В нашей стране продолжается развитие законодательства в сфере ИТ и ИБ в частности. Вместе с этим государство оказывает методическую поддержку организациям, которых касаются изменения.
Эта статья — дайджест последних методических рекомендаций ФСТЭК России со ссылками на документы регулятора.
Обеспечение безопасной настройки Linux
Рекомендации по безопасной настройки системы Linux были утверждены ещё в декабре 2022 года. Они направлены на повышение защищенности информационных систем, построенных на базе ядра Linux. Рекомендации обязательны для государственных информационных систем и на объектах КИИ, которые используют Linux.
Основные процедуры, которые регламентирует методичка:
В методических рекомендациях подробно описано как реализовать эти процедуры, вплоть до используемых конфигураций. Подробнее можно ознакомиться здесь.
Безопасность средств виртуализации
Требования к безопасности средств виртуализации предназначены для организаций, осуществляющих разработку таких средств, заявителей на сертификацию и испытательных лабораторий и органов по сертификации средств защиты информации на соответствие обязательным требованиям по безопасности.
В документе устанавливаются минимально необходимые требования к:
Требования обязательны при выполнении работ по оценке соответствия средств технической защиты информации, включая работы по сертификации. В требованиях дифференцированы классы защиты. Выделено 6 классов, первый — самый высокий.
Прочитать текст документа вы можете на сайте ФСТЭК.
Что было раньше
В ноябре 2022 регулятор опубликовал информационное сообщение, в котором описывались внесенные изменения в Положение о системе сертификации средств защиты информации. Изменения направлены на сокращение сроков сертификации СЗИ, включая внедрение со стороны разработчиков процедур безопасной разработки ПО.
В декабре 2022 относительно безопасности средств контейнеризации тоже были утверждены новые требования. Применена такая же градация классов защиты, что и при защите средств виртуализации.
Заключение
Реформы в ИТ и ИБ сферах будут продолжаться и дальше. Все решения однозначно будут направлены на усиление защищенности средств информатизации, на увеличение объемов импортозамещения. С чем связано? На этот вопрос можно рассуждать долго. Но одна тенденция, которой обязательно нужно следовать – это идти в ногу со временем, не отставать новых рекомендаций и правил защищенности ИТ-объектов.