C 1 января 2023 года вступили в силу новые требования Приказа 239 ФСТЭК России

Новые требования Приказа 239 ФСТЭК России, вступившие в силу с 1 января 2023 года, несут ряд изменений в процесс создания новых или модернизации имеющихся значимых объектов для субъектов КИИ. В чем заключается суть новых требований, объясняет Александр Моисеев, ведущий консультант по ИБ AKTIV.CONSULTING (Компания «Актив»).

В частности, нововведения коснулись требований к средствам защиты информации (СЗИ), говорит эксперт. В случае проведения оценки соответствия СЗИ в форме испытаний или приемки – требования к ним должны быть обязательно включены в техническое задание на создание значимого объекта или его подсистемы безопасности.

Кроме того, эти мероприятия должны проходить на этапе предварительных испытаний в соответствии с «Программой и методикой испытаний», по результатам которых оформляется протокол и принимается решение о переходе на следующий этап – опытную эксплуатацию. Наложенные СЗИ должны дополнительно соответствовать шестому или более высокому уровню доверия по приказу ФСТЭК России от 2 июня 2020 г. N 76.

«В отношении прикладного программного обеспечения (ПО) теперь должны проводиться процедуры по безопасной разработке и испытаниям по выявлению уязвимостей, — отмечает Александр Моисеев. — Эти процедуры включают разработку внутренней нормативной документации, моделирование угроз, статический и динамический анализ ПО, а также такой хорошо зарекомендовавших себя способ как «фаззинг». Поясним, что фаззинг — это методика тестирования программного обеспечения, суть которой заключается в автоматизированном обнаружении ошибок реализации путем отправки заведомо неверных данных и анализа реакции программы на них. Фаззинг является важнейшим этапом процесса безопасной разработки.

Кроме того, регулятор особенно выделяет необходимость внедрения процедур поддержания ПО в ходе его жизненного цикла, таких как, оповещение о выявленных уязвимостях и способах их устранения, а также уведомление о снятии с поддержки ПО. Выполнение требований безопасности ПО оценивается на этапе проектирования, исходя из результатов анализа материалов, документов и свидетельств, полученных от разработчиков. Затем отчеты, заключения и сами документы приобщаются к проектной документации по значимому объекту.

«При этом большинство заказчиков традиционно привыкли включать в тендерную документацию (спецификацию подсистем ИБ значимых объектов) только сертифицированные СЗИ. Теперь же для прикладного ПО им придется закладывать в ТЗ новые требования, — подчеркивает эксперт. — Кроме того, впредь заказчикам предстоит проводить проверки полноты и комплектности свидетельств по процессам безопасности на входном контроле закупаемого ПО от вендоров или разработчиков».

17 января, 2023

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

22.04.2024
Фишеры предлагают отменить «заявку на удаление Telegram»
22.04.2024
В Минпромторге обсуждают возможные субсидии для российских вендоров
22.04.2024
Уникальный международный технологический форум THE TRENDS 2.0 поднимает флаг инноваций «снизу»
22.04.2024
Мишустин дал старт эксперименту с е-студенческими и е-зачётками
22.04.2024
Россия экспортирует «пластик» в Иран
22.04.2024
Proton Mail найдёт вас в даркнете. Но не бесплатно
19.04.2024
Банкиры просят продлить сроки импортозамещения «инософта»
19.04.2024
Россияне смогут получить ЭП за пределами страны
19.04.2024
В России появится консорциум по кибербезопасности ИИ
19.04.2024
Сразу несколько мессенджеров пропали из китайского App Store

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных