Новые требования Приказа 239 ФСТЭК России, вступившие в силу с 1 января 2023 года, несут ряд изменений в процесс создания новых или модернизации имеющихся значимых объектов для субъектов КИИ. В чем заключается суть новых требований, объясняет Александр Моисеев, ведущий консультант по ИБ AKTIV.CONSULTING (Компания «Актив»).
В частности, нововведения коснулись требований к средствам защиты информации (СЗИ), говорит эксперт. В случае проведения оценки соответствия СЗИ в форме испытаний или приемки – требования к ним должны быть обязательно включены в техническое задание на создание значимого объекта или его подсистемы безопасности.
Кроме того, эти мероприятия должны проходить на этапе предварительных испытаний в соответствии с «Программой и методикой испытаний», по результатам которых оформляется протокол и принимается решение о переходе на следующий этап – опытную эксплуатацию. Наложенные СЗИ должны дополнительно соответствовать шестому или более высокому уровню доверия по приказу ФСТЭК России от 2 июня 2020 г. N 76.
«В отношении прикладного программного обеспечения (ПО) теперь должны проводиться процедуры по безопасной разработке и испытаниям по выявлению уязвимостей, — отмечает Александр Моисеев. — Эти процедуры включают разработку внутренней нормативной документации, моделирование угроз, статический и динамический анализ ПО, а также такой хорошо зарекомендовавших себя способ как «фаззинг». Поясним, что фаззинг — это методика тестирования программного обеспечения, суть которой заключается в автоматизированном обнаружении ошибок реализации путем отправки заведомо неверных данных и анализа реакции программы на них. Фаззинг является важнейшим этапом процесса безопасной разработки.
Кроме того, регулятор особенно выделяет необходимость внедрения процедур поддержания ПО в ходе его жизненного цикла, таких как, оповещение о выявленных уязвимостях и способах их устранения, а также уведомление о снятии с поддержки ПО. Выполнение требований безопасности ПО оценивается на этапе проектирования, исходя из результатов анализа материалов, документов и свидетельств, полученных от разработчиков. Затем отчеты, заключения и сами документы приобщаются к проектной документации по значимому объекту.
«При этом большинство заказчиков традиционно привыкли включать в тендерную документацию (спецификацию подсистем ИБ значимых объектов) только сертифицированные СЗИ. Теперь же для прикладного ПО им придется закладывать в ТЗ новые требования, — подчеркивает эксперт. — Кроме того, впредь заказчикам предстоит проводить проверки полноты и комплектности свидетельств по процессам безопасности на входном контроле закупаемого ПО от вендоров или разработчиков».