В обзоре изменений за ноябрь 2024 года рассмотрим следующие темы:
1. Критическая информационная инфраструктура
Рассмотрим новые требования приказов ФСТЭК России № 239 и № 17 по защите от атак, направленных на отказ в обслуживании.
2. Персональные данные
Представлены проекты, предусматривающие:
-
расширение перечня случаев, когда разрешено использование биометрических ПДн субъекта, размещенных в ЕБС с использованием мобильного приложения;
-
обезличивание сведений о получателях медицинской помощи.
Официально опубликованы изменения в КоАП РФ, ужесточающие ответственность за нарушения в сфере ПДн.
3. Безопасность финансовых организаций
Рассмотрим стандарты Банка России:
-
Безопасность финансовых (банковских) операций. Прикладные программные интерфейсы обеспечения безопасности финансовых сервисов на основе протокола OpenID Connect. Требования;
-
Безопасность финансовых (банковских) операций. Прикладные программные интерфейсы. Обеспечение безопасности финансовых сервисов при инициации OpenID Connect клиентом потока аутентификации по отдельному каналу. Требования.
4. Иное
В реестр провайдеров хостинга предложено включать информацию о лицах, которым предоставлены вычислительные мощности, и информацию о производительности и вычислительной мощности инфраструктуры провайдера.
5. Стандартизация
Опубликованы ГОСТ Р 71 753–2024 «Защита информации. Системы автоматизированного управления учетными записями и правами доступа. Общие требования» и ГОСТ Р 56 939–2024 «Защита информации. Разработка безопасного ПО. Общие требования»
6. Деятельность ФСТЭК России
Опубликованы справка‑доклад за октябрь и ноябрь о ходе работ по плану ТК 362 на 2024 год и выписка из Программы национальной стандартизации на 2025 год с планами по разработке и утверждению стандартов на 2025 год.
Критическая информационная инфраструктура
Требования по защите от атак, направленных на отказ в обслуживании
5 ноября 2024 года вступил в силу приказ Федеральной службы по техническому и экспортному контролю Российской Федерации (далее – ФСТЭК России, РФ) от 28.08.2024 № 159 «О внесении изменений в Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденные приказом ФСТЭК России от 11.02.2013 № 17, и Требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры РФ, утвержденные приказом ФСТЭК России от 25.12.2017 № 239».
В отношении значимых объектов критической информационной инфраструктуры (далее – КИИ) и информационных систем (далее – ИС), имеющих интерфейсы и сервисы, которые должны быть постоянно доступны из сети «Интернет», должны применяться следующие меры защиты от атак типа «отказ в обслуживании»:
-
выявление интерфейсов и сервисов, к которым должен быть обеспечен постоянный доступ из сети «Интернет»;
-
выявление публичных сетевых адресов и доменных имен, используемых для обеспечения функционирования, определение их назначения;
-
выявление и исключение интерфейсов и сервисов, доступных из сети «Интернет», публичных сетевых адресов и доменных имен, не используемых для обеспечения функционирования или принадлежность которых не установлена;
-
формирование матрицы коммуникаций, содержащей перечень ресурсов сети «Интернет», с которыми может взаимодействовать ИС или значимый объект КИИ, а также исходящие и входящие сетевые потоки, их характеристики, используемые протоколы;
-
определение сетевых адресов, с которыми должно быть обеспечено взаимодействие;
-
формирование списка разрешенных сетевых адресов в условиях реализации атак типа «отказ в обслуживании»;
-
использование средств, обеспечивающих:
-
анализ и фильтрацию сетевых запросов на максимально возможной скорости;
-
возможность блокирования сетевых запросов, обладающих признаками атак типа «отказ в обслуживании» на сетевом и прикладном уровнях;
-
-
наличие двукратного резерва пропускной способности каналов передачи данных относительно объемов трафика в условиях отсутствия реализации атак;
