Архив метки: FSTEC117

На сайте ФСТЭК 12 апреля выложили методический документ "Мероприятия и меры по защите информации, содержащейся в информационных системах"

Добавить комментарий

На сайте ФСТЭК 12 апреля выложили методический документ Мероприятия и меры по защите информации, содержащейся в информационных системах

На сайте ФСТЭК 12 апреля выложили методический документ "Мероприятия и меры по защите информации, содержащейся в информационных системах". Проект этого документа выкладывали в феврале.

Несколько упрощая и перефразируя п. 1.2, документ определяет как нужно защищать информацию (за исключением вопросов, связанных с криптографией):

🔹 в ИС, АСУ и сетях госорганов, ГУП, госучреждений и организаций, включая субъектов КИИ
🔹 в Тех. средствах, ПО и БД, используемых для создания и эксплуатации ГИС и иных ИС госорганов, доступ к которым предоставляется по сети
🔹 в ИТ-инфраструктурах общего назначения, обеспечивающих функционирование указанных ИС, а также обеспечивающих безопасность ЗОКИИ, принадлежащей органам (организациям)

Фактически это детализация 117-го приказа ФСТЭК и замена методического документа ФСТЭК России от 11 февраля 2014 года "Меры защиты информации в государственных информационных системах".

Документ объёмный, 255 страниц (по файлу в формате ods). Я посмотрел, в каких разделах встречается слово "уязвимости" в различных формах (звёздочками условно отметил частоту упоминания):

✳️✳️✳️✳️✳️ 3.3. Управление уязвимостями (КУ)
✳️✳️✳️✳️✳️ ЗКО.8 Выявление и устранение уязвимостей в контейнерной среде
✳️✳️✳️✳️ II. ФАКТОРЫ, ВЛИЯЮЩИЕ НА СОСТОЯНИЕ ЗАЩИТЫ ИНФОРМАЦИИ, СОДЕРЖАЩЕЙСЯ В ИНФОРМАЦИОННЫХ СИСТЕМАХ
✳️✳️✳️ 3.18. Обеспечение защиты информации при использовании искусственного интеллекта (ИИ)
✳️✳️ 3.4. Управление обновлениями (КО)
✳️✳️ 3.12. Обеспечение разработки безопасного программного обеспечения (БР)
✳️✳️ ЗИВ.4 Контроль целостности
✳️ 3.1. Выявление и оценка угроз безопасности информации (ВУ)
✳️ 3.19. Проведение периодического контроля уровня защищенности информации, содержащейся в информационных системах (ПК)
✳️ РСБ.2 Анализ событий безопасности и реагирование на них
✳️ ЗСВ.1 Доверенная загрузка средств виртуализации и виртуальных машин
✳️ ЗКО.2 Регистрация событий безопасности в контейнерных средах
✳️ ЗБД.3 Защита пользовательских данных
✳️ ЗБД.4 Контроль целостности

Ниже привожу полную структуру документа.
Читать далее

На сайте ФСТЭК 12 марта вышло информационное сообщение с разъяснениями по 117 приказу

1 комментарий

На сайте ФСТЭК 12 марта вышло информационное сообщение с разъяснениями по 117 приказу

На сайте ФСТЭК 12 марта вышло информационное сообщение с разъяснениями по 117 приказу. Прочитал и сделал выжимку:

📅 Новые требования к защите информации (ЗИ) в ГИС и иных системах госорганов, ГУПов и учреждений (приказ ФСТЭК России №117 от 11.04.2025) действуют с 1 марта 2026 года.

🛡 Требования определяют процессы и меры ЗИ для организаций, систем и инфраструктуры.

📑 В первую очередь необходимо утвердить политику, внутренние стандарты и регламенты по ЗИ.

🖥 Новые системы после 1.03.2026 создаются по новым требованиям; до утверждения новых "Мер и мероприятий" - по "Меры защиты информации в ГИС" (ФСТЭК, 11.02.2014).

🔧 Действующие системы приводятся к новым требованиям; после модернизации проводятся доп. аттестационные испытания (приказ №77) и переоформление аттестата соответствия новым требованиям.

📜 Договоры до 1.03.2026 выполняются по прежним требованиям (приказ №17).

