Обзор изменений в 17-м приказе ФСТЭК



    Привет, Хабр! 13 сентября Минюст утвердил документ, вносящий изменения в 17 приказ. Это тот самый, который про защиту информации в государственных информационных системах (далее – ГИС). На самом деле изменений много и некоторые из них существенные. Есть как минимум одно очень приятное для операторов ГИС. Подробности под катом.

    О приятном


    Давайте с этого начнем, а потом про все остальное. Самое приятное для операторов это то, что аттестат на ГИС теперь бессрочный. В пункте 17.4, где раньше было написано о том, что аттестат выдается на 5 лет теперь написано «Аттестат соответствия выдается на весь срок эксплуатации информационной системы». Правда это, конечно же, не избавляет от необходимости поддерживания соответствия системы защиты информации аттестату, о чем сказано в том же пункте 17.4.

    Об облачных ЦОДах


    По нашему опыту все больше операторов ГИС склоняется к тому, что им не очень выгодно содержать собственную серверную инфраструктуру и осуществляют миграцию на мощности облачного провайдера. Таким ситуациям и в предыдущей редакции 17 приказа было посвящено пару строк, но теперь это решили описать более обстоятельно. В частности указаны следующие требования:

    • Класс ГИС, которая переезжает в облачный ЦОД не должен быть выше класса самого ЦОД, а это значит, что сам ЦОД должен пройти классификацию (новый абзац в пункте 14.2 17-го приказа);
    • В процессе моделирования угроз для переехавшей в сторонний ЦОД информационной системы должны учитываться угрозы, актуальные для самого ЦОД. Это в частности напрямую говорит о том, что на ЦОД и на ГИС должны быть разработаны две отдельные модели угроз (новый абзац пункта 14.4.);
    • Если в ЦОД реализованы меры по защите информации, то в проектной документации на систему защиты информации самой ГИС мы можем указывать их там, где это актуально и необходимо (новый абзац пункта 15.1);
    • Средства защиты информации в ГИС должны быть совместимы между собой (вот это поворот!) и со средствами защиты используемыми в ЦОД. Логично, в противном случае ничего работать ведь не будет (новый абзац пункта 16.1);
    • ЦОД, в который переезжает ГИС должен быть аттестован по 17 приказу. Многим это было и так очевидно, но кто-то сопротивлялся (измененный пункт 17.6);
    • Если меры принятые в ЦОД блокируют все угрозы безопасности для ГИС, то дополнительные меры защиты информации в ГИС принимать не требуется (новый пункт – 22.1)

    Другое по мелочи


    В пункт 17, где уже было написано, что проектированием системы защиты и ее аттестацией должны заниматься разные должностные лица добавили к «должностным лицам» «работников» в скобочках. Хорошо, что добавили ясности, потому что споры о том, что понимать под «должностными лицами» были нешуточные.

    Пункт 17.2 дополнился абзацем о том, что приемочные испытания самой ГИС и аттестационные испытания системы защиты информации можно совместить. Да, в общем-то, обычно так всегда и делалось.

    Обеспечение защиты информации в ходе эксплуатации информационной системы


    Пункт 18 пополнился новыми обязательными мероприятиями, которые необходимо проводить в ходе эксплуатации аттестованной ГИС. К управлению системой защиты информации, выявлению инцидентов и реагированию на них, управлению конфигурацией системы и контролю за обеспечением уровня защищенности информации добавлены «планирование мероприятий по защите информации», «анализ угроз безопасности» и «информирование и обучение персонала информационной системы». Вот последнего в 17 приказе точно давно не хватало.

    Далее все эти этапы в 17 приказе раскрываются подробнее и поскольку «планирование мероприятий» стало первым в списке, «анализ угроз безопасности» — вторым, нумерация подпунктов изменилась.