-
использование данных, полученных при взаимодействии с Центром мониторинга и управления сетью связи общего пользования;
-
обеспечение хранения в течение трех лет следующей информации о фактах реализации атак:
-
дата и время начала и окончания реализации атаки;
-
тип атаки;
-
объем (Гбит/с, сетевых пакетов/с);
-
перечень сетевых адресов, являющихся источником атак;
-
перечень сетевых адресов, подверженных атакам;
-
принимаемые меры защиты;
-
Меры, направленные на защиту от атак типа «отказ в обслуживании», должны предусматривать:
-
взаимодействие с:
-
государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ;
-
Центром мониторинга и управления сетью связи общего пользования;
-
провайдером хостинга или организацией, предоставляющей услуги связи;
-
-
определение порядка взаимодействия с провайдером хостинга по совместному блокированию атак типа «отказ в обслуживании» и разграничению зон ответственности при таком блокировании;
-
обеспечение доступности из сети «Интернет» интерфейсов и сервисов, подлежащих защите от атак типа «отказ в обслуживании» после принятия мер по контролю и фильтрации исходящего и входящего сетевого трафика;
-
возможность размещения ИС и значимых объектов в информационно-телекоммуникационной инфраструктуре провайдера хостинга, обеспечивающего защиту от атак типа «отказ в обслуживании», или осуществление защиты путем перенаправления сетевого трафика на программно-аппаратные средства организации, оказывающей услуги по контролю, фильтрации и блокированию сетевых запросов (при отсутствии технической возможности у оператора самостоятельно организовать защиту);
-
использование для осуществления контроля, фильтрации и блокирования сетевых запросов, обладающих признаками атак типа «отказ в обслуживании» программно-аппаратных средств, расположенных на территории РФ.
Персональные данные
Персональные данные
Расширение случаев использования биометрических ПДн, размещенных в ЕБС с использованием мобильного приложения
Опубликован проект постановления Правительства РФ «О внесении изменений в постановление Правительства РФ от 15.06.2022 № 1067».
Изменениями предлагается расширить случаи использования биометрических персональных данных (далее – ПДн), размещенных физическим лицом в единой биометрической системе (далее – ЕБС) с использованием мобильного приложения ЕБС.
Так:
-
при отсутствии сведений о физическом лице в единой системе идентификации и аутентификации;
-
при наличии согласия физического лица на размещение и обработку биометрических ПДн, подписанного простой электронной подписью,
биометрические ПДн, размещенные с использованием мобильного приложения, могут использоваться в случаях:
-
осуществления продажи алкогольных и безалкогольных тонизирующих напитков (энергетических), табачной или никотинсодержащей продукции и т.д;
-
подтверждения факта нахождения гражданина в живых в целях продления выплаты страховой пенсии и фиксированной выплаты гражданину РФ, проживающему за пределами территории РФ.
Биометрические ПДн, размещенные с использованием мобильного приложения без подтверждения личности физического лица с использованием заграничного паспорта, содержащего электронный носитель, могут использоваться для обеспечения дополнительной аутентификации на Едином портале государственных и муниципальных услуг.
Общественное обсуждение проекта завершилось 16 ноября 2024 года.
Ответственность за нарушения в сфере ПДн
30 ноября 2024 года официально опубликован Федеральный закон от 30.11.2024 № 420-ФЗ «О внесении изменений в Кодекс РФ об административных правонарушениях».
Изменения увеличивают штрафы за нарушение обработки ПДн в случаях, не предусмотренных законодательством РФ в области ПДн, обработки ПДн, несовместимой с целями сбора ПДн, а также за повторное совершение правонарушения.