💡 Рекомендуется разработать план поэтапного перехода с мероприятиями и сроками.

Вчера ФСТЭК выложили в открытый доступ проект документа "Мероприятия и меры по защите информации, содержащейся в информационных системах"

2 комментария

Вчера ФСТЭК выложили в открытый доступ проект документа Мероприятия и меры по защите информации, содержащейся в информационных системах

Вчера ФСТЭК выложили в открытый доступ проект документа "Мероприятия и меры по защите информации, содержащейся в информационных системах". ФСТЭК предлагает "специалистам в области защиты информации заинтересованных государственных органов власти и организаций" рассмотреть документ и направить предложения по установленной форме на otd22@fstec.ru до 19 февраля.

❗️ Согласно пункту 1.3, "методический документ детализирует мероприятия (процессы)" по защите информации (ЗИ) и "определяет содержание мер" по ЗИ в соответствии с требованиями из 117-го приказа ФСТЭК.

Документ объёмный, 185 страниц.

Структура документа:

1️⃣ Общие положения
2️⃣ Факторы, влияющие на ЗИ
3️⃣ Мероприятия по ЗИ (45 страниц) -❗️ Среди них 3.3. Управление Уязвимостями (рассмотрю содержание подробно в последующих постах)
4️⃣ Меры по ЗИ (129 страниц)

Слово "уязвимость" в различных формах встречается по тексту 104 раза в разных частях документа. 🕵️‍♂️ Будет что пообсуждать. 😉😇

Завершая тему компрометации F5, стоит отметить, что подобные атаки неизбежно будут проводиться и против отечественных IT/ИБ вендоров

Добавить комментарий

Завершая тему компрометации F5, стоит отметить, что подобные атаки неизбежно будут проводиться и против отечественных IT/ИБ вендоров

Завершая тему компрометации F5, стоит отметить, что подобные атаки неизбежно будут проводиться и против отечественных IT/ИБ вендоров. У них также могут слить незакрытые задачи на устранение уязвимостей и исходный код, что приведёт к массовой эксплуатации 0day уязвимостей. 😱 Как снизить такие риски? 🙂

Имхо, государству стоит определить вендоров, наиболее интересных злоумышленникам - прежде всего разработчиков решений, доступных из Интернет: систем удалённого доступа, CMS, CRM, e-learning, почты, мессенджеров и т.п.

Помимо повышенных требований к этим "периметровым" продуктам (отсутствие НДВ), необходимо ужесточить требования к вендорам:

🔻 Их инфраструктура должна соответствовать современным требованиям ИБ (хотя бы в объёме 117 приказа ФСТЭК).
🔻 Они обязаны отвечать за уязвимости и их сокрытие, а данные об уязвимостях должны быть доступны для изучения.
🔻 Их продукты должны быть выставлены на багбаунти.

Кто не тянет - тем не место в "импортозамещательных" реестрах. 😉

Требования к мероприятиям по Управлению Уязвимостями согласно новому приказу ФСТЭК №117

2 комментария

Требования к мероприятиям по Управлению Уязвимостями согласно новому приказу ФСТЭК №117

Требования к мероприятиям по Управлению Уязвимостями согласно новому приказу ФСТЭК №117. Приказ устанавливает требования о защите информации, содержащейся в ГИС, иных информационных системах государственных органов, государственных унитарных предприятий, государственных учреждений. Приказ опубликован 17.06.2025, вступает в силу с 01.03.2026. Он заменяет приказ ФСТЭК №17.

Требования к Управлению Уязвимостями раскрыты в пункте 38. Они устанавливают:

🔹 Общую структуру процесса: выявление, оценка, приоритизация, контроль устранения.

🔹 Сроки устранения уязвимостей критического и высокого уровня или исключение возможности их эксплуатации компенсирующими мерами. 24 часа и 7 дней соответственно. Для остальных уязвимостей сроки определяются внутренним регламентом.

🔹 Необходимость сообщать о выявлении уязвимостей, отсутствующих в БДУ ФСТЭК, в течение 5 рабочих дней.

Как видим, требования более чем облегчённые. Особенно если сравнивать с ранними драфтами. 😉