Что делать с Постановлением Правительства № 258 от 01.03.2024 по АТЗ?
Здравствуйте, господа-товарищи! Возникла такая ситуация: в марте этого года вышло ПП № 258 от 01.03.2024 по антитеррористической защищённости, и нам как промышленному предприятию нужно выполнить несколько условий, чтобы нас не поругали, а именно:
1. Осуществить мероприятия информационной безопасности, обеспечивающих защиту от несанкционированного доступа к информационным ресурсам объекта (территории), включая использование в составе оборудования инженерно-технических средств охраны российских антивирусных программ и программного обеспечения, включенного в единый реестр российских программ для ЭВМ и баз данных, использующих единый унифицированный протокол обмена данными, приёма, преобразования и передачи оборудованию команд управления и параметров конфигурирования, обладающих патентной чистотой и возможностью легального использования в РФ
(п.54 «л» Постановления Правительства РФ от 01.03.2024 года № 258).
2. Внедрить в состав оборудования инженерно-технических средств охраны операционную систему и (или) специальное программное обеспечение (с возможностью увеличения количества номенклатуры периферийного оборудования и объемов обрабатываемой информации) со встроенными средствами защиты от несанкционированного доступа к информации, программного обеспечения российского производства, соответствующего уровню доверия к технической защите информации и средствам обеспечения безопасности информационных технологий от несанкционированного доступа, сертифицированного Федеральной службой по техническому и экспортному контролю на соответствие требованиям, указанным в абзаце седьмом пункта 7 Положения о сертификации средств защиты информации, утверждённого постановлением Правительства Российской Федерации от 26 июня 1995г. №608 «О сертификации средств защиты информации», устанавливаемого специализированной организацией, имеющей соответствующую лицензию. (п.54 «м» Постановления Правительства РФ от 01.03.2024 года № 258)
Вопрос звучит так: Какого железа и/или софта достаточно для обеспечения данных требований?
У нас нет ИБ-шника, а по этим формулировкам можно хоть всю инфраструктуру на астру переводить :)
Если кто уже встречался с подобными работами, подскажите пожалуйста!
А вы (предприятие без ИБ-шника) - точно подпадаете под п. 1.1 этого самого ПП?
У жертв таких указивок обычно вся организация начинается с "первого отдела"...
А вы (предприятие без ИБ-шника) - точно подпадаете под п. 1.1 этого самого ПП?
ПРАВИТЕЛЬСТВО РОССИЙСКОЙ ФЕДЕРАЦИИ ПОСТАНОВЛЕНИЕ от 1 марта 2024 г. № 258
1. Утвердить прилагаемые:
требования к антитеррористической защищенности объектов (территорий) промышленности, находящихся в ведении или относящихся к сфере деятельности Министерства промышленности и торговли Российской Федерации;
Artem Maximov
Находитесь в ведении или относитесь к сфере деятельности Министерства промышленности и торговли Российской Федерации? Да - да, нет - нет.
Михаил Р., Так то оно так, Софт есть в реестре. Но суть не в этом, мне нужно всю инфраструктуру переводить на отечественный софт, типа Астры, или достаточно установки Каспера и Secret Net на компы?
Artem Maximov, ну, тут два варианта: либо обратиться к промышленному юристу, который докажет, что комиссия гонит пургу и предъявляет вам требования без оснований, либо открывать вакансию безопасника.
Artem Maximov, Я так полагаю - и то и другое. П.1 требует установки каспера, п.2 - установки астры/росы. Правда, про полный перевод ничего не сказано, сказано "внедрить в состав оборудования". Но, поскольку есть "с возможностью увеличения количества номенклатуры" - то я бы не исключал полный переход на астру/росу.
Я также думаю, что с "У нас нет ИБ-шника" придется что-то делать - сертифицированные версии требуют особого обращения - на них например, нельзя устанавливать любой несертифицированный софт, то есть обновление возможно только из прописанных реп, никакой локальной установки и самостоятельной сборки! Иначе сертификация превращается в тыкву.
Я также думаю, что с "У нас нет ИБ-шника" придется что-то делать - сертифицированные версии требуют особого обращения - на них например, нельзя устанавливать любой несертифицированный софт, то есть обновление возможно только из прописанных реп, никакой локальной установки и самостоятельной сборки! Иначе сертификация превращается в тыкву.
- Согласен, я хоть и не безопасник, но имею повышение квалификации по Астре
rPman, По поводу скриптов не скажу, но приложения должны быть в реестре отечественного ПО, нельзя поставить Вайн и пользоваться через него например приложением написанном под винду
Artem Maximov, написание скриптов и своих приложений - принципиальный момент, требует ли каждый скрипт сертификации? в какой момент приложение из 'разрешенного' становится в 'требует сертификации'?
rPman, В чем состоит собственно сертификация? В том, что сертифицирующий орган проверяет - удовлетворяет ли ПО неким требованиям и потом чиста своим авторитетом подтверждает, что да. Поскольку любое внесение изменений в систему (а написание скрипта, сборка программы etc - изменяет систему) - потребуется повторная сертификация. Этот момент конечно следует уточнять - насколько строго это должно соблюдаться, будет ли примитивный двустрочный скрипт считаться таковым, но в теории - в системе должно быть только то ПО, которое сертифицировано.
Сертифицированные ОС - это фактически первый/особый отдел. А это почти армейка, а армейка всегда отличалась завидной тупостью и буквальностью...
rPman, Разумеется только с помощью него. Что там сертифицировано - FF, Хромиум или еще чего - не знаю, но явно там стоит нужный набор предустановленных сертификатов :)
Хотя вполне возможно, что и нет. В давние времена, когда админил завод, там на компах первого отдела не то, что тырнета - локалки не было! Обновления на каспер на флэшке носил...