О новых проектах стандартов и требований по ИБ

Аватар пользователя alukatsk
Автор: Лукацкий Алексей,
(0)
()
Опубликовано в:
Каждый из фактов пока не тянет на отдельную заметку, поэтому решил объединить их вместе. За последние пару недель на свет появилось сразу несколько документов, которые на ближайшие пару лет установят требования в области своей применимости.

С 1-го января 2014-го года в силу вступил новый руководящий документ ФСТЭК с требованиями к средствам доверенной загрузки. Информационное письмо об этом факте опубликовано 6-го февраля на сайте ФСТЭК. В требованиях выделены следующие типы средств доверенной загрузки:
  • средства доверенной загрузки уровня базовой системы ввода-вывода,
  • средства доверенной загрузки уровня платы расширения,
  • средства доверенной загрузки уровня загрузочной записи.
ЦБ на прошлой неделе выложил для обсуждения на ТК122 проект рекомендаций Банка России в области стандартизации по ресурсному обеспечению информационной безопасности. Цель документа - показать методы обоснования выделения финансовых и человеческих ресурсов на обеспечение ИБ в банках. Документ пока сыроват на мой взгляд и на практике применим с трудом (в действующей редакции). Возможно в процессе обсуждения его удастся докрутить.

Также ЦБ во второй половине января выложил для обсуждения на ТК122 проект рекомендаций Банка России в области стандартизации по обеспечению информационной безопасности при использовании технологии виртуализации. Надо будет сравнить этот проект с проектом соответствующего ГОСТ, который подготовил ТК362.

В конце января, на заседании ТК122 также были утверждены новые редакции двух хорошо известных стандартов СТО 1.0 (это будет уже пятая версия) и СТО 1.2. В СТО 1.0 внесли ряд изменений, в т.ч. и в части последних поправок в законодательстве по персональным данным. Из интересных новаций - признание угроз 1-го и 2-го типа неактуальными. Более подробно я этот стандарт в контексте темы ПДн рассмотрю позже - там есть ряд интересных, а местами и спорных моментов.

Ну и наконец, как и написано в плане нормотворческой деятельности ФСТЭК на 2014-й год, подготовлен проект требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды, который скоро будет представлен заинтересованным лицам.

Я думаю, что по документам ФСТЭК информацию можно будет получить из первых рук на конференции "Актуальные вопросы защиты информации", которую проводит регулятор в эту среду, 12-го февраля. А информацию по документам Банка России можно будет получить в Магнитогорске.
Оцените материал:
Total votes: 165
Тэги: 
 
Комментарии в Facebook
 

Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.