C 1 января 2023 года вступили в силу новые требования Приказа 239 ФСТЭК России

Новые требования Приказа 239 ФСТЭК России, вступившие в силу с 1 января 2023 года, несут ряд изменений в процесс создания новых или модернизации имеющихся значимых объектов для субъектов КИИ. В чем заключается суть новых требований, объясняет Александр Моисеев, ведущий консультант по ИБ AKTIV.CONSULTING (Компания «Актив»).

В частности, нововведения коснулись требований к средствам защиты информации (СЗИ), говорит эксперт. В случае проведения оценки соответствия СЗИ в форме испытаний или приемки – требования к ним должны быть обязательно включены в техническое задание на создание значимого объекта или его подсистемы безопасности.

Кроме того, эти мероприятия должны проходить на этапе предварительных испытаний в соответствии с «Программой и методикой испытаний», по результатам которых оформляется протокол и принимается решение о переходе на следующий этап – опытную эксплуатацию. Наложенные СЗИ должны дополнительно соответствовать шестому или более высокому уровню доверия по приказу ФСТЭК России от 2 июня 2020 г. N 76.

«В отношении прикладного программного обеспечения (ПО) теперь должны проводиться процедуры по безопасной разработке и испытаниям по выявлению уязвимостей, — отмечает Александр Моисеев. — Эти процедуры включают разработку внутренней нормативной документации, моделирование угроз, статический и динамический анализ ПО, а также такой хорошо зарекомендовавших себя способ как «фаззинг». Поясним, что фаззинг — это методика тестирования программного обеспечения, суть которой заключается в автоматизированном обнаружении ошибок реализации путем отправки заведомо неверных данных и анализа реакции программы на них. Фаззинг является важнейшим этапом процесса безопасной разработки.

Кроме того, регулятор особенно выделяет необходимость внедрения процедур поддержания ПО в ходе его жизненного цикла, таких как, оповещение о выявленных уязвимостях и способах их устранения, а также уведомление о снятии с поддержки ПО. Выполнение требований безопасности ПО оценивается на этапе проектирования, исходя из результатов анализа материалов, документов и свидетельств, полученных от разработчиков. Затем отчеты, заключения и сами документы приобщаются к проектной документации по значимому объекту.

«При этом большинство заказчиков традиционно привыкли включать в тендерную документацию (спецификацию подсистем ИБ значимых объектов) только сертифицированные СЗИ. Теперь же для прикладного ПО им придется закладывать в ТЗ новые требования, — подчеркивает эксперт. — Кроме того, впредь заказчикам предстоит проводить проверки полноты и комплектности свидетельств по процессам безопасности на входном контроле закупаемого ПО от вендоров или разработчиков».

17 января, 2023

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

17.01.2025
Шейкин: Минцифры регулярно проверяет программы в реестре
17.01.2025
Apparatus найдёт всех нужных homo. ИИ-система мониторинга Telegram-чатов вошла в свою новую эпоху
16.01.2025
Импортозамещение бьёт по крыльям?
16.01.2025
«Такие угрозы в прошедшем году были одними из самых распространённых»
16.01.2025
Утечки ПДн по РКН: число кейсов сокращается, число записей — растёт
16.01.2025
Тихоокеанская триада против похитителей «крипты» из КНДР
16.01.2025
Система быстрых платежей расширяет географию. Но есть нюанс
16.01.2025
Управляй киберрисками, защищая DNS. Компания Servicepipe обновила продукт Secure DNS Hosting
15.01.2025
Минцифры, вендоры и эксперты обсуждают будущее отечественного «опенсорса»
15.01.2025
От «Яндекса» до Rutube. Кто упал из-за январского нарушения связности

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных