C 1 января 2023 года вступили в силу новые требования Приказа 239 ФСТЭК России

Новые требования Приказа 239 ФСТЭК России, вступившие в силу с 1 января 2023 года, несут ряд изменений в процесс создания новых или модернизации имеющихся значимых объектов для субъектов КИИ. В чем заключается суть новых требований, объясняет Александр Моисеев, ведущий консультант по ИБ AKTIV.CONSULTING (Компания «Актив»).

В частности, нововведения коснулись требований к средствам защиты информации (СЗИ), говорит эксперт. В случае проведения оценки соответствия СЗИ в форме испытаний или приемки – требования к ним должны быть обязательно включены в техническое задание на создание значимого объекта или его подсистемы безопасности.

Кроме того, эти мероприятия должны проходить на этапе предварительных испытаний в соответствии с «Программой и методикой испытаний», по результатам которых оформляется протокол и принимается решение о переходе на следующий этап – опытную эксплуатацию. Наложенные СЗИ должны дополнительно соответствовать шестому или более высокому уровню доверия по приказу ФСТЭК России от 2 июня 2020 г. N 76.

«В отношении прикладного программного обеспечения (ПО) теперь должны проводиться процедуры по безопасной разработке и испытаниям по выявлению уязвимостей, — отмечает Александр Моисеев. — Эти процедуры включают разработку внутренней нормативной документации, моделирование угроз, статический и динамический анализ ПО, а также такой хорошо зарекомендовавших себя способ как «фаззинг». Поясним, что фаззинг — это методика тестирования программного обеспечения, суть которой заключается в автоматизированном обнаружении ошибок реализации путем отправки заведомо неверных данных и анализа реакции программы на них. Фаззинг является важнейшим этапом процесса безопасной разработки.

Кроме того, регулятор особенно выделяет необходимость внедрения процедур поддержания ПО в ходе его жизненного цикла, таких как, оповещение о выявленных уязвимостях и способах их устранения, а также уведомление о снятии с поддержки ПО. Выполнение требований безопасности ПО оценивается на этапе проектирования, исходя из результатов анализа материалов, документов и свидетельств, полученных от разработчиков. Затем отчеты, заключения и сами документы приобщаются к проектной документации по значимому объекту.

«При этом большинство заказчиков традиционно привыкли включать в тендерную документацию (спецификацию подсистем ИБ значимых объектов) только сертифицированные СЗИ. Теперь же для прикладного ПО им придется закладывать в ТЗ новые требования, — подчеркивает эксперт. — Кроме того, впредь заказчикам предстоит проводить проверки полноты и комплектности свидетельств по процессам безопасности на входном контроле закупаемого ПО от вендоров или разработчиков».

17 января, 2023

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

09.09.2024
Будущее едет из Москвы в Казань
09.09.2024
Rutube пережил «крупнейшую DDoS-атаку за последние два года» (?)
09.09.2024
ИИ-фейки и роботы-собаки. В Китае проходит X Неделя кибербезопасности
09.09.2024
Шадаев: База нацпроекта «Экономика данных» уже ясна
09.09.2024
Дропперство сокращает жизнь
09.09.2024
В ПФО платят через интернет и СБП
09.09.2024
Роскомнадзор: Ресурсы ЦИК, ДЭГ и ДИТ подверглись 222 DDoS-атакам до и во время выборов
09.09.2024
Техкомпании запустят единую платформу по обучению школьников и студентов
06.09.2024
«С учётом латентной преступности»
06.09.2024
ФСТЭК напомнил об организациях, которые могут «обезопасить» кадры

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных