Актуальные вопросы защиты информации обсудили на ТБ-Форуме
8 февраля 2017 года в конгресс-холле «Крокус» в рамках ТБ Форума состоялась 6-ая конференция «Актуальные вопросы защиты информации», организованная Федеральной службой по техническому и экспортному контролю (ФСТЭК России). Валерий Попов, инженер по информационной безопасности Postgres Professional, принял участие в работе конференции и из первоисточника узнал о грядущих изменениях в нормативных документах, планах по разработке новых требований безопасности информации, важных для сертифицированной СУБД Postgres Pro 9.5.2.1 аспектах регулирования.
Спикерами конференции традиционно выступили представители руководства ФСТЭК России, включая начальника управления Дмитрия Шевцова, а также эксперты по информационной безопасности ведущих компаний отрасли. В числе основных результатов обсуждения можно выделить следующее.
Старые сертификаты безопасности на межсетевые экраны не прекращают свое действие, и системы, в которых они используются, не нужно переаттестовывать. Однако в текущих реализациях должны быть закрыты известные уязвимости, а новые разработки и проектные решения нужно сертифицировать только по новым требованиям.
Будет развиваться и база данных уязвимостей. ФСТЭК рекомендует производителям самим сообщать о найденных и устраненных уязвимостях. Усиливаются и многие меры защиты. Так, в новом ФЗ-149 будет введена обязанность уведомлять ФСТЭК и ФСБ об инцидентах, не ограничиваясь только внесением в журнал.
Готовятся изменения в приказы ФСТЭК №17, 21 и 31 по ГИС, персональным данным и АСУ ТП соответственно. Требования и классификация будут практически унифицированы, а требования по защите информации будут распространяться не только на государственные организации, но и на все информационные системы, в которых обрабатывается информация, принадлежащая государственным органам. Летом вступают в силу несколько ГОСТов, в том числе, по стандарту безопасного программирования. Также появится новый лицензируемый вид деятельности - мониторинг событий информационной безопасности.
Важным итогом участия в конференции стало согласование договора о сотрудничестве между Postgres Professional и компанией «ИНТЕГРА-С», проявившей интерес к возможностям Postgres Pro. Напомним, что сертифицированная в конце 2016 года СУБД Postgres Pro 9.5.2.1 может применяться для защиты информации в государственных информационных системах и автоматизированных системах управления до 1-го класса защищенности; для обеспечения до 1-го уровня защищенности персональных данных в информационных системах, для которых к актуальным отнесены угрозы 1-го, 2-го или 3-го типа; и при создании автоматизированных систем до класса защищенности 1Г включительно. В дополнение к версии Postgres Pro компания Postgres Professional планирует сертифицировать свою наиболее мощную СУБД Postgres Pro Enterprise, с появлением которой заказчики смогут аттестовывать информационные системы, отвечающие максимальным требованиям к СУБД.