Наша работа - Ваша уверенность

Последние рекомендации ФСТЭК

Последние рекомендации ФСТЭК

В нашей стране продолжается развитие законодательства в сфере ИТ и ИБ в частности. Вместе с этим государство оказывает методическую поддержку организациям, которых касаются изменения.

Эта статья – дайджест последних методических рекомендаций ФСТЭК России со ссылками на документы регулятора.

Обеспечение безопасной настройки Linux

Рекомендации по безопасной настройки системы Linux были утверждены ещё в декабре 2022 года. Они направлены на повышение защищенности информационных систем, построенных на базе ядра Linux. Рекомендации обязательны для государственных информационных систем и на объектах КИИ, которые используют Linux.

Основные процедуры, которые регламентирует методичка:

  • настройка авторизации в операционной системе;
  • ограничение механизмов получения привилегий;
  • настройка прав доступа к объектам файловой системы;
  • настройка механизмов защиты ядра Linux;
  • уменьшение периметра атаки ядра Linux;
  • настройка средств защиты пользовательского пространства со стороны ядра Linux.


    • В методических рекомендациях подробно описано как реализовать эти процедуры, вплоть до используемых конфигураций. Подробнее можно ознакомиться здесь.

    Безопасность средств виртуализации

    Требования к безопасности средств виртуализации предназначены для организаций, осуществляющих разработку таких средств, заявителей на сертификацию и испытательных лабораторий и органов по сертификации средств защиты информации на соответствие обязательным требованиям по безопасности.

    В документе устанавливаются минимально необходимые требования к:

  • уровню доверия средства виртуализации;
  • хостовой операционной системе, в которой функционирует средство виртуализации;
  • составу функций безопасности;
  • загрузке виртуальных машин;
  • контролю целостности в среде;
  • регистрации событий безопасности;
  • управлению потоком информации и уровнем доступа;
  • ограничениям программной среды;
  • резервному копированию;
  • идентификации и аутентификации пользователей;
  • централизации управления образами виртуальных машин и самими машинами.


    • Требования обязательны при выполнении работ по оценке соответствия средств технической защиты информации, включая работы по сертификации. В требованиях дифференцированы классы защиты. Выделено 6 классов, первый – самый высокий.

    Прочитать текст документа вы можете на сайте ФСТЭК.

    Что было раньше

    В ноябре 2022 регулятор опубликовал информационное сообщение, в котором описывались внесенные изменения в Положение о системе сертификации средств защиты информации. Изменения направлены на сокращение сроков сертификации СЗИ, включая внедрение со стороны разработчиков процедур безопасной разработки ПО.

    В декабре 2022 относительно безопасности средств контейнеризации тоже были утверждены новые требования. Применена такая же градация классов защиты, что и при защите средств виртуализации.

    Заключение

    Реформы в ИТ и ИБ сферах будут продолжаться и дальше. Все решения однозначно будут направлены на усиление защищенности средств информатизации, на увеличение объемов импортозамещения. С чем связано? На этот вопрос можно рассуждать долго. Но одна тенденция, которой обязательно нужно следовать – это идти в ногу со временем, не отставать новых рекомендаций и правил защищенности ИТ-объектов.

    Связанные материалы

    (Защита информации) КИИ . Проверка на соответствие норм защищенности критической информационной инфраструктуры (187-ФЗ)
    (Защита информации) ГИС . Проверка на соответствие норм защищенности государственных информационных систем (17 приказ ФСТЭК)
    (Защита информации) Поставка, установка и сопровождение средств защиты
    (Построение IT инфраструктуры) Импортозамещение Внедрение оптимальных решений для вашей ИТ-инфраструктуры
    (Блог) Помощь в переходе на отечественное ПО
    (Блог) Импортозамещение в ИТ
    (Блог) 187-ФЗ. Категорирование объектов КИИ.
    (Блог) Защита объектов КИИ
    Поиск
    Мы в соцсетях
    Рассказываем об информационной безопасности и актуальных ИТ-решениях, делимся своими кейсами и новостями ИТ: Telegram-канал компании «Рубикон»
    Дзен-канал компании «Рубикон»
    Популярные новости
    Вредоносный штат: почему сотрудники могут быть опаснее хакеров
    Вредоносный штат: почему сотрудники могут быть опаснее хакеров
    Защита объектов КИИ
    Защита объектов КИИ
    Запрет на закупки иностранного ПО
    Запрет на закупки иностранного ПО
    Услуги

    Подпишитесь на получение новостей

    Чтобы первыми узнавать о наших новых решениях, событиях в мире информационных технологий и информационной безопасности, а так же получать персональные предложения именно для вас.

    Наш сайт использует файлы cookies, чтобы улучшить работу и повысить эффективность сайта. Продолжая работу с сайтом, вы соглашаетесь с использованием нами cookies и политикой конфиденциальности.

    Принять