Несколько слайдов про тенденции #поИБэ

04-2015

Прозоров Андрей, CISM http://80na20.blogspot.ru

ФСТЭК не дремлет До 15 апреля принимали предложения по правкам Приказа №17 (21)

Проекты документов:

• Методика определения угроз безопасности информации в ИС

• Порядок аттестации информационных систем

• Порядок обновления ПО в ИС

• Порядок выявления и устранения уязвимостей в ИС

• Порядок реагирования на инциденты, связанные с нарушением безопасности информации

• Защита информации в ИС при использовании мобильных устройств

• Защита информации в ИС при применении устройств беспроводного доступа

Документы по АСУ ТП:

• Меры защиты информации в автоматизированных системах управления

• Методика определения угроз безопасности информации в автоматизированных системах управления

• Порядок выявления и устранения уязвимостей в автоматизированных системах управления

• Порядок реагирования на инциденты, связанные с нарушение безопасности информации

СТР-К планируют начать обновлять в 2016 году

Не ТУ, а ПЗ

Основная проблема – ГОСТ 15408 обновился в

2014 году

Уже есть требования к: • Системы обнаружения вторжений • Средства антивирусной защиты • Средства доверенной загрузки • Средства контроля съемных носителей информации

Ожидаем

• Средства защиты от несанкционированного вывода (ввода) информации (DLP-системы)

• Средства контроля и анализа защищенности

• Средства ограничения программной среды

• Средства межсетевого экранирования • Средства управления потоками

информации • Средства идентификации и

аутентификации

• Средства управления доступом • Средства разграничения доступа • Средства контроля целостности • Средства очистки памяти А также требования к: • Средствам защиты среды

виртуализации • Базовым системам ввода-вывода • Операционным системам • Система управления азами данных

СТО и РС (банки)

Импортозамещение – наше все!

• Тема не нова. Есть упоминание в Доктрине ИБ (2000) и Стратегии развития ИТ до 2025 года

• Опасаемся риска санкций (сложности с покупкой, обновлением и тех.поддержкой)

• Опасаемся рисков НДВ • Многие СЗИ можно импортозамещать.

С АО и основным ПО (ОС) сложнее… • Все идет к спискам рекомендованного

ПО (отраслевые и для гос.оранизаций) • Государство готово выделять бюджеты

на долгосрочные программы

Мы хотим CERT !!!

• Доктрину ИБ пересматривают

• Акцент на защиту критически важных объектов (КВО)

• Есть несколько частных CERT, ожидаем в 2015 году запуск FinCERT (ЦБ РФ) и ГосСОПКА (ФСБ России)

• Появилась база угроз и уязвимостей ФСТЭК России - http://bdu.fstec.ru

Все любят ПДн

• 24-ФЗ -> 149-ФЗ + 152-ФЗ • 4-книжие ФСТЭК • 58 приказ ФСТЭК • обновление 152-ФЗ в 2011 • ПП 1119 • 21 приказ ФСТЭК • Давайте повысим штрафы! Да!.. • Обезличивание по РКН • Давайте повысим штрафы! Да!.. • 378 приказ ФСБ • 242-ФЗ • Давайте повысим штрафы! Да!..

Отчет РКН за 2014 год - http://80na20.blogspot.ru/2015/03/2014.html

Что будет дальше с ИБ в РФ? Узнаем…