Новости

Итоги VI конференции «Актуальные вопросы защиты информации»

29.02.2016
Итоги VI конференции «Актуальные вопросы защиты информации»
11 февраля 2016 года в рамках Международного форума «Технологии безопасности 2016» в г. Москве состоялась VI конференция «Актуальные вопросы защиты информации», организатором которой выступила ФСТЭК России.

В конференции принимали участие представители ФСТЭК России, ФСБ России, ФСО России, Минкомсвязи России, Минобороны России, СВР России, а также руководители отделов защиты информации и департаментов информационной безопасности предприятий различных отраслей российской экономики.

Большое внимание на конференции было уделено особенностям нормативной базы по сертификации, лицензированию и аккредитации, рассматривались основные тенденции российского рынка в сфере информационной безопасности.

В рамках конференции обсуждались следующие вопросы:
  • Угрозы безопасности информации и подходы к их моделированию.
  • Подходы к совершенствованию работ по сертификации средств защиты информации на соответствие требованиям безопасности информации.
  • Новые правила аккредитации органов по сертификации и испытательных лабораторий в сфере деятельности ФСТЭК России.
  • Лицензирование деятельности по технической защите конфиденциальной информации.
  • Новые методы и средства защиты информации.

Представители ФСТЭК России рассказали о перечне изменений, вносимых в приказ № 17 от 11 февраля 2013 г. «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах». Изменения касаются определения угроз безопасности информации (данный пункт теперь необходимо выполнять на стадии разработки системы защиты), классификации защищенности информационной системы и состава мер защиты информации — добавляется 9 групп мер:

  • Управление потоками информации;
  • Защита информации при использовании мобильных устройств;
  • Безопасная разработка программного обеспечения;
  • Управление обновлениями программного обеспечения;
  • Планирование мероприятий по обеспечению защиты информации;
  • Информирование и обучение персонала;
  • Анализ угроз безопасности информации и рисков от их реализации;
  • Выявление инцидентов и реагирование на них;
  • Управление конфигурацией информационной системы и ее системы защиты информации.

Кроме того, в новую редакцию приказа будут добавлены пять новых документов, определяющих правила и процедуры защиты информации.

Были перечислены требования к средствам защиты информации, разработанные ведомством и планируемые к утверждению в 2016-2017 годах, а также новые документы национальной системы стандартизации об уязвимостях информационных систем (ГОСТ Р 56546-2015: «Защита информации. Уязвимости информационных систем. Классификация уязвимостей информационных систем» и ГОСТ Р 56545-2015: «Защита информации. Уязвимости информационных систем. Правила описания уязвимостей»).

Отдельное выступление было посвящено банку данных угроз безопасности информации и базе данных уязвимостей, которые ведет ФСТЭК России. Планируется расширение функциональных возможностей (выгрузка записей об уязвимостях и угрозах в соответствии с пользовательской выборкой, подписка на обновления, модуль статистики, раздел по небезопасным конструкциям кода), совершенствование системы фильтров уязвимостей, введение классификации угроз, расширение описания уязвимостей и угроз. Так, в паспорт уязвимости планируется добавить следующие поля: дата устранения уязвимости, CVSS 3.0, описание на языке OVAL, способ нейтрализации уязвимости.

В презентации «Банк данных угроз безопасности информации и уязвимостей» были указаны перспективы развития классификации угроз по следующим критериям: