ФСТЭК регламентирует защиту ГИС и АСУ ТП

На конференции ФСТЭК, которая прошла в рамках выставки «Технологии безопасности 2015», представители Службы рассказали о планах выпуска документов, регламентирующих защиту государственных информационных систем (ГИС) и АСУ ТП на критически важных объектах. Полный комплект документов, дополняющий Приказы №17 и №31, намечено сформировать до конца 2016г.

В 2015 г. ФСТЭК планирует выпустить следующие документы, связанные с ГИС (по данным эксперта сообщества BISA Андрея Прозорова):

• методика определения угроз безопасности информации в ГИС (проект разработан, 1-й приоритет при разработке);
• порядок аттестации ГИС (проект разработан, 2-й приоритет при разработке);
• порядок обновления ПО в ГИС (проект разработан);
• порядок выявления и устранения уязвимостей в ГИС (проект разработан);
• порядок реагирования на инциденты, связанные с нарушением безопасности информации (проект должен быть разработан во II квартале 2015 г.);
• защита информации в ГИС при использовании мобильных устройств (проект разработан);
• защита информации в ГИС при использовании устройств беспроводного доступа (проект разработан).

Аналогичный набор документов решено разработать и для защиты АСУ критически важных объектов. В частности, к 2016 г. планируется создать следующие документы:

• способы защиты информации в АСУ;
• методика определения угроз безопасности информации в АСУ;
• порядок выявления и устранения уязвимостей в АСУ;
• порядок реагирования на инциденты, связанные с нарушением безопасности информации.

Артём Агеев, заместитель генерального директора по информационной безопасности компании «РосИнтеграция», отмечает в своём блоге: «Главная новость, пожалуй, –долгожданная смена парадигмы аттестации. Мы постепенно уходим от периодической проверки требований к обеспечению необходимого уровня ИБ. Новая аттестация должна быть ориентирована на блокировку актуальных угроз, постоянное выявление уязвимостей и разработку процедур поддержания ИБ на заданном уровне. Под эту концепцию создаётся и новая методика разработки модели угроз, а с начала марта запускается web-сайт с описанием угроз и выявленных уязвимостей. Кроме того, ФСТЭК сфокусируется на защите ГИС и АСУ ТП».

Сейчас, по данным Андрея Прозорова, в структуру системы сертификации ФСТЭК включены 9 органов по сертификации (более 100 экспертов), 350 разработчиков и производителей, 42 испытательные лаборатории (свыше 600 специалистов), 425 органов по аттестации (более 10 тыс. специалистов). Прозоров отмечает и изменение системы сертификации: «По сути, сегодня всеми силами стараются уйти от сертификации СЗИ по ТУ. Те СЗИ, для которых разработаны профили защиты (по стандарту ISO 15408), необходимо сертифицировать именно по ним».

Пока профили имеются только для средств обнаружения вторжений, антивирусной защиты, доверенной загрузки и контроля над съемными носителями. Впрочем, к 2016г. ФСТЭК собирается подготовить профили защиты и для следующих средств:

• межсетевого экранирования;
• управления потоками информации;
• идентификации и аутентификации;
• управления доступом;
• защиты от несанкционированного вывода/ввода информации (DLP-систем);
• контроля и анализа защищенности;
• разграничения доступа;
• контроля целостности;
• очистки памяти;
• ограничения программной среды.

Таким образом, к 2016 г. система контроля над средствами защиты ГИС и АСУ ТП критически важных систем будет приведена в соответствие с критериями международного стандарта ISO 15408. Впрочем, как отмечает заместитель начальника Управления ФСТЭК Виталий Лютиков, для того чтобы требования к АСУ ТП критически важных объектов стали обязательными, необходимо ещё и модернизировать законодательную базу.