Круглый стол по противодействию киберугрозам на «Армии 2019»

В среду 26 июня на площадке «Армии 2019» мне удалось поучаствовать в круглом столе, посвященном вопросам противодействия киберугрозам и безопасной разработки.
Вел круглый стол Арутюн Ишханович Аветисян — Директор ИСП РАН.

Что интересно, в круглом столе принял участие и Дмитрий Николаевич Шевцов (Начальник 2 Управления ФСТЭК России), который рассказал нам о последних событиях по совершенствованию системы сертификации ФСТЭК России.  

Остановлюсь подробнее на некоторых моментах этого доклада.

Приказом ФСТЭК России от 30 июля 2018 г. N 131 утверждены Требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий (далее – Требования к уровням доверия). Эти требования пришли на смену РД НДВ, который использовался с 1999 года.

В соответствии с информационным сообщением от 29 марта 2019 года N 240/24/1525 (https://fstec.ru/normotvorcheskaya/informatsionnye-i-analiticheskie-materialy/1812-informatsionnoe-soobshchenie-fstek-rossii-ot-29-marta-2019-g-n-240-24-) Требования к уровням доверия обязательны к применению с 1 июня 2019 года.

Любая сертификация по линии ФСТЭК России теперь возможна только с учетом выполнения требований этого документа. Таким образом, даже при сертификации только на соответствие требованиям технических условий или заданию по безопасности, теперь необходимо дополнительно проводить проверки на соответствие Требованиям к уровням доверия (как минимум по 6 уровню контроля).

Основные требования доверия:

Применимость Требований доверия к СЗИ использующимся в информационных системах, обрабатывающих персональные данные, системах ГИС, АСУТП и КИИ теперь достаточно прозрачная:

Помимо Требований к уровням доверия была также разработана и утверждена Методика выявления уязвимостей и недекларированных возможностей в программном обеспечении.

Требования к уровням доверия — актуальный документ для повышения безопасности разрабатываемого программного обеспечения.

Теперь также необходимо выполнять и требования ГОСТа по безопасной разработке (ГОСТ Р 56939-2016 Защита информации. Разработка безопасного программного обеспечения. Общие требования), требования которого должны реализовывать все разработчики средств защиты информации.

Нам также напомнили о необходимости своевременного исправления уязвимостей и доведения обновлений до пользователей сертифицированной версии программного обеспечения.

По этому вопросу есть соотвествующий регламент в БДУ (https://bdu.fstec.ru/site/regulations). Его необходимо придерживаться  всем Заявителям сертифицированных решений.

Также в соответствии с информационным сообщением ФСТЭК России от 29 марта 2019 года N 240/24/1525 всем разработчикам СЗИ необходимо провести оценку соответствия своих решений требованиям доверия до января 2020 года. После этого срока планируют начать приостановления действия сертификатов соответствия, не соответствующих Требованиям к уровням доверия.

Еще нам рассказали о том, что недавно прошло обучение 20 экспертов испытательных лабораторий по новой Методике выявления уязвимостей и неделарированных возможностей в ПО на базе ГНИИ ПТЗИ ФСТЭК России совместно с ИСП РАН.

Кстати, в этом обучении приняли участие и наши эксперты испытательной лаборатории «Эшелон».

C июля начнется следующее обучение еще 20 специалистов.

В области безопасной разработки уже утверждены два стандарта и ведется разработка третьего — по оценке безопасной разработки.

Дмитрий Николаевич упомянул и оценил вклад нашей компании «Эшелон» как разработчиков указанных стандартов.

Не так давно был разработан и стандарт по классификационным меткам (ГОСТ Р 58256-2018 Защита информации. Управление потоками информации в информационной системе. Формат классификационных меток) для применения в системах с мандатным управлением доступом.

Теперь средства защиты информации с модулями мандатного управления доступом должны выполнять требования этого стандарта в обязательном порядке, иначе их сертификация будет невозможна.

Также нам рассказали о ведущейся разработке еще двух стандартов про формальную модель защиты и ее верификацию. Нас всех призвали активнее участвовать в их обсуждении в рамках ТК 362.

После чего в рамках круглого стола также выступил с интересным докладом Виталий Вареница (Директор департамента сертификации и тестирования компании «Эшелон») по  теме поиска уязвимостей в WEB-приложениях: