Минцифры опубликовало типовое ТЗ для оценки защищённости IT-инфраструктуры

896

На сайте Минцифры опубликовано в среду типовое техническое задание на выполнение работ по оценке уровня защищённости информационной инфраструктуры; датой публикации указано 3 июня.

Как следует из ТЗ, от исполнителя требуется провести работы по оценке уровня (состояния) защищённости информационной инфраструктуры, работа включает два этапа: оценку защищённости и поиск следов успешной компрометации информационной инфраструктуры злоумышленником.

При оценке защищённости необходимо решить следующие задачи:

  • выявление и консолидация стратегических рисков (недопустимых событий) информационной безопасности;
  • выявление уязвимостей информационной инфраструктуры, которые могут быть использованы внешними и внутренними нарушителями для несанкционированных действий, направленных на нарушение свойств конфиденциальности, целостности, доступности обрабатываемой информации, а также технических средств обработки информации, в результате которых может быть нарушен их штатный режим функционирования, что приведёт к недопустимым событиям;
  • выявление недостатков применяемых средств защиты информации и программных продуктов, а также оценка возможности их использования нарушителем;
  • проверка практической возможности использования уязвимостей (на примере наиболее критических);
  • получение оценки текущего уровня защищённости на основе объективных свидетельств;
  • разработка маршрутной карты модернизации информационной инфраструктуры.

См. также: Госучреждения, промышленность, IT и финансовый сектор чаще всего подвергаются целевым кибератакам — «Лаборатория Касперского» >>> 

Документ описывает также организационные рамки проекта, состав и содержание работ (в том числе типы нарушителя, требование к оценке защищенности веб-приложений и т.д.), требования к отчётной документации и гарантии качества.

Список опубликованных документов:

Напомним, сфера информационной безопасности (ИБ) в России пережила за последние месяцы тектонический сдвиг – после начала спецоперации на Украине наша страна столкнулась со всеми видами атак, многочисленными утечками данных, уходом западных компаний, угрозой устойчивого функционирования Интернета на территории страны.

На форуме Positive Hack Days в мае глава Минцифры Максут Шадаев говорил о важности постоянного поиска уязвимостей в инфраструктуре компаний специализированными командами.

См. также: Актуальные ИБ-угрозы национального масштаба – данные «Ростелекома» >>>

С подписанием 1 мая указа президента России «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации» в стране началось создание системы национальной IT-безопасности.

Упомянутый указ предусматривает создание специальных ИБ-подразделений в ФОИВ, госкомпаниях, государственных фондах и иных органах (организациях), созданных в соответствии с федеральными законами, а также персональную ответственность руководителей этих органов (организаций) за состояние информационной безопасности (ИБ), и руководить ИБ-подразделениями в соответствии с указом должны должностные лица в ранге заместителя руководителя органа (организации).

Повышение защищённости информационных систем и сетей связи в государственных органах президент назвал отдельной задачей обеспечения ИБ страны.

Следите за нашим Телеграм-каналом, чтобы не пропускать самое важное!

Поделиться: