Новости

О нововведениях в сфере защиты данных

25.08.2016

«БАРС Груп» является одним из провайдеров информатизации российского общества, на счету компании множество успешно выполненных проектов в различных сферах деятельности. Одним из факторов, сдерживающих темпы развития информатизации, является возрастающее число угроз, в связи с чем приоритетное значение при разработке информационных систем имеют вопросы защиты данных.  

Обеспечение информационной безопасности при реализации проектов, направленных на обработку государственных электронных ресурсов, должно носить комплексный характер. Такая работа должна базироваться на требованиях и рекомендациях, изложенных в нормативно-правовых документах по защите информации. Методические документы, приказы регуляторов подлежат регулярному пересмотру на соответствие вызовам, с которыми приходится сталкиваться в информационном пространстве. Необходимость обновления документации назрела давно, и регуляторы работают над её актуализацией: создаются профильные экспертные группы, проводятся публичные обсуждения проектов документов.

Так, ФСТЭК России готовит к публикации новую редакцию Приказа №17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах». Проект новой редакции уже готов, и вот какие изменения планируются:

1. Перенос определения угроз безопасности данных со стадии «Формирование требований к защите информации, содержащейся в информационной системе» на стадию «Разработка системы защиты информации информационной системы». 
2. Добавление пяти новых документов, определяющих правила и процедуры политики защиты информации.
3. Ввод трехуровневой классификации средств криптографической защиты информации (СКЗИ) и защищенности информационной системы (где третий – самый низкий, первый – наиболее высокий).
4. Установление требования, согласно которому в информационных системах всех классов должны применяться средства защиты информации, программное обеспечение которых соответствует минимум четвёртому уровню контроля отсутствия недекларированных возможностей (в текущей версии приказа данное требование предъявляется к информационным системам первого и второго классов защищённости).
5. Увеличение состава мер защиты информации на девять новых блоков:
o «Управление потоками информации»;
o «Защита информации при использовании мобильных устройств»;
o «Безопасная разработка программного обеспечения»;
o «Управление обновлениями программного обеспечения»;
o «Планирование мероприятий по обеспечению защиты информации»;
o «Информирование и обучение персонала»;
o «Анализ угроз безопасности информации и рисков от их реализации»;
o «Выявление инцидентов и реагирование на них»;
o «Управление конфигурацией информационной системы и её системы защиты информации».

Эти изменения направлены на противодействие актуальным угрозам, а также на гармонизацию приказа №17 с принятыми ранее руководящими документами и нормативно-правовыми актами

В свою очередь, ФСБ России разместила на своем сайте актуальные нормативно-методические документы в области обеспечения безопасности персональных данных. Также служба опубликовала извещение по вопросу использования несертифицированных средств кодирования (шифрования) при передаче сообщений в информационно-телекоммуникационной сети «Интернет» (информация представлена на официальном сайте ведомства). Оно вносит ясность относительно использования средств шифрования при передаче электронных сообщений в Интернете. Стоит отметить, что применение несертифицированных решений возможно далеко не во всех системах: рядом нормативно-правовых актов, в целях безопасности информации, предписывается обязательное использование сертифицированных решений.

Например, в Приказе ФСБ № 378 от 10 июля 2014 года указано, что используемые средства защиты информации должны предварительно проходить процедуру оценки на соответствие требованиям законодательства Российской Федерации в области обеспечения безопасности информации. Подтверждение классов СКЗИ осуществляется через процедуру сертификации. 

Как видим, регуляторы ведут колоссальную работу, направленную на обеспечение комплексной защиты информации. Следующий шаг – за лицензиатами и операторами, которым предстоит адаптировать новые требования к существующим системам.


Поделиться новостью:
Вернуться в раздел новостей

Другие новости по теме

Все новости