Проект национального стандарта ГОСТ Р 51624-20ХХ «АСЗИ»

Вот и прошел год с того момента, как ожидалось утверждение нового ГОСТ Р 51624-20ХХ «Защита информации. Автоматизированные системы в защищенном исполнении. Общие требования», разработчиком которого является ФАУ «ГНИИИ ПТЗИ ФСТЭК России».

С проектом можно ознакомиться по ссылке.

Зачем? Чтобы превентивно оценить на соответствие новым требованиям национального стандарта документацию по системе защиты информации (для интеграторов) или рассмотреть вопрос включения ГОСТ 51624 в ТЗ на систему защиты информации (для Заказчиков).

В проекте стандарта по АС в защищенном исполнении произошли существенные изменения в описании технологий и средств, используемых при построении АСЗИ: добавлены требования о защите информации, предъявляемые к техническому и программному обеспечению АСЗИ, а также к документации на систему защиты информации АСЗИ:

– требования к техническому обеспечению включают требования резервирования и контроля безотказного функционирования ТС, требования к системе электропитания и заземления;

– требования к ПО содержат требования обеспечения безопасной разработки ПО АСЗИ, качества и резервирования;

– требования к документации на СЗИ в АСЗИ включают требования к проектной и эксплуатационной документации, которые, в том числе определяют необходимость наличия:

– акта классификации АСЗИ по требованиям защиты информации;

– порядка установки и настройки ПО АСЗИ;

– порядка наладки и сопряжения ТС АСЗИ,

– перечня и реквизитов сертификатов соответствия на средства защиты информации,

– объема проведения испытаний СЗИ АСЗИ.

В ГОСТ Р 51624-20ХХ также добавлен пункт про определение актуальных угроз безопасности информации при формировании требований к АСЗИ и разработку модели угроз безопасности информации:

– добавлены требования учета структурно-функциональных характеристик АСЗИ при определении угроз безопасности информации, а также результатов оценки потенциала нарушителей, анализа возможных уязвимостей АСЗИ, способов реализации угроз безопасности информации и последствий от нарушения свойств безопасности информации.

Также проект нового стандарта детализирует тактику применения и номенклатуру мер защиты информации:

– описан порядок организации контролируемой зоны;

– добавлены требования организации контроля и управления физическим доступом и размещения ТС вывода информации;

– перечислены меры защиты речевой информации от утечки по техническим каналам, включающие, в том числе, сегментирование АСЗИ, создание гетерогенной среды, ограничение программной среды, обнаружение (предотвращение) вторжений и защиту среды виртуализации;

– перечислены меры защиты каналов передачи информации, в том числе их резервирование, криптографическая защита, исключение возможности отрицания отправителем факта отправки информации и защита беспроводных каналов передачи информации;

– перечислены меры защиты информации при информационном взаимодействии с иными АС и ИТ, включающие ограничение числа точек доступа в АСЗИ, управление взаимодействием и защиту периметра АСЗИ.

Назад

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *