4.


4. НФО, указанным в п.1.4.3 757-П, в т.ч.:
• специализированным депозитариям инвестиционных фондов, паевых инвестиционных фондов и негосударственных пенсионных фондов (НПФ);
• клиринговым организациям;
• организаторам торговли;
• страховым организациям;
• НПФ;
• операторам инвестиционной платформы;
• операторам финансовой платформы

обеспечить реализацию стандартного уровня защиты согласно ГОСТ Р 57580.4.


5. НФО, указанным в п.1.4.4 757-П, в т.ч.:
• управляющим компаниям инвестиционных фондов, паевых инвестиционных фондов и НПФ;
• форекс-дилерам;
• операторам информационных систем, в которых осуществляется выпуск цифровых финансовых активов;
• операторам обмена цифровых финансовых активов;
• обществам взаимного страхования;
• страховым брокерам

обеспечить реализацию минимального уровня защиты согласно ГОСТ Р 57580.4.


➡️Кроме того, в 7-МР приведены следующие рекомендации:

✅КО — разработать планы внедрения ГОСТ Р 57580.3; КО и НФО — разработать планы внедрения ГОСТ Р 57580.4.

✅Банкам с размерами активов более 500 млрд. рублей — осуществить внедрение ГОСТ Р 57580.3 и ГОСТ Р 57580.4 до 31.12.2025 года.

✅Остальным кредитным организациям — осуществить внедрение ГОСТ Р 57580.3 и ГОСТ Р 57580.4 до 31.12.2026 года.

✅НФО из пунктов 1.4.2 и 1.4.3 757-П — осуществить внедрение ГОСТ Р 57580.4 до 31.12.2026 года.

✅НФО из пункта 1.4.4 757-П — осуществить внедрение ГОСТ Р 57580.4 до 31.12.2027 года.


➡️Ознакомиться с документом


💬tg_AC

​​📖 Проекты ГОСТов от ТК 362

Технический комитет по стандартизации «Защита информации» (ТК 362) приступил к рассмотрению следующих проектов национальных стандартов:

• ГОСТ Р «Защита информации. Идентификация и аутентификация. Типовые угрозы и уязвимости процессов идентификации и аутентификации».

• ГОСТ Р «Защита информации. Идентификация и аутентификация. Рекомендации по управлению идентификацией и аутентификацией».

• ГОСТ Р «Защита информации. Формальная модель управления доступом. Часть 3. Рекомендации по разработке».

• ГОСТ Р «Защита информации. Формальная модель управления доступом. Часть 4. Рекомендации по верификации средства защиты информации, реализующего политики управления доступом, на основе формализованных описаний модели управления доступом».

​​📖 Сведения о принятых национальных и международных стандартах за 1 квартал 2024 года

ФСТЭК России опубликовала Сведения о принятых национальных и международных стандартах за 1 квартал 2024 года.

​​🏛 Эксперимент по повышению уровня защищенности ГИС продолжается

Официально опубликовано постановление Правительства Российской Федерации от 18.03.2024 № 323
«О внесении изменения в постановление Правительства Российской Федерации от 13 мая 2022 г. № 860», продлевающее эксперимент по повышению уровня защищенности ГИС, который должен был завершиться сегодня (30.03.2024), до 31.12.2024.

​​ ⚙ ГОСТы по разработке безопасного ПО

Данные ГОСТы сегодня вводятся в действие.
Кстати, ознакомиться с официальными текстами можно здесь:

— ГОСТ Р 71206-2024 «Защита информации. Разработка безопасного программного обеспечения. Безопасный компилятор языков С/С++. Общие требования».

— ГОСТ Р 71207-2024 «Защита информации. Разработка безопасного программного обеспечения. Статический анализ программного обеспечения. Общие требования».