Обзор изменений в законодательстве ИТ и ИБ за ноябрь 2024 года

от автора

В обзоре изменений за ноябрь 2024 года рассмотрим следующие темы:

1. Критическая информационная инфраструктура

Рассмотрим новые требования приказов ФСТЭК России № 239 и № 17 по защите от атак, направленных на отказ в обслуживании.

2. Персональные данные

Представлены проекты, предусматривающие:

  • расширение перечня случаев, когда разрешено использование биометрических ПДн субъекта, размещенных в ЕБС с использованием мобильного приложения;

  • обезличивание сведений о получателях медицинской помощи.

Официально опубликованы изменения в КоАП РФ, ужесточающие ответственность за нарушения в сфере ПДн.

3. Безопасность финансовых организаций

Рассмотрим стандарты Банка России:

  • Безопасность финансовых (банковских) операций. Прикладные программные интерфейсы обеспечения безопасности финансовых сервисов на основе протокола OpenID Connect. Требования;

  • Безопасность финансовых (банковских) операций. Прикладные программные интерфейсы. Обеспечение безопасности финансовых сервисов при инициации OpenID Connect клиентом потока аутентификации по отдельному каналу. Требования.

4. Иное

В реестр провайдеров хостинга предложено включать информацию о лицах, которым предоставлены вычислительные мощности, и информацию о производительности и вычислительной мощности инфраструктуры провайдера.

5. Стандартизация

Опубликованы ГОСТ Р 71 753–2024 «Защита информации. Системы автоматизированного управления учетными записями и правами доступа. Общие требования» и ГОСТ Р 56 939–2024 «Защита информации. Разработка безопасного ПО. Общие требования»

6. Деятельность ФСТЭК России

Опубликованы справка‑доклад за октябрь и ноябрь о ходе работ по плану ТК 362 на 2024 год и выписка из Программы национальной стандартизации на 2025 год с планами по разработке и утверждению стандартов на 2025 год.

Критическая информационная инфраструктура

Требования по защите от атак, направленных на отказ в обслуживании

5 ноября 2024 года вступил в силу приказ Федеральной службы по техническому и экспортному контролю Российской Федерации (далее – ФСТЭК России, РФ) от 28.08.2024 № 159 «О внесении изменений в Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденные приказом ФСТЭК России от 11.02.2013 № 17, и Требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры РФ, утвержденные приказом ФСТЭК России от 25.12.2017 № 239».

В отношении значимых объектов критической информационной инфраструктуры (далее – КИИ) и информационных систем (далее – ИС), имеющих интерфейсы и сервисы, которые должны быть постоянно доступны из сети «Интернет», должны применяться следующие меры защиты от атак типа «отказ в обслуживании»:

  • выявление интерфейсов и сервисов, к которым должен быть обеспечен постоянный доступ из сети «Интернет»;

  • выявление публичных сетевых адресов и доменных имен, используемых для обеспечения функционирования, определение их назначения;

  • выявление и исключение интерфейсов и сервисов, доступных из сети «Интернет», публичных сетевых адресов и доменных имен, не используемых для обеспечения функционирования или принадлежность которых не установлена;

  • формирование матрицы коммуникаций, содержащей перечень ресурсов сети «Интернет», с которыми может взаимодействовать ИС или значимый объект КИИ, а также исходящие и входящие сетевые потоки, их характеристики, используемые протоколы;

  • определение сетевых адресов, с которыми должно быть обеспечено взаимодействие;

  • формирование списка разрешенных сетевых адресов в условиях реализации атак типа «отказ в обслуживании»;

  • использование средств, обеспечивающих:

    • анализ и фильтрацию сетевых запросов на максимально возможной скорости;

    • возможность блокирования сетевых запросов, обладающих признаками атак типа «отказ в обслуживании» на сетевом и прикладном уровнях;

  • наличие двукратного резерва пропускной способности каналов передачи данных относительно объемов трафика в условиях отсутствия реализации атак;

  • использование данных, полученных при взаимодействии с Центром мониторинга и управления сетью связи общего пользования;

