Главная » Блоги Экспертов И ИТ-Компаний » СОИБ. Анализ. Новые требования к лицензиатам ФСТЭК - пентестеры

СОИБ. Анализ. Новые требования к лицензиатам ФСТЭК - пентестеры

pentest.gif
Постановления Правительства РФ от15.06.2016 N 541 внесло изменения в Постановление Правительства РФ от 3 февраля 2012 г. N 79 «о лицензировании деятельности по технической защите конфиденциальной информации»
Изменения вступают в силу 17.06.2017.
Давайте вспомним что изменилось:
1) виды работ и услуг:

В ряде случаев вместо “работ и услуг” стало применяться только “услуг по”.
Убрали сертификационные испытания и добавили услуги по мониторингу
- в) сертификационные испытания на соответствие требованиям по безопасности информации продукции …;

+ в) услуги по мониторингу информационной безопасности средств и систем информатизации;

В область лицензирования попала наладка СЗИ.  В СКЗИ-шном лицензировании “наладка” всегда упоминалась. Теперь вот и в ТЗКИ. Когда мы говорится про наладку программного обеспечения очевидно имеется в ввиду его настройка.
- е) установка, монтаж, испытания, ремонт средств защиты информации (технических средств защиты информации, защищенных технических средств обработки информации, технических средств контроля эффективности мер защиты информации, программных (программно-технических) средств защиты информации, защищенных программных (программно-технических) средств обработки информации, программных (программно-технических) средств контроля защищенности информации).

+ е) услуги по установке, монтажу, наладке, испытаниям, ремонту средств защиты информации (технических средств защиты информации, защищенных технических средств обработки информации, технических средств контроля эффективности мер защиты информации, программных (программно-технических) средств защиты информации, защищенных программных (программно-технических) средств обработки информации, программных (программно-технических) средств контроля эффективности защитыинформации).

Сменили термин “Средства контроля защищенности” -> “средства контроля эффективности защиты”.
                Первый был в приказах ФСТЭК
“18.8. Меры по контролю (анализу) защищенности информации должны обеспечивать контроль уровня защищенности автоматизированной системы управления путем проведения мероприятий по выявлению и анализу уязвимостей, контролю установки обновлений программного обеспечения, состава программного обеспечения и технических средств и правильности функционирования средств защиты информации”

Второй из ГОСТ Р 50922-2006
“2.7.3 средство контроля эффективности защитыинформации: Средство защиты информации, предназначенное или используемое для контроля эффективности защиты информации.

2.9.1 эффективность защиты информации: Степень соответствия результатов защиты информации цели защиты информации.”

2) От требования к наличию специалистов с образованием -> наличие руководителя с образованием (переподготовкой) и опытом + не менее 2х технических работников с образованием (переподготовкой) + стаж.
Теперь требуется повышать квалификацию (замечу, что минимально допустимый срок повышения квалификации – 16 часов, но среди программ согласованных с ФСТЭК скорее всего придется выбирать от 72 часов) указанных лиц не реже одного раза в 5 лет.  Раньше же лицензиаты вполне могли обходится сотрудниками, получившими высшее образование 10-15 лет назад.
3) Убрали требования к наличию лицензионных ОС, СУБД и другого ПО
4) Вместо наличия средств контроля защищенности -> теперь требуются средства контроля эффективности + средства контроля исходных текстов программного обеспечения
Ну а дальше перейдем к самому нашумевшему – утвержденному директором ФСТЭК России 16 декабря 2016 г. «Перечень контрольно-измерительного и испытательного оборудования, средств контроля защищенности, необходимых для выполнения работ и оказания услуг, установленных Положением о лицензировании деятельности по технической защите конфиденциальной информации, утвержденным постановлением Правительства Российской Федерации от 3 февраля 2012 г. N 79»
Для начала формальные ошибки:
·         ПП №79 в новом варианте требует средства контроля эффективности защиты, а в Перечне – средства контроля защищенности
·         ПП №79 в новом варианте требует средства контроля исходных текстов ПО, а в перечне о нем ни слова
Далее про пентестеров:  на SOС–forumФСТЭК говорил что эта деятельность входит в лицензируемую “б) услуги по контролю защищенности конфиденциальной информации от несанкционированного доступа и ее модификации в средствах и системах информатизации”
Из планируемых изменений в 17 приказ ФСТЭК следовало что пентесты входят и в деятельность по аттестации.
А из Перечня следует, что “Средства, предназначенные для осуществления тестирования на проникновение” применяются в деятельности б, в, г.1, д.1. (контроль защищенности, мониторинг ИБ, аттестация, установка СЗИ). 
Не вижу тут какого-либо противоречия. Просто есть пентестеры – для которых это основной вид деятельности, тогда это деятельность по контролю защищенности.  А есть тестирование которые проводятся в рамках других крупных работ – создании СЗПДн, аттестации (интеграторы или аттестаторы)
Посмотрим какие средства требуются именно пентестерам (услуги по контролю защищенности КИ от НСД) для получения лицензии.
Программные средства формирования и контроля полномочий доступа в информационных (автоматизированных) системах
Должны иметь сертификат соответствия ФСТЭК России
Средства контроля эффективности применения средств защиты информации
Должны иметь сертификаты соответствия ФСТЭК России
Программное средство контроля целостности программ и программных комплексов
Должно иметь сертификат соответствия ФСТЭК России
Система контроля (анализа) защищенности информационных систем
Должна иметь сертификат соответствия ФСТЭК России
Средства, предназначенные для осуществления тестирования на проникновение
На первый взгляд ничего страшного нет. Классический набор + новые средства тестирования на проникновения, под которые пока не требуется сертификат и подойдет пачка опенсорсных утилит с функциями: 
Должны выявлять угрозы безопасности информации путём имитации действий нарушителя, в том числе осуществления сбора данных о проектных решениях и о параметрах настройки средств и систем информатизации, в отношении которых осуществляется мониторинг информационной безопасности, и преодоления (обхода) их систем защиты информации за счет внедрения во вводимые данные структурированных запросов к базам данных, межсайтового исполнения сценариев, некорректного управления сеансами связи, отсутствия подтверждения корректности перенаправлений и эксплуатации других уязвимостей

В следующий раз про мониторинг.


Источник: http://sborisov.blogspot.com/2017/02/blog-post 8.html


Данный материал является частной записью члена сообщества Club.CNews.
Редакция CNews не несет ответственности за его содержание.
Комментарии
Другие публикации
RU, Краснодар
https://docshell.ru/, https://docshell.ru/
Информационные технологии

Работал в области ТЭК, нескольких банках, последние 5 лет в системной интеграции по ИБ. В данный момент работаю в интеграторе "РосИнтеграция". Занимаюсь комплексными проектами СОИБ, СЗПДн, экспертизой в проблемных случаях, развитием и продвижением новых продуктов - docshell, bughunt и других

Все, что написано в этом блоге, отражает только личную точку зрения автора и не имеет никакого отношения к точке зрения его работодателя или иной организации, с которой автора связывают официальные отношения (если это не выделено особо).


Забыл пароль?
Авторизоваться через
Зарегистрируйся сейчас!
Присоединяйся к нашему обществу для того чтобы познакомиться с новыми людьми, создать собственный блог, публиковать анонсы событий и объявления, а также участвовать в обсуждении публикаций CNews. Мы создали единое пространство для общения специалистов рынка информационных технологий и всех, кто интересуется современными технологиями. Регистрация =>