C 1 января 2023 года вступили в силу новые требования Приказа 239 ФСТЭК России

Новые требования Приказа 239 ФСТЭК России, вступившие в силу с 1 января 2023 года, несут ряд изменений в процесс создания новых или модернизации имеющихся значимых объектов для субъектов КИИ. В чем заключается суть новых требований, объясняет Александр Моисеев, ведущий консультант по ИБ AKTIV.CONSULTING (Компания «Актив»).

В частности, нововведения коснулись требований к средствам защиты информации (СЗИ), говорит эксперт. В случае проведения оценки соответствия СЗИ в форме испытаний или приемки – требования к ним должны быть обязательно включены в техническое задание на создание значимого объекта или его подсистемы безопасности.

Кроме того, эти мероприятия должны проходить на этапе предварительных испытаний в соответствии с «Программой и методикой испытаний», по результатам которых оформляется протокол и принимается решение о переходе на следующий этап – опытную эксплуатацию. Наложенные СЗИ должны дополнительно соответствовать шестому или более высокому уровню доверия по приказу ФСТЭК России от 2 июня 2020 г. N 76.

«В отношении прикладного программного обеспечения (ПО) теперь должны проводиться процедуры по безопасной разработке и испытаниям по выявлению уязвимостей, — отмечает Александр Моисеев. — Эти процедуры включают разработку внутренней нормативной документации, моделирование угроз, статический и динамический анализ ПО, а также такой хорошо зарекомендовавших себя способ как «фаззинг». Поясним, что фаззинг — это методика тестирования программного обеспечения, суть которой заключается в автоматизированном обнаружении ошибок реализации путем отправки заведомо неверных данных и анализа реакции программы на них. Фаззинг является важнейшим этапом процесса безопасной разработки.

Кроме того, регулятор особенно выделяет необходимость внедрения процедур поддержания ПО в ходе его жизненного цикла, таких как, оповещение о выявленных уязвимостях и способах их устранения, а также уведомление о снятии с поддержки ПО. Выполнение требований безопасности ПО оценивается на этапе проектирования, исходя из результатов анализа материалов, документов и свидетельств, полученных от разработчиков. Затем отчеты, заключения и сами документы приобщаются к проектной документации по значимому объекту.

«При этом большинство заказчиков традиционно привыкли включать в тендерную документацию (спецификацию подсистем ИБ значимых объектов) только сертифицированные СЗИ. Теперь же для прикладного ПО им придется закладывать в ТЗ новые требования, — подчеркивает эксперт. — Кроме того, впредь заказчикам предстоит проводить проверки полноты и комплектности свидетельств по процессам безопасности на входном контроле закупаемого ПО от вендоров или разработчиков».

17 января, 2023

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

27.01.2023
Хакер получил доступ к «чёрному списку» пассажиров Управления транспортной безопасности США
27.01.2023
Хакеры атакуют британских политиков и журналистов
27.01.2023
Деятельность Hive пресечена в результате совместной операции 13 стран
27.01.2023
«Магнитка» пройдёт при поддержке НКЦКИ
26.01.2023
Минцифры создаст Центр цифровой криптографии
26.01.2023
Процессы операционной надёжности должны обеспечивать не только ИБ и ИТ, но и менеджмент некредитных финансовых организаций
26.01.2023
Противодействие атакам социальных инженеров не является вопросом исключительно службы ИБ банка
26.01.2023
Всё о приватности — теперь в «Кибрарии»
26.01.2023
В Новосибирске UserGate в качестве разработчика первого отечественного щита от кибератак пригласили к участию в областном мультимедийном проекте
26.01.2023
FLAMAX и КГАСУ представили Рустаму Минниханову совместную разработку в сфере водоснабжения и систем безопасности

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных