Главная » Блоги Экспертов И ИТ-Компаний » Слово "четыре" заменить словом "три": проект изменений в 17 Приказе

Слово "четыре" заменить словом "три": проект изменений в 17 Приказе

%25D0%2591%25D0%25B5%25D0%25B7%25D1%258B%25D0%25BC%25D1%258F%25D0%25BD%25D0%25BD%25D1%258B%25D0%25B9.jpg
Опубликован проект изменений, которые планируется внести в 17 Приказ ФСТЭК. 
Коротко пройдусь по основным пунктам.
1) Как и ожидалось, от 4 класса защищенности собираются отказаться. Останутся 3 класса. Состав защитных мер при этом не меняется.
1.jpg
 
2) Теперь официально при разработке модели угроз должен использоваться банк данных угроз ФСТЭК (bdu.fstec.ru). Прощай, полюбившийся многим копи-паст из Базовой модели угроз 2008 года. Правда необходимой методики для использования банка угроз нет. Придется его адаптировать под старую методику.
2.jpg
3) Для 1 и 2 классов защищенности ГИС теперь должны будут проводиться пентесты!
 
3.jpg
4) В явном виде прописана возможность размещения систем в аттестованных ЦОДах.
4.jpg
 
5) Теперь интеграторам в проектах по аттестации потребуется как минимум два человека ;) 
4%2B%25282%2529.jpg
Вот такие изменения ждут нас в ближайшее время. Самое интересное, на мой взгляд - появление пентестов. С одной стороны, сдвиг требований регулятора в сторону практической безопасности можно только приветствовать. С другой стороны, аттестация и пентест, мягко говоря, немного отличаются. Аттестация сейчас (к сожалению) частенько представляет собой формальное копирование шаблонных документов, с единственной целью - получение заветного аттестата. Пентест - совсем другой уровень, требующий совсем иных трудозатрат и компетенций. Хватит ли компаниям, специализирующимся на аттестации, ресурсов для проведения пентестов? И не превратится ли пентест, вслед за аттестацией, в формальность? Поживем-увидим. В любом случае рынок аттестации немного встряхнется.


Источник: http://crypto-anarchist.blogspot.com/2017/01/17.html


Данный материал является частной записью члена сообщества Club.CNews.
Редакция CNews не несет ответственности за его содержание.
Комментарии
Другие публикации
RU, Казань
Специалист по информационной безопасности, руководитель проектов
Информационные технологии

Специалист по информационной безопасноти, руководитель проектов




Забыли пароль?
Зарегистрируйся сейчас!
Присоединяйся к нашему обществу для того чтобы познакомиться с новыми людьми, создать собственный блог, публиковать анонсы событий и объявления, а также участвовать в обсуждении публикаций CNews. Мы создали единое пространство для общения специалистов рынка информационных технологий и всех, кто интересуется современными технологиями. Регистрация =>