Статья |
Содержание |
Ответственность |
||
Для кого |
Было |
Стало |
||
ч. 1 ст. 13.11 |
Обработка ПДн в случаях, не предусмотренных законодательством РФ в области ПДн, либо обработка ПДн, несовместимая с целями сбора |
Граждане |
от 2 до 6 тыс. рублей |
от 10 до 15 тыс. рублей |
Должностные лица |
от 10 до 20 тыс. рублей |
от 50 до 100 тыс. рублей |
||
Юридические лица |
от 60 до 100 тыс. рублей |
от 150 до 300 тыс. рублей |
||
ч. 1.1. ст. 13.11 |
Повторное совершение административного правонарушения, предусмотренного ч. 1 ст. 13.11 |
Граждане |
от 4 до 12 тыс. рублей |
от 15 до 30 тыс. рублей |
Должностные лица |
от 10 до 50 тыс. рублей от 50 до 100 тыс. рублей (для ИП) |
от 100 до 200 тыс. рублей |
||
Юридические лица |
от 100 до 300 тыс. рублей |
от 300 до 500 тыс. рублей |
А также вводят новые составы правонарушений:
Статья |
Содержание |
Ответственность |
ч. 10 ст. 13.11 |
Невыполнение и (или) несвоевременное выполнение оператором обязанности по уведомлению Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее – Роскомнадзор) о намерении осуществлять обработку ПДн |
Граждане: от 5 до 10 тыс. рублей Должностные лица: от 30 до 50 тыс. рублей Юридические лица: от 100 до 300 тыс. рублей |
ч. 11 ст. 13.11 |
Невыполнение и (или) несвоевременное выполнение оператором обязанности по уведомлению Роскомнадзора в случае установления факта неправомерной передачи (предоставления, распространения, доступа) ПДн, повлекшей нарушение прав субъектов ПДн |
Граждане: от 50 до 100 тыс. рублей. Должностные лица: от 400 до 800 тыс. рублей. Юридические лица: от 1 до 3 млн. рублей |
ч. 12, 13, 14 ст. 13.11
|
Действия (бездействие) оператора, если эти действия (бездействие) не содержат признаков уголовно наказуемого деяния, повлекшие неправомерную передачу (предоставление, распространение, доступ) информации, включающей ПДн: |
1) от 1 до 10 тыс. субъектов ПДн или от 10 до 100 тыс. идентификаторов: ‒ граждане: от 100 до 200 тыс. рублей; ‒ должностные лица: от 200 до 400 тыс. рублей; ‒ юридические лица: от 3 до 5 млн. рублей. 2) от 10 до 100 тыс. субъектов ПДн, от 100 тыс. до 1 млн. идентификаторов: ‒ граждане: от 200 до 300 тыс. рублей; ‒ должностные лица: от 300 до 500 тыс. рублей; ‒ юридические лица: от 5 до 10 млн. рублей. 3) более 100 тыс. субъектов ПДн, более 1 млн. идентификаторов ‒ граждане: от 300 до 400 тыс. рублей; ‒ должностные лица: от 400 до 600 тыс. рублей; ‒ юридические лица: от 10 до 15 млн. рублей. |
ч. 16 ст. 13.11 |
Действия (бездействие) оператора, повлекшие неправомерную передачу (предоставление, распространение, доступ) информации, включающей специальную категорию ПДн |
Граждане: от 300 до 400 тыс. рублей. Должностные лица: от 1 до 1,3 млн. рублей Юридические лица: от 10 до 15 млн. рублей |
ч. 17 ст. 13.11 |
Действия (бездействие) оператора, повлекшие неправомерную передачу (предоставление, распространение, доступ) информации, включающей биометрические ПДн |
Граждане: от 400 до 500 тыс. рублей Должностные лица: от 1,3 до 1,5 млн. рублей Юридические лица: от 15 до 20 млн. рублей |
ч. 15 ст. 13.11 |
Совершение административного правонарушения, предусмотренного ч. 12-14 ст. 13.11, лицами, которые ранее уже привлекались в соответствии с ч. 12-15, 16-18 ст. 13.11 КоАП РФ за действия (бездействие), повлекшие неправомерную передачу (предоставление, распространение, доступ) информации, включающей ПДн |
Граждане: от 400 до 600 тыс. рублей Должностные лица: от 800 тыс. до 1,2 млн. рублей Юридические лица: от 1% до 3% от выручки, но не менее 20 млн. и не более 500 млн. рублей |
ч. 18 ст. 13.11 |
Совершение административного правонарушения, предусмотренного ч. 16 или 17 ст. 13.11, лицом, которое ранее уже привлекалось в соответствии с ч. 12-18 ст.13.11 КоАП РФ к административной ответственности |
