sysadmin-pro.ru
Вот и прошел год с того момента, как ожидалось утверждение нового ГОСТ Р 51624-20ХХ «Защита информации. Автоматизированные системы в защищенном исполнении. Общие требования», разработчиком которого является ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
С проектом можно ознакомиться по ссылке.
Зачем? Чтобы превентивно оценить на соответствие новым требованиям национального стандарта документацию по системе защиты информации (для интеграторов) или рассмотреть вопрос включения ГОСТ 51624 в ТЗ на систему защиты информации (для Заказчиков).
В проекте стандарта по АС в защищенном исполнении произошли существенные изменения в описании технологий и средств, используемых при построении АСЗИ: добавлены требования о защите информации, предъявляемые к техническому и программному обеспечению АСЗИ, а также к документации на систему защиты информации АСЗИ:
– требования к техническому обеспечению включают требования резервирования и контроля безотказного функционирования ТС, требования к системе электропитания и заземления;
– требования к ПО содержат требования обеспечения безопасной разработки ПО АСЗИ, качества и резервирования;
– требования к документации на СЗИ в АСЗИ включают требования к проектной и эксплуатационной документации, которые, в том числе определяют необходимость наличия:
– акта классификации АСЗИ по требованиям защиты информации;
– порядка установки и настройки ПО АСЗИ;
– порядка наладки и сопряжения ТС АСЗИ,
– перечня и реквизитов сертификатов соответствия на средства защиты информации,
– объема проведения испытаний СЗИ АСЗИ.
В ГОСТ Р 51624-20ХХ также добавлен пункт про определение актуальных угроз безопасности информации при формировании требований к АСЗИ и разработку модели угроз безопасности информации:
– добавлены требования учета структурно-функциональных характеристик АСЗИ при определении угроз безопасности информации, а также результатов оценки потенциала нарушителей, анализа возможных уязвимостей АСЗИ, способов реализации угроз безопасности информации и последствий от нарушения свойств безопасности информации.
Также проект нового стандарта детализирует тактику применения и номенклатуру мер защиты информации:
– описан порядок организации контролируемой зоны;
– добавлены требования организации контроля и управления физическим доступом и размещения ТС вывода информации;
– перечислены меры защиты речевой информации от утечки по техническим каналам, включающие, в том числе, сегментирование АСЗИ, создание гетерогенной среды, ограничение программной среды, обнаружение (предотвращение) вторжений и защиту среды виртуализации;
– перечислены меры защиты каналов передачи информации, в том числе их резервирование, криптографическая защита, исключение возможности отрицания отправителем факта отправки информации и защита беспроводных каналов передачи информации;
– перечислены меры защиты информации при информационном взаимодействии с иными АС и ИТ, включающие ограничение числа точек доступа в АСЗИ, управление взаимодействием и защиту периметра АСЗИ.
Читайте также:
