Upload
andrey-prozorov
View
5.420
Download
2
Embed Size (px)
Citation preview
Несколько слайдов про тенденции #поИБэ
04-2015
Прозоров Андрей, CISM http://80na20.blogspot.ru
ФСТЭК не дремлет До 15 апреля принимали предложения по правкам Приказа №17 (21)
Проекты документов:
• Методика определения угроз безопасности информации в ИС
• Порядок аттестации информационных систем
• Порядок обновления ПО в ИС
• Порядок выявления и устранения уязвимостей в ИС
• Порядок реагирования на инциденты, связанные с нарушением безопасности информации
• Защита информации в ИС при использовании мобильных устройств
• Защита информации в ИС при применении устройств беспроводного доступа
Документы по АСУ ТП:
• Меры защиты информации в автоматизированных системах управления
• Методика определения угроз безопасности информации в автоматизированных системах управления
• Порядок выявления и устранения уязвимостей в автоматизированных системах управления
• Порядок реагирования на инциденты, связанные с нарушение безопасности информации
СТР-К планируют начать обновлять в 2016 году
Не ТУ, а ПЗ
Основная проблема – ГОСТ 15408 обновился в
2014 году
Уже есть требования к: • Системы обнаружения вторжений • Средства антивирусной защиты • Средства доверенной загрузки • Средства контроля съемных носителей информации
Ожидаем
• Средства защиты от несанкционированного вывода (ввода) информации (DLP-системы)
• Средства контроля и анализа защищенности
• Средства ограничения программной среды
• Средства межсетевого экранирования • Средства управления потоками
информации • Средства идентификации и
аутентификации
• Средства управления доступом • Средства разграничения доступа • Средства контроля целостности • Средства очистки памяти А также требования к: • Средствам защиты среды
виртуализации • Базовым системам ввода-вывода • Операционным системам • Система управления азами данных
Импортозамещение – наше все!
• Тема не нова. Есть упоминание в Доктрине ИБ (2000) и Стратегии развития ИТ до 2025 года
• Опасаемся риска санкций (сложности с покупкой, обновлением и тех.поддержкой)
• Опасаемся рисков НДВ • Многие СЗИ можно импортозамещать.
С АО и основным ПО (ОС) сложнее… • Все идет к спискам рекомендованного
ПО (отраслевые и для гос.оранизаций) • Государство готово выделять бюджеты
на долгосрочные программы
Мы хотим CERT !!!
• Доктрину ИБ пересматривают
• Акцент на защиту критически важных объектов (КВО)
• Есть несколько частных CERT, ожидаем в 2015 году запуск FinCERT (ЦБ РФ) и ГосСОПКА (ФСБ России)
• Появилась база угроз и уязвимостей ФСТЭК России - http://bdu.fstec.ru
Все любят ПДн
• 24-ФЗ -> 149-ФЗ + 152-ФЗ • 4-книжие ФСТЭК • 58 приказ ФСТЭК • обновление 152-ФЗ в 2011 • ПП 1119 • 21 приказ ФСТЭК • Давайте повысим штрафы! Да!.. • Обезличивание по РКН • Давайте повысим штрафы! Да!.. • 378 приказ ФСБ • 242-ФЗ • Давайте повысим штрафы! Да!..
Отчет РКН за 2014 год - http://80na20.blogspot.ru/2015/03/2014.html