В нашей стране продолжается развитие законодательства в сфере ИТ и ИБ в частности. Вместе с этим государство оказывает методическую поддержку организациям, которых касаются изменения.
Эта статья - дайджест последних методических рекомендаций ФСТЭК России со ссылками на документы регулятора.
Обеспечение безопасной настройки Linux
Рекомендации по безопасной настройки системы Linux были утверждены ещё в декабре 2022 года. Они направлены на повышение защищенности информационных систем, построенных на базе ядра Linux. Рекомендации обязательны для государственных информационных систем и на объектах КИИ, которые используют Linux.
Основные процедуры, которые регламентирует методичка:
- настройка авторизации в операционной системе;
- ограничение механизмов получения привилегий;
- настройка прав доступа к объектам файловой системы;
- настройка механизмов защиты ядра Linux;
- уменьшение периметра атаки ядра Linux;
- настройка средств защиты пользовательского пространства со стороны ядра Linux.
В методических рекомендациях подробно описано как реализовать эти процедуры, вплоть до используемых конфигураций. Подробнее можно ознакомиться здесь.
Безопасность средств виртуализации
Требования к безопасности средств виртуализации предназначены для организаций, осуществляющих разработку таких средств, заявителей на сертификацию и испытательных лабораторий и органов по сертификации средств защиты информации на соответствие обязательным требованиям по безопасности.
В документе устанавливаются минимально необходимые требования к:
- уровню доверия средства виртуализации;
- хостовой операционной системе, в которой функционирует средство виртуализации;
- составу функций безопасности;
- загрузке виртуальных машин;
- контролю целостности в среде;
- регистрации событий безопасности;
- управлению потоком информации и уровнем доступа;
- ограничениям программной среды;
- резервному копированию;
- идентификации и аутентификации пользователей;
- централизации управления образами виртуальных машин и самими машинами.
Требования обязательны при выполнении работ по оценке соответствия средств технической защиты информации, включая работы по сертификации. В требованиях дифференцированы классы защиты. Выделено 6 классов, первый - самый высокий.
Прочитать текст документа вы можете на сайте ФСТЭК.
Что было раньше
В ноябре 2022 регулятор опубликовал информационное сообщение, в котором описывались внесенные изменения в Положение о системе сертификации средств защиты информации. Изменения направлены на сокращение сроков сертификации СЗИ, включая внедрение со стороны разработчиков процедур безопасной разработки ПО.
В декабре 2022 относительно безопасности средств контейнеризации тоже были утверждены новые требования. Применена такая же градация классов защиты, что и при защите средств виртуализации.
Заключение
Реформы в ИТ и ИБ сферах будут продолжаться и дальше. Все решения однозначно будут направлены на усиление защищенности средств информатизации, на увеличение объемов импортозамещения. С чем связано? На этот вопрос можно рассуждать долго. Но одна тенденция, которой обязательно нужно следовать – это идти в ногу со временем, не отставать новых рекомендаций и правил защищенности ИТ-объектов.
Источник: https://rcngroup.ru/blog/poslednie-rekomendacii-fstjek/