Перейти к содержимому. | Перейти к навигации

Персональные инструменты
Вход Регистрация
Вы здесь: Главная БЛОГИ Александр Астахов ФСТЭК России внес ряд существенных изменений в требования Приказа №17 по защите ГИС
Навигация
 

ФСТЭК России внес ряд существенных изменений в требования Приказа №17 по защите ГИС

Автор: Александр Астахов опубликовано: 29-06-2017 последнее изменение: 29-06-2017

При аттестации ГИС по требованиям безопасности информации теперь надо проверять уязвимости из банка данных ФСТЭК, проводить пентесты, а также аттестовывать заодно и ЦОД, в котором размещается ГИС. Должностным лицам, участвовавшим в проектировании и внедрении системы защиты информации ГИС, теперь запрещается участвовать в аттестационных испытаниях.

Приказ ФСТЭК России №27 от 15.02.2017 "О внесении изменений в Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах ... от 11 февраля 2013 г. № 17" определяет в числе прочего следующие важные положения:

По результатам анализа уязвимостей должно быть подтверждено, что в информационной системе отсутствуют уязвимости, содержащиеся в банке данных угроз безопасности информации ФСТЭК России, а также в иных источниках, или их использование (эксплуатация) нарушителем невозможно

При проведении аттестационных испытаний должны применяться следующие методы проверок (испытаний): 

  • экспертно-документальный метод, предусматривающий проверку соответствия системы защиты информации информационной системы установленным требованиям по защите информации, на основе оценки эксплуатационной документации, организационно-распорядительных документов по защите информации, а также условий функционирования информационной системы; 
  • анализ уязвимостей информационной системы, в том числе вызванных неправильной настройкой (конфигурированием) программного обеспечения и средств защиты информации; 
  • испытания системы защиты информации путем осуществления попыток несанкционированного доступа (воздействия) к информационной системе в обход ее системы защиты информации.
Т.е. фактические речь идет о включении в программу аттестационных испытаний ГИС тестов на проникновение.
 
В случае, если информационная система создается на базе центра обработки данных уполномоченного лица, такой центр обработки данных должен быть аттестован по классу защищенности не ниже класса защищенности, установленного для создаваемой информационной системы.
 
Проведение аттестационных испытаний информационной системы должностными лицами, осуществляющими проектирование и (или) внедрение системы защиты информации информационной системы, не допускается.

Comments (0)

Как стать участником |  Что может участник  |  Как работать с порталом  |  Реклама |  Авторские права  |  Контакты  |  Конкурсы  |  RSS  |  Форум
©2003 - 2017 GlobalTrust
Рейтинг@Mail.ru Rambler's Top100 Yandex