Граждане: от 500 до 800 тыс. рублей Должностные лица: от 1,5 до 2 млн. рублей Юридические лица: от 1% до 3% от выручки, но не менее 25 млн. и не более 500 млн. рублей |
ч. 2 ст. 13.11.3 |
Нарушение порядка обработки биометрических ПДн в ЕБС, порядка обработки биометрических ПДн, векторов ЕБС в информационных системах государственных органов, Центрального банка РФ, организаций, прошедших аккредитацию и осуществляющих аутентификацию на основе биометрических ПДн физических лиц, либо требований к информационным технологиям и техническим средствам, предназначенным для обработки биометрических ПДн, векторов ЕБС в целях проведения идентификации и (или) аутентификации |
Должностные лица: от 100 до 300 тыс. рублей Юридические лица: от 500 тыс. до 1 млн. рублей |
ч. 3 ст. 13.11.3 |
Непринятие организационных и технических мер по обеспечению безопасности биометрических ПДн при их обработке в ЕБС, ее взаимодействии с иными информационными системами либо непринятие организационных и технических мер по обеспечению безопасности биометрических ПДн при их обработке в иных информационных системах, обеспечивающих аутентификацию с использованием биометрических ПДн физических лиц, в том числе в информационных системах аккредитованных государственных органов. |
Должностные лица: от 300 до 500 тыс. рублей Юридические лица: от 1 млн. до 1,5 млн. рублей |
ч. 4 ст. 13.11.3 |
Обработка биометрических ПДн, векторов ЕБС для аутентификации физических лиц в информационных системах государственных органов, организаций, информационной системе Центрального банка РФ без аккредитации либо в случае, если аккредитация приостановлена или прекращена |
Должностные лица: от 500 тыс. до 1 млн. рублей Юридические лица: от 1 млн. до 2 млн. рублей |
Изменения вступают в силу 30 мая 2025 года. Детальнее изменения будут рассмотрены Аналитическим центром УЦСБ в отдельной статье.
Также официально опубликован Федеральный закон от 30.11.2024 № 421-ФЗ
«О внесении изменений в Уголовный кодекс РФ», который вступает в силу с 11 декабря 2024 года и предусматривает ответственность за незаконное использование ПДн.
Обезличивание сведений о получателях медицинской помощи
Опубликован проект приказа Министерства здравоохранения РФ «Об утверждении Порядка обезличивания сведений о лицах, которым оказывается медицинская помощь, а также о лицах, в отношении которых проводятся медицинские экспертизы, медицинские осмотры и медицинские освидетельствования», разработанный с целью защиты сведений, обрабатываемых в подсистеме «Федеральная интегрированная электронная медицинская карта», от несанкционированного использования.
Сведения, подлежащие обезличиванию:
-
фамилия, имя, отчество;
-
дата и место рождения;
-
данные документа, удостоверяющего личность;
-
место жительства, регистрации, дата регистрации;
-
страховой номер индивидуального лицевого счета;
-
номер полиса обязательного медицинского страхования застрахованного лица.
Пол, гражданство, анамнез, диагноз, а также ряд сведений, касающийся организации, осуществляющей медицинскую деятельность, и оказанной медицинской помощи не подлежит обезличиванию, а служит для сопоставления результатов обезличивания.
Проект устанавливает требования к результату обезличивания сведений, в частности, сохранение полноты, структурированности, релевантности и семантической целостности данных, а также описывает последовательность действий при обезличивании.
Обезличивание планируется выполнять автоматически при поступлении сведений в подсистему обезличивания. Результат обезличивания сведений формируется в следующем составе:
-
идентификатор, рассчитанный путем криптографического преобразования;
-
результат преобразования сведений, подлежащих обезличиванию;
-
сведения, служащие для сопоставления результатов обезличивания.
Планируется, что в случае принятия приказа, он будет действовать с 1 сентября 2025 года до 1 сентября 2031 года.
Безопасность финансовых организаций
Безопасность финансовых организаций
Стандарты по обеспечению безопасности с использованием протокола OpenID Connect
7 октября 2024 года были введены в действие стандарты Банка России:
-
СТО БР ФАПИ.СЕК-1.6-2024 «Безопасность финансовых (банковских) операций. Прикладные программные интерфейсы обеспечения безопасности финансовых сервисов на основе протокола OpenID Connect. Требования» (взамен СТО БР ФАПИ.СЕК-1.6-2020);
-
СТО БР ФАПИ.ПАОК-1.0-2024 «Безопасность финансовых (банковских) операций. Прикладные программные интерфейсы. Обеспечение безопасности финансовых сервисов при инициации OpenID Connect клиентом потока аутентификации по отдельному каналу. Требования» (взамен СТО БР ФАПИ.ПАОК-1.0-2021).
Стандарты разработаны для обеспечения безопасности при применении API и основаны на спецификациях технологии OpenID Connect Core. Стандарты содержат требования к организациям финансового рынка по обеспечению необходимого уровня защищенности информации при передаче ПДн и банковской тайны, а также рекомендованы к использованию при создании и оценке соответствия программных средств, предназначенных для безопасного обмена финансовыми сообщениями в среде Открытых банковских интерфейсов.
СТО БР ФАПИ.СЕК-1.6-2024
СТО БР ФАПИ.СЕК-1.6-2024 содержит требования и рекомендации для обеспечения безопасного доступа к данным в финансовых сервисах реального времени с использованием модели REST/JSON, защищенной технологией авторизации OAuth 2.0, включая профилирующий ее протокол OpenID Connect.
Стандарт содержит профили безопасности, обеспечивающие определенный уровень доверия к идентификации и аутентификации в соответствии с СТО БР БФБО-1.8‑2024 при передаче финансовой информации, а именно:
-
базовый профиль безопасности OpenID API, обеспечивающий средний уровень доверия. Подходит для защиты API, при использовании которых не передаются банковская тайна или ПДн.
-
расширенный профиль безопасности OpenID API, обеспечивающий высокий уровень доверия. Подходит для защиты API, которые могут обрабатывать конфиденциальные данные или иметь повышенные требования к безопасности.
СТО БР ФАПИ.СЕК-1.6-2024 учитывает методические рекомендации МР.26.2.002‑2024 «Информационная технология. Криптографическая защита информации. Использование российских криптографических алгоритмов в протоколах OpenID Connect» и дополняет их в части требований при реализации взаимодействия с использованием Открытых банковских интерфейсов.
СТО БР ФАПИ.ПАОК-1.0-2024
СТО БР ФАПИ.ПАОК-1.0-2024 содержит дополнительные требования и рекомендации для обеспечения безопасного доступа к данным в финансовых сервисах реального времени с использованием модели REST/JSON, защищенной технологией авторизации OAuth 2.0, включая профилирующий ее протокол OpenID Connect при инициировании клиентом потока аутентификации по отдельному каналу.
Стандарт описывает:
-
реализацию OpenID Connect при аутентификации по отдельному каналу;
-
профиль безопасности OpenID API с использованием потока аутентификации по отдельному каналу. Данный профиль применяется как к базовому, так и к расширенному профилю безопасности СТО БР ФАПИ.СЕК-1.6-2024.
Иное
Изменения в Правилах формирования и ведения реестра провайдеров хостинга
Для общественного обсуждения представлен проект постановления Правительства РФ «О внесении изменений в постановление Правительства РФ от 28.11.2023 № 2008», согласно которому в реестр провайдеров хостинга предлагается включить следующие сведения:
-
информациюо лицах, которым предоставлены вычислительные мощности для размещения информации в ИС, постоянно подключенной к сети «Интернет»:
-
для физических лиц — страну выдачи документов, удостоверяющих личность (при наличии);
-
для российских юридических лиц — наименование, идентификационный номер налогоплательщика;
-
для иностранных юридических лиц — наименование, страну регистрации (при наличии), адрес юридического лица, указанный в договоре с провайдером хостинга, налоговый идентификатор, сетевые адреса и доменные имена, выделенные для размещения информации в ИС, постоянно подключенной к сети «Интернет»;
-
-
информацию о производительности и вычислительной мощности инфраструктуры провайдера хостинга:
-
общее количество серверного оборудования с указанием его характеристик;
-
наименование (количество) процессоров;
-
объем оперативной памяти;
-
наименование (количество) графических процессоров (при наличии;
-
объем дискового пространства.
