Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Поток Информационная безопасность доступен 24/7 благодаря поддержке друзей Хабра
Комментарии 3
"При выявлении уязвимостей, отсутствующих в базе ФСТЭК, оператор обязан направить информацию о них регулятору в срок не более пяти рабочих дней."
Непонятно, но очень интересно.
А какие они бюллетени безопасности выпусаают, чиаешь и душа радуется. Заблокировать что-то, состоящее из мусорных ссылок и список на два листа. Чпрез неделю ждите продолжение списка.
Тут, как это читается по тексту приказа, речь всё-таки не про любой шум от сканера, а про уязвимость, которую оператор реально выявил в своей ИС и признал относящейся к ней. В п. 38 прямо написано: если сведений о такой уязвимости нет в БДУ ФСТЭК, информацию нужно направить в ФСТЭК в течение 5 рабочих дней.
Но без нормального процесса оценки применимости, отсечения ложноположительных и контроля устранения эта норма легко превращается в чистую бюрократическую нагрузку. В проекте методического документа как раз есть цепочка «мониторинг уязвимостей -> оценка применимости -> оценка критичности -> выбор способа устранения -> контроль устранения». То есть формально сначала надо понять, что это не мусорный алерт, а применимая (реальная) уязвимость.
Хуже бывает, когда для устранения уязвимостей просят обновить ОС до версии ядра, с которой не работает ни одно СЗИ
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Приказ ФСТЭК России № 117: полный обзор нововведений и практическое руководство по переходу от Приказа № 17