Привет, Хабр! 13 сентября Минюст утвердил документ, вносящий изменения в 17 приказ. Это тот самый, который про защиту информации в государственных информационных системах (далее – ГИС). На самом деле изменений много и некоторые из них существенные. Есть как минимум одно очень приятное для операторов ГИС. Подробности под катом.
О приятном
Давайте с этого начнем, а потом про все остальное. Самое приятное для операторов это то, что аттестат на ГИС теперь бессрочный. В пункте 17.4, где раньше было написано о том, что аттестат выдается на 5 лет теперь написано «Аттестат соответствия выдается на весь срок эксплуатации информационной системы». Правда это, конечно же, не избавляет от необходимости поддерживания соответствия системы защиты информации аттестату, о чем сказано в том же пункте 17.4.
Об облачных ЦОДах
По нашему опыту все больше операторов ГИС склоняется к тому, что им не очень выгодно содержать собственную серверную инфраструктуру и осуществляют миграцию на мощности облачного провайдера. Таким ситуациям и в предыдущей редакции 17 приказа было посвящено пару строк, но теперь это решили описать более обстоятельно. В частности указаны следующие требования:
- Класс ГИС, которая переезжает в облачный ЦОД не должен быть выше класса самого ЦОД, а это значит, что сам ЦОД должен пройти классификацию (новый абзац в пункте 14.2 17-го приказа);
- В процессе моделирования угроз для переехавшей в сторонний ЦОД информационной системы должны учитываться угрозы, актуальные для самого ЦОД. Это в частности напрямую говорит о том, что на ЦОД и на ГИС должны быть разработаны две отдельные модели угроз (новый абзац пункта 14.4.);
- Если в ЦОД реализованы меры по защите информации, то в проектной документации на систему защиты информации самой ГИС мы можем указывать их там, где это актуально и необходимо (новый абзац пункта 15.1);
- Средства защиты информации в ГИС должны быть совместимы между собой (вот это поворот!) и со средствами защиты используемыми в ЦОД. Логично, в противном случае ничего работать ведь не будет (новый абзац пункта 16.1);
- ЦОД, в который переезжает ГИС должен быть аттестован по 17 приказу. Многим это было и так очевидно, но кто-то сопротивлялся (измененный пункт 17.6);
- Если меры принятые в ЦОД блокируют все угрозы безопасности для ГИС, то дополнительные меры защиты информации в ГИС принимать не требуется (новый пункт – 22.1)
Другое по мелочи
В пункт 17, где уже было написано, что проектированием системы защиты и ее аттестацией должны заниматься разные должностные лица добавили к «должностным лицам» «работников» в скобочках. Хорошо, что добавили ясности, потому что споры о том, что понимать под «должностными лицами» были нешуточные.
Пункт 17.2 дополнился абзацем о том, что приемочные испытания самой ГИС и аттестационные испытания системы защиты информации можно совместить. Да, в общем-то, обычно так всегда и делалось.
Обеспечение защиты информации в ходе эксплуатации информационной системы
Пункт 18 пополнился новыми обязательными мероприятиями, которые необходимо проводить в ходе эксплуатации аттестованной ГИС. К управлению системой защиты информации, выявлению инцидентов и реагированию на них, управлению конфигурацией системы и контролю за обеспечением уровня защищенности информации добавлены «планирование мероприятий по защите информации», «анализ угроз безопасности» и «информирование и обучение персонала информационной системы». Вот последнего в 17 приказе точно давно не хватало.
Далее все эти этапы в 17 приказе раскрываются подробнее и поскольку «планирование мероприятий» стало первым в списке, «анализ угроз безопасности» — вторым, нумерация подпунктов изменилась.
В ходе планирования (новый пункт 18.1) мы должны:
- Определить лиц, ответственных за планирование и контроль мероприятий по защите информации. Раньше необходимости назначения таких лиц не было, поэтому по-хорошему во всех ГИС должен быть издан новый приказ о назначении таких людей;
- Определить лиц, ответственных за выявление инцидентов и реагирование на них. Этот пункт не добавляет ничего нового. В нашем гайде по внутренней документации мы уже описывали назначение группы реагирования на инциденты информационной безопасности. Это они и есть;
- Разработать и утвердить план мероприятий по защите информации. Тоже ничего нового, такой план уже давно есть в стандартном наборе документов;
- Определить порядок контроля выполнения мероприятий. Это можно сделать в том же плане.
По анализу угроз (новый пункт 18.2) все достаточно лаконично. Нужно выявлять и устранять уязвимости, анализировать изменения угроз безопасности и оценивать возможные последствия от реализации угроз.
Нас часто спрашивают, как часто нужно проводить поиск уязвимостей и анализ угроз безопасности информации. В этом же пункте регулятор говорит, что периодичность определяется оператором.
Пункт по управлению системой защиты информации (бывший 18.1 и новый 18.3) тоже претерпел изменения. Отсюда было убрано «информирование пользователей об угрозах безопасности...», видимо потому что теперь это у нас отдельный раздел и добавлено «определение лиц, ответственных за управление системой защиты информации». Впрочем, по новому пункту особо ничего нового, это же наш горячо уважаемый администратор безопасности! Остальное здесь осталось на месте, хоть и немного перефразированное, но по сути – то же самое.
Пункт про управление конфигурацией информационной системы (старый 18.3, новый 18.4) несколько перефразирован, но по сути не изменился. То же самое можно сказать и про пункт по реагированию на инциденты (старый 18.2, новый 18.5).
Пункт 18.6 про обучение персонала – новый, поэтому на нем остановимся подробнее. Итак, чему же мы должны их обучать и о чем информировать:
- о новых актуальных угрозах безопасности информации;
- о правилах безопасной эксплуатации информационной системы;
- о требованиях по защите информации (нормативных и внутренних документов);
- о правилах эксплуатации отдельных средств защиты информации;
- проводить практические занятия по блокированию угроз безопасности информации и реагированию на инциденты;
- контролировать осведомленность персонала о всем вышеперечисленном.
Периодичность обучения устанавливается во внутренних документах оператора, но должна быть не реже чем 1 раз в два года.
Появление обучения персонала это хорошее начало, но к сожалению, снова не указаны формы, часы обучения, должно ли такое обучение проводиться по утвержденным ФСТЭК программам или достаточно внутреннего инструктажа. Подозреваем, что многие продолжат подходить к вопросу формально, а именно отметками в журнале «инструктаж провел», «инструктаж прослушал» без фактического проведения занятий.
В пункт про контроль за обеспечением уровня защищенности информации добавлена периодичность проведения такого контроля. Для ГИС 1 класса – не реже 1 раза в год. Для ГИС 2 и 3 класса – не реже 1 раза в два года. К таким мероприятиям можно привлекать лицензиата, но можно проводить и самостоятельно.
Про уровни доверия к средствам защиты информации
В пункт 26 помимо понятия «класс средства защиты» вводится понятие «уровень доверия». Для ГИС 1 класса нужен как минимум 4 уровень доверия, для ГИС 2 класса – 5 уровень доверия и выше, для ГИС 3 класса – 6 уровень доверия и выше. Про эти уровни доверия ФСТЭК выпускал информационное сообщение и их не нужно путать с оценочным уровнем доверия по ГОСТ Р ИСО/МЭК 15408-3 (там, кстати, 5 уровень доверия – самый высокий, 1 уровень доверия – самый низкий).
Это единственный пункт изменений, который вступает не сразу, а с 1 июня 2020 года. Ждем обновленные сертификаты соответствия средств защиты информации к этой дате. Превратятся ли в тыкву средства защиты, не обновившие сертификат – пока неизвестно. ФСТЭК ближе к дате Х может выпустить какое-нибудь информационное сообщение как это было с межсетевыми экранами в 2016-м.
Про сертифицированные маршрутизаторы
Напоследок нас добивают введением пункта 26.1:
«При проектировании вновь создаваемых или модернизируемых информационных систем, имеющих доступ к информационно-телекоммуникационной сети «Интернет», должны выбираться маршрутизаторы, сертифицированные на соответствие требованиям по безопасности информации (в части реализованных в них функций безопасности)».
На самом деле введение этого пункта не очень понятно. Во-первых, все средства защиты итак должны быть сертифицированы. Во-вторых, как правило, при подключении к сети «Интернет» в ГИС используются сертифицированные межсетевые экраны, в том числе являющиеся маршрутизаторами. Отдельных профилей защиты для маршрутизаторов (по аналогии с таковыми для МЭ) – нет и, возможно, введение пункта 26.1 намекает на их (профилей защиты) появление в ближайшем будущем.