-
Планируется, что в случае принятия, постановление вступит в силу с 1 января 2025 года.
Стандартизация
Системы автоматизированного управления учетными записями и правами доступа
Официально опубликован ГОСТ Р 71753-2024 «Защита информации. Системы автоматизированного управления учетными записями и правами доступа. Общие требования». Стандарт устанавливает требования к системам управления учетными записями и правами доступа пользователей, а также к автоматизации процессов, связанных с предоставлением доступа.
Стандарт выделяет два уровня управления – управление объектами информационных ресурсов и управление правами доступа пользователей.
Управление объектами информационных ресурсов подразумевает формирование единого каталога пользователей, обеспечение синхронизации каталога с источником кадровых данных и обеспечение своевременного изменения каталога, а также управление учетными записями и парольными политиками.
Управление правами доступа пользователей включает формирование матрицы легальных прав доступа организации, выбор подхода к управлению доступом, управление ролевой моделью организации, а также групповыми и индивидуальными правами доступа пользователей.
Также стандарт содержит меры защиты информации, которые необходимо соблюдать в системе управления учетными записями и правами доступа, среди которых:
-
идентификация и аутентификация субъектов и объектов доступа;
-
управление правами доступа;
-
регистрация событий безопасности;
-
анализ защищенности;
-
обеспечение доступности;
-
защита системы, средств, систем связи и передачи данных;
-
выявление инцидентов.
Стандарт вводится в действие с 20 декабря 2024 года.
Стандарт Разработка безопасного ПО
Официально опубликован ГОСТ Р 56939-2024 «Защита информации. Разработка безопасного программного обеспечения (далее — ПО). Общие требования», который введен взамен ГОСТ Р 56939-2016.
В отличии от ГОСТ Р 56939-2016, который содержал меры по разработке безопасного ПО и ограничивался анализом требований, проектированием архитектуры, конструированием, комплексированием, тестированием и менеджментом, новый стандарт включает обновленные требования, содержит большее количество артефактов, а также более детально декомпозирует процесс разработки безопасного ПО на процессы:
-
планирование процессов разработки безопасного ПО;
-
формирование и предъявление требований безопасности;
-
управление конфигурацией;
-
управление недостатками и запросами на изменение;
-
разработка, уточнение и анализ архитектуры;
-
моделирование угроз и разработка описания поверхности атак;
-
формирование и поддержание в актуальном состоянии правил кодирования;
-
экспертиза исходного кода;
-
статический, динамический анализ кода;
-
использование безопасной системы сборки;
-
обеспечение безопасности используемых секретов и иные.
Каждый процесс сдержит цель его реализации, требования к реализации и артефакты. Артефактами может являться любая информация, подтверждающая реализацию требований. Так, например, артефактами процесса управления недостатками и запросами на изменение являются регламент управления недостатками ПО и регламент управления запросами на изменение ПО.
Стандарт вводится в действие с 20 декабря 2024 года.
Деятельность ФСТЭК России
Выписка из Программы национальной стандартизации на 2025 год
На сайте ФСТЭК России опубликована Выписка из Программы национальной стандартизации на 2025 год в части разработки национальных стандартов в рамках деятельности технического комитета по стандартизации «Защита информации» (далее – ТК 362), согласно которой в 2025 году планируется утвердить следующие стандарты:
-
ГОСТ Р «Защита информации. Идентификация и аутентификация. Управление идентификацией и аутентификацией»;
-
ГОСТ Р «Защита информации. Разработка безопасного программного обеспечения. Композиционный анализ программного обеспечения. Общие требования»;
-
ГОСТ Р «Защита информации. Разработка безопасного программного обеспечения. Руководство по проведению динамического анализа программного обеспечения»;
-
ГОСТ Р «Защита информации. Системы с конструктивной информационной безопасностью. Методология разработки»;
-
ГОСТ Р «Защита информации. Формальная модель управления доступом. Часть 3. Рекомендации по разработке»;
-
ГОСТ Р «Защита информации. Идентификация и аутентификация. Типовые угрозы и уязвимости процессов идентификации и аутентификации»;
-
ГОСТ Р «Формальная модель управления доступом. Часть 4. Рекомендации по верификации средства защиты информации, реализующего политики управления доступом, на основе формализованных описаний модели управления доступом»;
-
ГОСТ Р «Защита информации. Идентификация и аутентификация. Рекомендации по управлению идентификацией и аутентификацией»;
-
ГОСТ Р «Защита информации. Техника защиты информации. Классификация средств защиты информации от несанкционированного доступа и номенклатура показателей качества»;
-
ГОСТ Р «Защита информации. Защита информации от утечки из программной среды информационных и автоматизированных систем. Общие положения»;
-
ГОСТ Р «Защита информации. Доверенная среда исполнения. Общие требования
-
ГОСТ Р «Защита информации. Разработка безопасного программного обеспечения. Термины и определения»;
-
ГОСТ Р «Защита информации. Разработка безопасного программного обеспечения. Методика оценки уровня внедрения процессов разработки безопасного программного обеспечения»;
-
ГОСТ Р «Защита информации. Разработка безопасного программного обеспечения. Руководство по внедрению процессов разработки безопасного программного обеспечения».
В 2026 году планируется утвердить ГОСТ Р «Защита информации. Информационный ресурс служебных баз данных средств защиты информации. Общие положения».
Деятельность ТК 362
ФСТЭК России на своем официальном сайте опубликовала:
-
справку-доклад о ходе работ по плану ТК 362 на 2024 год по состоянию на 30 октября 2024 года;
-
справку-доклад о ходе работ по плану ТК 362 на 2024 год по состоянию на 26 ноября 2024 года.
В интересах выполнения плана в октябре и ноябре были проведены следующие работы:
-
завершены работы по подготовке и утверждению проектов национальных стандартов:
-
ГОСТ Р 56939-2024 «Защита информации. Разработка безопасного программного обеспечения. Общие требования»;
-
ГОСТ Р 71753-2024 «Защита информации. Система автоматизированного управления учетными записями и правами доступа. Общие требования»;
-
-
утверждены решения о предоставлении в Федеральное агентство по техническому регулированию и метрологии и проводятся работы по заключению договора на издательское редактирование проектов национальных стандартов:
-
ГОСТ Р «Защита информации. Формальная модель управления доступом. Часть 3. Рекомендации по разработке»;
-
ГОСТ Р «Защита информации. Формальная модель управления доступом. Часть 4. Рекомендации по верификации средства защиты информации, реализующего политики управления доступом, на основе формализованных описаний модели управления доступом»;
-
-
организовано рассмотрение:
-
проекта национального стандарта ГОСТ Р «Защита информации. Доверенная среда исполнения. Общие положения»;
-
проекта предварительного национального стандарта ПНСТ «Критическая информационная инфраструктура. Доверенные программно-аппаратные комплексы. Классификация»;
-
проекта национального стандарта ГОСТ Р «Аэродромы гражданские. Искусственные покрытия. Искусственный интеллект при распознавании дефектов. Общие положения»;
-
-
дорабатываются проекты национальных стандартов:
-
ГОСТ Р «Защита информации. Защита информации от неправомерной передачи или распространения из информационных и автоматизированных систем. Общие положения»;
-
ГОСТ Р «Защита информации. Разработка безопасного программного обеспечения. Композиционный анализ программного обеспечения. Общие требования».
-
Автор: Любовь Лобачева, аналитик УЦСБ
ссылка на оригинал статьи https://habr.com/ru/articles/865354/
Добавить комментарий