Журнал "Information Security/ Информационная безопасность" #1, 2023

8 • ПРАВО И НОРМАТИВЫ тель организации или уполномоченное им лицо. l Порядок организации и управления защитой информации в органе, органи- зации определяется в положении по организации защиты информации в орга- не, организации, утверждаемом руково- дителем органа, организации или упол- номоченным им лицом. l Требования к порядку разработки и содержанию положения по организации защиты информации в органе, органи- зации утверждаются ФСТЭК России по согласованию с ФСБ России. l Положение по организации защиты информации в органе подлежит согла- сованию с ФСТЭК России. В случае организации и обеспечения безопасности информации в органе с использованием шифровальных (крип- тографических) средств защиты инфор- мации положение по организации защи- ты информации подлежит согласованию с ФСБ России. Для обеспечения защиты информа- ции должны применяться средства защиты информации, сертифицирован- ные на соответствие требованиям по безопасности информации, установ- ленным уполномоченными федераль- ными органами исполнительной власти в пределах полномочий. Объекты информатизации должны быть атте- стованы на соответствие требованиям о защите информации в порядке, уста- новленном ФСТЭК России. Кроме того, потребуется разработка ежегодного плана мероприятий по защите инфор- мации в органе, организации, утвер- ждаемого руководителем или уполно- моченным им лицом. Требования к порядку разработки, содержанию и форме плана должны будут быть утвер- ждены ФСТЭК России по согласованию с ФСБ России. Отчет о выполнении плана мероприятий в органе, после его доклада руководителю, должен быть представлен во ФСТЭК России (ее тер- риториальные органы), а в части меро- приятий по организации и обеспечению безопасности информации с использо- ванием шифровальных (криптографи- ческих) средств защиты информации – в соответствующий территориальный орган ФСБ России. Рекомендации по обеспечению безопасной настройки ОС Linux Информационным сообщением от 30 декабря 2022 г. № 240/22/6933 6 ФСТЭК России сообщает, что разрабо- таны и утверждены от 25 ноября 2022 г. рекомендации по обеспечению безопас- ной настройки операционных систем Linux (размещены и на сайте ФСТЭК России 7 ). Рекомендации определяют содержа- ние работ по настройке операционных систем на базе ядра Linux, подлежат реализации в государственных инфор- мационных системах и на объектах КИИ РФ, построенных с использованием опе- рационных систем Linux, не сертифици- рованных по требованиям безопасности информации, до их замены на сертифи- цированные отечественные операцион- ные системы. Настройка сертифицированных ОС на базе ядра Linux осуществляется в соот- ветствии с эксплуатационной докумен- тацией разработчиков операционных систем. Тестирование обновлений ПО от ФСТЭК России В режиме опытной эксплуатации ФСТЭК России был опубликован раздел, содержащий результаты тестирования обновлений программного обеспечения 8 , ведение которого осуществляется в соот- ветствии с Методикой тестирования обновлений безопасности программных и программно-аппаратных средств 9 . Требования по безопасности информации к средствам виртуализации Информационным сообщением ФСТЭК России от 20 января 2023 г. №240/24/169 10 сообщается об утверждении приказом ФСТЭК России от 27 октября 2022 г. № 187 требований по безопасности инфор- мации к средствам виртуализации, кото- рые включают в себя минимально необхо- димые требования по безопасности информации, предъявляемые к уровню доверия средства виртуализации, хосто- вой операционной системе, в среде кото- рой функционирует средство виртуали- зации, составу функций безопасности средства виртуализации, доверенной загрузке виртуальных машин, контролю целостности в средстве виртуализации, регистрации событий безопасности в средстве виртуализации, управлению доступом в средстве виртуализации, управлению потоками информации в средстве виртуализации, защите памяти, ограничению программной среды, резерв- ному копированию виртуальных машин, идентификации и аутентификации поль- зователей в средстве виртуализации, централизованному управлению образами виртуальных машин и виртуальными машинами. С 22 декабря 2022 г. серти- фикация средств виртуализации осу- ществляется на соответствие этим тре- бованиям. Для дифференциации требований по безопасности информации к средствам виртуализации устанавливается шесть классов защиты, их соответствие для при- менения в различных системах приведено в таблице выше. Самый низкий класс – шестой, самый высокий – первый. 6 https://fstec.ru/normotvorcheskaya/informatsionnye-i-analiticheskie-materialy/2590 7 https://fstec.ru/component/attachments/download/3557 8 https://bdu.fstec.ru/software-section/updates 9 https://fstec.ru/tekhnicheskaya-zashchita-informatsii/dokumenty/114-spetsialnye-normativnye-dokumenty/2527 10 https://fstec.ru/normotvorcheskaya/informatsionnye-i-analiticheskie-materialy/2595 Класс защиты средств виртуали зации Категория значимости объектов КИИ Класс защищенности государственных информационны х систем Класс защищенности автоматизированных систем управления производственными и технологическими процессами Уровень защищен- ности ПДн в инфор- мационных системах ПДн Класс информа- ционных систем общего пользования Информационные системы, обрабатывающие государственную тайну 6 3 3 3 3 и 4 – – 5 2 2 2 2 – – 4 1 1 1 1 II 3 – – – – – Секретные сведения 2 – – – – – Совершенно секретные сведения 1 – – – – – Сведения особой важности