1 марта 2025 года - новый Приказ №66
☕️Утро началось с прогулки на свежем воздухе, чашки кофе с маршмеллоу и чтения обновленного Приказа ОАЦ №259.
Вот мои мысли.
Положительные изменения:
🟢теперь четко определено, что подразумевается под “открытыми каналами передачи данных” – это “сети электросвязи общего пользования”
🟢появилось уточнение: положения не распространяются на системы, обрабатывающие только общедоступные персональные данные или данные, обезличенные методами, соответствующими требованиям
🟢для систем классов «3-ин», «3-спец», «3-бг», «3-дсп» и «3-юл» разрешено взаимодействие с любыми информационными системами (ссылки на Приложение 4 в старой редации потеряли актуальность)
🟢введено требование о централизованном сборе данных о DNS-запросах с хранением в течение не менее одного месяца
🟢ежегодное тестирование на проникновение теперь обязательно для оценки защищенности информационных систем
🟢появилось требование по обнаружению и реагированию на угрозы безопасности конечных узлов (ключевое - реагирования, так что отправим на покой антивирус в конце концов - да здравствует EDR!)
🟢установлено обязательное обновление или замена активов и средств защиты после истечения их срока эксплуатации
🟢исключено требование об обязательном ежегодном внутреннем и внешнем аудите на уязвимости (но это имеет свои нюансы)
🟢упрощены или удалены ранее обязательные требования, связанные с установкой оборудования в защищенных помещениях и контролем параметров их настройки
🟢централизованный сбор сведений о событиях безопасности стал обязательным для всех классов типовых информационных систем, хотя использование SIEM по-прежнему необязательно
🟢при проектировании и создании систем защиты информации взаимодействие между системами теперь должно осуществляться через защищенные каналы передачи данных
🟢введены четкие разграничения между системами 4-XX (без подключения к Интернету) и 3-XX (с подключением)
🟢добавлены подробные требования по отображению логической и структурной схем
🟢для систем «3-бг» и «3-дсп» теперь обязательно проведение тестирования на проникновение. Это, вероятно, сократит случаи избыточных решений “на всякий случай”
Недостатки:
🟣по-прежнему отсутствуют четкие критерии соответствия требованиям, аналогичные PCI DSS
🟣в пунктах 7.5–7.7 говорится об обязательном резервном копировании, но ничего не сказано о тестировании и восстановлении из копий (по сути, копии делаются “для галочки”)
🟣формы документов разрабатываются владельцем системы с учетом его специфики. Предполагаю, что цель - исключить злоупотребления маркетингом (ребят в стиле “мы быстрее и дешевле но давайте к нам”). Однако ограничения в 180 дней на аудит остаются неизменными
🟣аттестация все еще требует выявления всех уязвимостей, без учета удобства или влияния на бизнес-процессы. Это может привести к чрезмерным требованиям к обновлениям, не всегда оправданным.
✏️Новый приказ стал более понятным, структурированным и детализированным. Однако некоторые важные аспекты, такие как тестирование резервных копий и проработка критериев соответствия требованиям, остаются нерешенными. Улучшения очевидны, но пространство для совершенствования еще есть.
☕️Утро началось с прогулки на свежем воздухе, чашки кофе с маршмеллоу и чтения обновленного Приказа ОАЦ №259.
Вот мои мысли.
Положительные изменения:
🟢теперь четко определено, что подразумевается под “открытыми каналами передачи данных” – это “сети электросвязи общего пользования”
🟢появилось уточнение: положения не распространяются на системы, обрабатывающие только общедоступные персональные данные или данные, обезличенные методами, соответствующими требованиям
🟢для систем классов «3-ин», «3-спец», «3-бг», «3-дсп» и «3-юл» разрешено взаимодействие с любыми информационными системами (ссылки на Приложение 4 в старой редации потеряли актуальность)
🟢введено требование о централизованном сборе данных о DNS-запросах с хранением в течение не менее одного месяца
🟢ежегодное тестирование на проникновение теперь обязательно для оценки защищенности информационных систем
🟢появилось требование по обнаружению и реагированию на угрозы безопасности конечных узлов (ключевое - реагирования, так что отправим на покой антивирус в конце концов - да здравствует EDR!)
🟢установлено обязательное обновление или замена активов и средств защиты после истечения их срока эксплуатации
🟢исключено требование об обязательном ежегодном внутреннем и внешнем аудите на уязвимости (но это имеет свои нюансы)
🟢упрощены или удалены ранее обязательные требования, связанные с установкой оборудования в защищенных помещениях и контролем параметров их настройки
🟢централизованный сбор сведений о событиях безопасности стал обязательным для всех классов типовых информационных систем, хотя использование SIEM по-прежнему необязательно
🟢при проектировании и создании систем защиты информации взаимодействие между системами теперь должно осуществляться через защищенные каналы передачи данных
🟢введены четкие разграничения между системами 4-XX (без подключения к Интернету) и 3-XX (с подключением)
🟢добавлены подробные требования по отображению логической и структурной схем
🟢для систем «3-бг» и «3-дсп» теперь обязательно проведение тестирования на проникновение. Это, вероятно, сократит случаи избыточных решений “на всякий случай”
Недостатки:
🟣по-прежнему отсутствуют четкие критерии соответствия требованиям, аналогичные PCI DSS
🟣в пунктах 7.5–7.7 говорится об обязательном резервном копировании, но ничего не сказано о тестировании и восстановлении из копий (по сути, копии делаются “для галочки”)
🟣формы документов разрабатываются владельцем системы с учетом его специфики. Предполагаю, что цель - исключить злоупотребления маркетингом (ребят в стиле “мы быстрее и дешевле но давайте к нам”). Однако ограничения в 180 дней на аудит остаются неизменными
🟣аттестация все еще требует выявления всех уязвимостей, без учета удобства или влияния на бизнес-процессы. Это может привести к чрезмерным требованиям к обновлениям, не всегда оправданным.
✏️Новый приказ стал более понятным, структурированным и детализированным. Однако некоторые важные аспекты, такие как тестирование резервных копий и проработка критериев соответствия требованиям, остаются нерешенными. Улучшения очевидны, но пространство для совершенствования еще есть.