  • обеспечение хранения в течение трех лет следующей информации о фактах реализации атак:

    • дата и время начала и окончания реализации атаки;

    • тип атаки;

    • объем (Гбит/с, сетевых пакетов/с);

    • перечень сетевых адресов, являющихся источником атак;

    • перечень сетевых адресов, подверженных атакам;

    • принимаемые меры защиты;

Меры, направленные на защиту от атак типа «отказ в обслуживании», должны предусматривать:

  • взаимодействие с:

    • государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ;

    • Центром мониторинга и управления сетью связи общего пользования;

    • провайдером хостинга или организацией, предоставляющей услуги связи;

  • определение порядка взаимодействия с провайдером хостинга по совместному блокированию атак типа «отказ в обслуживании» и разграничению зон ответственности при таком блокировании;

  • обеспечение доступности из сети «Интернет» интерфейсов и сервисов, подлежащих защите от атак типа «отказ в обслуживании» после принятия мер по контролю и фильтрации исходящего и входящего сетевого трафика;

  • возможность размещения ИС и значимых объектов в информационно-телекоммуникационной инфраструктуре провайдера хостинга, обеспечивающего защиту от атак типа «отказ в обслуживании», или осуществление защиты путем перенаправления сетевого трафика на программно-аппаратные средства организации, оказывающей услуги по контролю, фильтрации и блокированию сетевых запросов (при отсутствии технической возможности у оператора самостоятельно организовать защиту);

  • использование для осуществления контроля, фильтрации и блокирования сетевых запросов, обладающих признаками атак типа «отказ в обслуживании» программно-аппаратных средств, расположенных на территории РФ.

Персональные данные

Персональные данные

Расширение случаев использования биометрических ПДн, размещенных в ЕБС с использованием мобильного приложения

Опубликован проект постановления Правительства РФ «О внесении изменений в постановление Правительства РФ от 15.06.2022 № 1067».

Изменениями предлагается расширить случаи использования биометрических персональных данных (далее – ПДн), размещенных физическим лицом в единой биометрической системе (далее – ЕБС) с использованием мобильного приложения ЕБС.

Так:

  • при отсутствии сведений ‎о физическом лице в единой системе идентификации и аутентификации;

  • при наличии согласия физического лица на размещение ‎и обработку биометрических ПДн, подписанного простой электронной подписью,

биометрические ПДн, размещенные с использованием мобильного приложения, могут использоваться в случаях:

  • осуществления продажи алкогольных и безалкогольных тонизирующих напитков (энергетических), табачной ‎или никотинсодержащей продукции и т.д;

  • подтверждения факта нахождения гражданина в живых в целях продления выплаты страховой пенсии и фиксированной выплаты гражданину РФ, проживающему за пределами территории РФ.

Биометрические ПДн, размещенные с использованием мобильного приложения без подтверждения личности физического лица с использованием заграничного паспорта, содержащего электронный носитель, могут использоваться для обеспечения дополнительной аутентификации на Едином портале государственных и муниципальных услуг.

Общественное обсуждение проекта завершилось 16 ноября 2024 года.

Ответственность за нарушения в сфере ПДн

30 ноября 2024 года официально опубликован Федеральный закон от 30.11.2024 № 420-ФЗ «О внесении изменений в Кодекс РФ об административных правонарушениях».

Изменения увеличивают штрафы за нарушение обработки ПДн в случаях, не предусмотренных законодательством РФ в области ПДн, обработки ПДн, несовместимой с целями сбора ПДн, а также за повторное совершение правонарушения.

Статья

Содержание

Ответственность

Для кого

Было

Стало

ч. 1

ст. 13.11

Обработка ПДн в случаях, не предусмотренных законодательством РФ в области ПДн, либо обработка ПДн, несовместимая с целями сбора

Граждане

от 2 до 6 тыс. рублей

от 10 до 15 тыс. рублей

Должностные лица

от 10 до 20 тыс. рублей

от 50 до 100 тыс. рублей

Юридические лица

от 60 до 100 тыс. рублей

от 150 до 300 тыс. рублей

ч. 1.1. ст. 13.11

Повторное совершение административного правонарушения, предусмотренного ч. 1 ст. 13.11

Граждане

от 4 до 12 тыс. рублей

от 15 до 30 тыс. рублей

Должностные лица

от 10 до 50 тыс. рублей

от 50 до 100 тыс. рублей (для ИП)

от 100 до 200 тыс. рублей

Юридические лица

от 100 до 300 тыс. рублей

от 300 до 500 тыс. рублей

А также вводят новые составы правонарушений:

Статья

Содержание

Ответственность

ч. 10

ст. 13.11

Невыполнение и (или) несвоевременное выполнение оператором обязанности по уведомлению Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее – Роскомнадзор) о намерении осуществлять обработку ПДн

Граждане: от 5 до 10 тыс. рублей

Должностные лица: от 30 до 50 тыс. рублей

Юридические лица: от 100 до 300 тыс. рублей

ч. 11

ст. 13.11

Невыполнение и (или) несвоевременное выполнение оператором обязанности по уведомлению Роскомнадзора в случае установления факта неправомерной передачи (предоставления, распространения, доступа) ПДн, повлекшей нарушение прав субъектов ПДн

Граждане: от 50 до 100 тыс. рублей.

Должностные лица: от 400 до 800 тыс. рублей.

Юридические лица: от 1 до 3 млн. рублей

ч. 12, 13, 14

ст. 13.11

 

Действия (бездействие) оператора, если эти действия (бездействие) не содержат признаков уголовно наказуемого деяния, повлекшие неправомерную передачу (предоставление, распространение, доступ) информации, включающей ПДн:

1)     от 1 до 10 тыс. субъектов ПДн или от 10 до 100 тыс. идентификаторов:

‒    граждане: от 100 до 200 тыс. рублей;

‒    должностные лица: от 200 до 400 тыс. рублей;

‒    юридические лица: от 3 до 5 млн. рублей.

2)     от 10 до 100 тыс. субъектов ПДн, от 100 тыс. до 1 млн. идентификаторов:

‒    граждане: от 200 до 300 тыс. рублей;

‒    должностные лица: от 300 до 500 тыс. рублей;

‒    юридические лица: от 5 до 10 млн. рублей.

3)     более 100 тыс. субъектов ПДн, более 1 млн. идентификаторов

‒    граждане: от 300 до 400 тыс. рублей;

‒    должностные лица: от 400 до 600 тыс. рублей;

‒    юридические лица: от 10 до 15 млн. рублей.

ч. 16 ст. 13.11

Действия (бездействие) оператора, повлекшие неправомерную передачу (предоставление, распространение, доступ) информации, включающей специальную категорию ПДн

Граждане: от 300 до 400 тыс. рублей.

Должностные лица: от 1 до 1,3 млн. рублей

Юридические лица: от 10 до 15 млн. рублей

ч. 17 ст. 13.11

Действия (бездействие) оператора, повлекшие неправомерную передачу (предоставление, распространение, доступ) информации, включающей биометрические ПДн

Граждане: от 400 до 500 тыс. рублей

Должностные лица: от 1,3 до 1,5 млн. рублей

Юридические лица: от 15 до 20 млн. рублей

ч. 15 ст. 13.11

Совершение административного правонарушения, предусмотренного ч. 12-14 ст. 13.11, лицами, которые ранее уже привлекались в соответствии с ч. 12-15, 16-18 ст. 13.11 КоАП РФ за действия (бездействие), повлекшие неправомерную передачу (предоставление, распространение, доступ) информации, включающей ПДн

Граждане: от 400 до 600 тыс. рублей

Должностные лица: от 800 тыс. до 1,2 млн. рублей

Юридические лица: от 1% до 3% от выручки, но не менее 20 млн. и не более 500 млн. рублей

ч. 18 ст. 13.11

Совершение административного правонарушения, предусмотренного ч. 16 или 17 ст. 13.11, лицом, которое ранее уже привлекалось в соответствии с ч. 12-18 ст.13.11 КоАП РФ к административной ответственности 

Граждане: от 500 до 800 тыс. рублей

Должностные лица: от 1,5 до 2 млн. рублей

Юридические лица: от 1% до 3% от выручки, но не менее 25 млн. и не более 500 млн. рублей

ч. 2 ст. 13.11.3

Нарушение порядка обработки биометрических ПДн в ЕБС, порядка обработки биометрических ПДн, векторов ЕБС в информационных системах государственных органов, Центрального банка РФ, организаций, прошедших аккредитацию и осуществляющих аутентификацию на основе биометрических ПДн физических лиц, либо требований к информационным технологиям и техническим средствам, предназначенным для обработки биометрических ПДн, векторов ЕБС в целях проведения идентификации и (или) аутентификации

Должностные лица: от 100 до 300 тыс. рублей

Юридические лица: от 500 тыс. до 1 млн. рублей

ч. 3

ст. 13.11.3

Непринятие организационных и технических мер по обеспечению безопасности биометрических ПДн при их обработке в ЕБС, ее взаимодействии с иными информационными системами либо непринятие организационных и технических мер по обеспечению безопасности биометрических ПДн при их обработке в иных информационных системах, обеспечивающих аутентификацию с использованием биометрических ПДн физических лиц, в том числе в информационных системах аккредитованных государственных органов.

Должностные лица: от 300 до 500 тыс. рублей

Юридические лица: от 1 млн. до 1,5 млн. рублей

ч. 4 ст. 13.11.3

Обработка биометрических ПДн, векторов ЕБС для аутентификации физических лиц в информационных системах государственных органов, организаций, информационной системе Центрального банка РФ без аккредитации либо в случае, если аккредитация приостановлена или прекращена

Должностные лица: от 500 тыс. до 1 млн. рублей

Юридические лица: от 1 млн. до 2 млн. рублей

Изменения вступают в силу 30 мая 2025 года. Детальнее изменения будут рассмотрены Аналитическим центром УЦСБ в отдельной статье.

Также официально опубликован Федеральный закон от 30.11.2024 № 421-ФЗ
«О внесении изменений в Уголовный кодекс РФ», который вступает в силу с 11 декабря 2024 года и предусматривает ответственность за незаконное использование ПДн.

Обезличивание сведений о получателях медицинской помощи

Опубликован проект приказа Министерства здравоохранения РФ «Об утверждении Порядка обезличивания сведений о лицах, которым оказывается медицинская помощь, а также о лицах, в отношении которых проводятся медицинские экспертизы, медицинские осмотры и медицинские освидетельствования», разработанный с целью защиты сведений, обрабатываемых в подсистеме «Федеральная интегрированная электронная медицинская карта», от несанкционированного использования.

Сведения, подлежащие обезличиванию:

  • фамилия, имя, отчество;

  • дата и место рождения;

  • данные документа, удостоверяющего личность;

  • место жительства, регистрации, дата регистрации;

  • страховой номер индивидуального лицевого счета;

  • номер полиса обязательного медицинского страхования застрахованного лица.

Пол, гражданство, анамнез, диагноз, а также ряд сведений, касающийся организации, осуществляющей медицинскую деятельность, и оказанной медицинской помощи не подлежит обезличиванию, а служит для сопоставления результатов обезличивания.

Проект устанавливает требования к результату обезличивания сведений, в частности, сохранение полноты, структурированности, релевантности и семантической целостности данных, а также описывает последовательность действий при обезличивании.

Обезличивание планируется выполнять автоматически при поступлении сведений в подсистему обезличивания. Результат обезличивания сведений формируется в следующем составе:

  • идентификатор, рассчитанный путем криптографического преобразования;

  • результат преобразования сведений, подлежащих обезличиванию;

  • сведения, служащие для сопоставления результатов обезличивания.

Планируется, что в случае принятия приказа, он будет действовать с 1 сентября 2025 года до 1 сентября 2031 года.

Безопасность финансовых организаций

Безопасность финансовых организаций

Стандарты по обеспечению безопасности с использованием протокола OpenID Connect

7 октября 2024 года были введены в действие стандарты Банка России:

  • СТО БР ФАПИ.СЕК-1.6-2024 «Безопасность финансовых (банковских) операций. Прикладные программные интерфейсы обеспечения безопасности финансовых сервисов на основе протокола OpenID Connect. Требования» (взамен СТО БР ФАПИ.СЕК-1.6-2020);

  • СТО БР ФАПИ.ПАОК-1.0-2024 «Безопасность финансовых (банковских) операций. Прикладные программные интерфейсы. Обеспечение безопасности финансовых сервисов при инициации OpenID Connect клиентом потока аутентификации по отдельному каналу. Требования» (взамен СТО БР ФАПИ.ПАОК-1.0-2021).

Стандарты разработаны для обеспечения безопасности при применении API и основаны на спецификациях технологии OpenID Connect Core. Стандарты содержат требования к организациям финансового рынка по обеспечению необходимого уровня защищенности информации при передаче ПДн и банковской тайны, а также рекомендованы к использованию при создании и оценке соответствия программных средств, предназначенных для безопасного обмена финансовыми сообщениями в среде Открытых банковских интерфейсов.

СТО БР ФАПИ.СЕК-1.6-2024

СТО БР ФАПИ.СЕК-1.6-2024 содержит требования и рекомендации для обеспечения безопасного доступа к данным в финансовых сервисах реального времени с использованием модели REST/JSON, защищенной технологией авторизации OAuth 2.0, включая профилирующий ее протокол OpenID Connect.

Стандарт содержит профили безопасности, обеспечивающие определенный уровень доверия к идентификации и аутентификации в соответствии с СТО БР БФБО-1.8‑2024 при передаче финансовой информации, а именно:

  • базовый профиль безопасности OpenID API, обеспечивающий средний уровень доверия. Подходит для защиты API, при использовании которых не передаются банковская тайна или ПДн.

  • расширенный профиль безопасности OpenID API, обеспечивающий высокий уровень доверия. Подходит для защиты API, которые могут обрабатывать конфиденциальные данные или иметь повышенные требования к безопасности.

СТО БР ФАПИ.СЕК-1.6-2024 учитывает методические рекомендации МР.26.2.002‑2024 «Информационная технология. Криптографическая защита информации. Использование российских криптографических алгоритмов в протоколах OpenID Connect» и дополняет их в части требований при реализации взаимодействия с использованием Открытых банковских интерфейсов.

СТО БР ФАПИ.ПАОК-1.0-2024

СТО БР ФАПИ.ПАОК-1.0-2024 содержит дополнительные требования и рекомендации для обеспечения безопасного доступа к данным в финансовых сервисах реального времени с использованием модели REST/JSON, защищенной технологией авторизации OAuth 2.0, включая профилирующий ее протокол OpenID Connect при инициировании клиентом потока аутентификации по отдельному каналу.

Стандарт описывает:

  • реализацию OpenID Connect при аутентификации по отдельному каналу;

  • профиль безопасности OpenID API с использованием потока аутентификации по отдельному каналу. Данный профиль применяется как к базовому, так и к расширенному профилю безопасности СТО БР ФАПИ.СЕК-1.6-2024.

Иное

Изменения в Правилах формирования и ведения реестра провайдеров хостинга

Для общественного обсуждения представлен проект постановления Правительства РФ «О внесении изменений ‎в постановление Правительства РФ ‎от 28.11.2023 № 2008», согласно которому в реестр провайдеров хостинга предлагается включить следующие сведения:

  • информациюо лицах, которым предоставлены вычислительные мощности для размещения информации в ИС, постоянно подключенной к сети «Интернет»:

    • для физических лиц — страну выдачи документов, удостоверяющих личность (при наличии);

    • для российских юридических лиц — наименование, идентификационный номер налогоплательщика;

    • для иностранных юридических лиц — наименование, страну регистрации (при наличии), адрес юридического лица, указанный ‎в договоре с провайдером хостинга, налоговый идентификатор, сетевые адреса и доменные имена, выделенные для размещения информации в ИС, постоянно подключенной к сети «Интернет»;

  • информацию о производительности и вычислительной мощности инфраструктуры провайдера хостинга:

    • общее количество серверного оборудования с указанием его характеристик;

    • наименование (количество) процессоров;

    • объем оперативной памяти;

    • наименование (количество) графических процессоров (при наличии;

    • объем дискового пространства.

Планируется, что в случае принятия, постановление вступит в силу с 1 января 2025 года.

Стандартизация

Системы автоматизированного управления учетными записями и правами доступа

Официально опубликован ГОСТ Р 71753-2024 «Защита информации. Системы автоматизированного управления учетными записями и правами доступа. Общие требования». Стандарт устанавливает требования к системам управления учетными записями и правами доступа пользователей, а также к автоматизации процессов, связанных с предоставлением доступа.

Стандарт выделяет два уровня управления – управление объектами информационных ресурсов и управление правами доступа пользователей.

Управление объектами информационных ресурсов подразумевает формирование единого каталога пользователей, обеспечение синхронизации каталога с источником кадровых данных и обеспечение своевременного изменения каталога, а также управление учетными записями и парольными политиками.

Управление правами доступа пользователей включает формирование матрицы легальных прав доступа организации, выбор подхода к управлению доступом, управление ролевой моделью организации, а также групповыми и индивидуальными правами доступа пользователей.

Также стандарт содержит меры защиты информации, которые необходимо соблюдать в системе управления учетными записями и правами доступа, среди которых:

  • идентификация и аутентификация субъектов и объектов доступа;

  • управление правами доступа;

  • регистрация событий безопасности;

  • анализ защищенности;

  • обеспечение доступности;

  • защита системы, средств, систем связи и передачи данных;

  • выявление инцидентов.

Стандарт вводится в действие с 20 декабря 2024 года. 

Стандарт Разработка безопасного ПО

Официально опубликован ГОСТ Р 56939-2024 «Защита информации. Разработка безопасного программного обеспечения (далее — ПО). Общие требования», который введен взамен ГОСТ Р 56939-2016.

В отличии от ГОСТ Р 56939-2016, который содержал меры по разработке безопасного ПО и ограничивался анализом требований, проектированием архитектуры, конструированием, комплексированием, тестированием и менеджментом, новый стандарт включает обновленные требования, содержит большее количество артефактов, а также более детально декомпозирует процесс разработки безопасного ПО на процессы:

  • планирование процессов разработки безопасного ПО;

  • формирование и предъявление требований безопасности;

  • управление конфигурацией;

  • управление недостатками и запросами на изменение;

  • разработка, уточнение и анализ архитектуры;

  • моделирование угроз и разработка описания поверхности атак;

  • формирование и поддержание в актуальном состоянии правил кодирования;

  • экспертиза исходного кода;

  • статический, динамический анализ кода;

  • использование безопасной системы сборки;

  • обеспечение безопасности используемых секретов и иные.

Каждый процесс сдержит цель его реализации, требования к реализации и артефакты. Артефактами может являться любая информация, подтверждающая реализацию требований. Так, например, артефактами процесса управления недостатками и запросами на изменение являются регламент управления недостатками ПО и регламент управления запросами на изменение ПО.

Стандарт вводится в действие с 20 декабря 2024 года.

Деятельность ФСТЭК России

Выписка из Программы национальной стандартизации на 2025 год

На сайте ФСТЭК России опубликована Выписка из Программы национальной стандартизации на 2025 год в части разработки национальных стандартов в рамках деятельности технического комитета по стандартизации «Защита информации» (далее – ТК 362), согласно которой в 2025 году планируется утвердить следующие стандарты:

  • ГОСТ Р «Защита информации. Идентификация и аутентификация. Управление идентификацией и аутентификацией»;

  • ГОСТ Р «Защита информации. Разработка безопасного программного обеспечения. Композиционный анализ программного обеспечения. Общие требования»;

  • ГОСТ Р «Защита информации. Разработка безопасного программного обеспечения. Руководство по проведению динамического анализа программного обеспечения»;

  • ГОСТ Р «Защита информации. Системы с конструктивной информационной безопасностью. Методология разработки»;

  • ГОСТ Р «Защита информации. Формальная модель управления доступом. Часть 3. Рекомендации по разработке»;

  • ГОСТ Р «Защита информации. Идентификация и аутентификация. Типовые угрозы и уязвимости процессов идентификации и аутентификации»;

  • ГОСТ Р «Формальная модель управления доступом. Часть 4. Рекомендации по верификации средства защиты информации, реализующего политики управления доступом, на основе формализованных описаний модели управления доступом»;

  • ГОСТ Р «Защита информации. Идентификация и аутентификация. Рекомендации по управлению идентификацией и аутентификацией»;

  • ГОСТ Р «Защита информации. Техника защиты информации. Классификация средств защиты информации от несанкционированного доступа и номенклатура показателей качества»;

  • ГОСТ Р «Защита информации. Защита информации от утечки из программной среды информационных и автоматизированных систем. Общие положения»;

  • ГОСТ Р «Защита информации. Доверенная среда исполнения. Общие требования

  • ГОСТ Р «Защита информации. Разработка безопасного программного обеспечения. Термины и определения»;

  • ГОСТ Р «Защита информации. Разработка безопасного программного обеспечения. Методика оценки уровня внедрения процессов разработки безопасного программного обеспечения»;

  • ГОСТ Р «Защита информации. Разработка безопасного программного обеспечения. Руководство по внедрению процессов разработки безопасного программного обеспечения».

В 2026 году планируется утвердить ГОСТ Р «Защита информации. Информационный ресурс служебных баз данных средств защиты информации. Общие положения».

Деятельность ТК 362

ФСТЭК России на своем официальном сайте опубликовала:

  • справку-доклад о ходе работ по плану ТК 362 на 2024 год по состоянию на 30 октября 2024 года;

  • справку-доклад о ходе работ по плану ТК 362 на 2024 год по состоянию на 26 ноября 2024 года.

В интересах выполнения плана в октябре и ноябре были проведены следующие работы:

  • завершены работы по подготовке и утверждению проектов национальных стандартов:

    • ГОСТ Р 56939-2024 «Защита информации. Разработка безопасного программного обеспечения. Общие требования»;

    • ГОСТ Р 71753-2024 «Защита информации. Система автоматизированного управления учетными записями и правами доступа. Общие требования»;

  • утверждены решения о предоставлении в Федеральное агентство по техническому регулированию и метрологии и проводятся работы по заключению договора на издательское редактирование проектов национальных стандартов:

    • ГОСТ Р «Защита информации. Формальная модель управления доступом. Часть 3. Рекомендации по разработке»;

    • ГОСТ Р «Защита информации. Формальная модель управления доступом. Часть 4. Рекомендации по верификации средства защиты информации, реализующего политики управления доступом, на основе формализованных описаний модели управления доступом»;

  • организовано рассмотрение:

    • проекта национального стандарта ГОСТ Р «Защита информации. Доверенная среда исполнения. Общие положения»;

    • проекта предварительного национального стандарта ПНСТ «Критическая информационная инфраструктура. Доверенные программно-аппаратные комплексы. Классификация»;

    • проекта национального стандарта ГОСТ Р «Аэродромы гражданские. Искусственные покрытия. Искусственный интеллект при распознавании дефектов. Общие положения»;

  • дорабатываются проекты национальных стандартов:

    • ГОСТ Р «Защита информации. Защита информации от неправомерной передачи или распространения из информационных и автоматизированных систем. Общие положения»; 

    • ГОСТ Р «Защита информации. Разработка безопасного программного обеспечения. Композиционный анализ программного обеспечения. Общие требования».

Автор: Любовь Лобачева, аналитик УЦСБ


ссылка на оригинал статьи https://habr.com/ru/articles/865354/


Комментарии

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *