понедельник, 23 января 2017 г.

Слово "четыре" заменить словом "три": проект изменений в 17 Приказе




Опубликован проект изменений, которые планируется внести в 17 Приказ ФСТЭК. 

Коротко пройдусь по основным пунктам.

1) Как и ожидалось, от 4 класса защищенности собираются отказаться. Останутся 3 класса. Состав защитных мер при этом не меняется.

 
2) Теперь официально при разработке модели угроз должен использоваться банк данных угроз ФСТЭК (bdu.fstec.ru). Прощай, полюбившийся многим копи-паст из Базовой модели угроз 2008 года. Правда необходимой методики для использования банка угроз нет. Придется его адаптировать под старую методику.


3) Для 1 и 2 классов защищенности ГИС теперь должны будут проводиться пентесты!
 


4) В явном виде прописана возможность размещения систем в аттестованных ЦОДах.

 

5) Теперь интеграторам в проектах по аттестации потребуется как минимум два человека ;) 


Вот такие изменения ждут нас в ближайшее время. Самое интересное, на мой взгляд - появление пентестов. С одной стороны, сдвиг требований регулятора в сторону практической безопасности можно только приветствовать. С другой стороны, аттестация и пентест, мягко говоря, немного отличаются. Аттестация сейчас (к сожалению) частенько представляет собой формальное копирование шаблонных документов, с единственной целью - получение заветного аттестата. Пентест - совсем другой уровень, требующий совсем иных трудозатрат и компетенций. Хватит ли компаниям, специализирующимся на аттестации, ресурсов для проведения пентестов? И не превратится ли пентест, вслед за аттестацией, в формальность? Поживем-увидим. В любом случае рынок аттестации немного встряхнется.