    В ходе планирования (новый пункт 18.1) мы должны:

    • Определить лиц, ответственных за планирование и контроль мероприятий по защите информации. Раньше необходимости назначения таких лиц не было, поэтому по-хорошему во всех ГИС должен быть издан новый приказ о назначении таких людей;
    • Определить лиц, ответственных за выявление инцидентов и реагирование на них. Этот пункт не добавляет ничего нового. В нашем гайде по внутренней документации мы уже описывали назначение группы реагирования на инциденты информационной безопасности. Это они и есть;
    • Разработать и утвердить план мероприятий по защите информации. Тоже ничего нового, такой план уже давно есть в стандартном наборе документов;
    • Определить порядок контроля выполнения мероприятий. Это можно сделать в том же плане.

    По анализу угроз (новый пункт 18.2) все достаточно лаконично. Нужно выявлять и устранять уязвимости, анализировать изменения угроз безопасности и оценивать возможные последствия от реализации угроз.

    Нас часто спрашивают, как часто нужно проводить поиск уязвимостей и анализ угроз безопасности информации. В этом же пункте регулятор говорит, что периодичность определяется оператором.

    Пункт по управлению системой защиты информации (бывший 18.1 и новый 18.3) тоже претерпел изменения. Отсюда было убрано «информирование пользователей об угрозах безопасности...», видимо потому что теперь это у нас отдельный раздел и добавлено «определение лиц, ответственных за управление системой защиты информации». Впрочем, по новому пункту особо ничего нового, это же наш горячо уважаемый администратор безопасности! Остальное здесь осталось на месте, хоть и немного перефразированное, но по сути – то же самое.

    Пункт про управление конфигурацией информационной системы (старый 18.3, новый 18.4) несколько перефразирован, но по сути не изменился. То же самое можно сказать и про пункт по реагированию на инциденты (старый 18.2, новый 18.5).

    Пункт 18.6 про обучение персонала – новый, поэтому на нем остановимся подробнее. Итак, чему же мы должны их обучать и о чем информировать:

    • о новых актуальных угрозах безопасности информации;
    • о правилах безопасной эксплуатации информационной системы;
    • о требованиях по защите информации (нормативных и внутренних документов);
    • о правилах эксплуатации отдельных средств защиты информации;
    • проводить практические занятия по блокированию угроз безопасности информации и реагированию на инциденты;
    • контролировать осведомленность персонала о всем вышеперечисленном.

    Периодичность обучения устанавливается во внутренних документах оператора, но должна быть не реже чем 1 раз в два года.

    Появление обучения персонала это хорошее начало, но к сожалению, снова не указаны формы, часы обучения, должно ли такое обучение проводиться по утвержденным ФСТЭК программам или достаточно внутреннего инструктажа. Подозреваем, что многие продолжат подходить к вопросу формально, а именно отметками в журнале «инструктаж провел», «инструктаж прослушал» без фактического проведения занятий.

    В пункт про контроль за обеспечением уровня защищенности информации добавлена периодичность проведения такого контроля. Для ГИС 1 класса – не реже 1 раза в год. Для ГИС 2 и 3 класса – не реже 1 раза в два года. К таким мероприятиям можно привлекать лицензиата, но можно проводить и самостоятельно.

    Про уровни доверия к средствам защиты информации


    В пункт 26 помимо понятия «класс средства защиты» вводится понятие «уровень доверия». Для ГИС 1 класса нужен как минимум 4 уровень доверия, для ГИС 2 класса – 5 уровень доверия и выше, для ГИС 3 класса – 6 уровень доверия и выше. Про эти уровни доверия ФСТЭК выпускал информационное сообщение и их не нужно путать с оценочным уровнем доверия по ГОСТ Р ИСО/МЭК 15408-3 (там, кстати, 5 уровень доверия – самый высокий, 1 уровень доверия – самый низкий).

    Это единственный пункт изменений, который вступает не сразу, а с 1 июня 2020 года. Ждем обновленные сертификаты соответствия средств защиты информации к этой дате. Превратятся ли в тыкву средства защиты, не обновившие сертификат – пока неизвестно. ФСТЭК ближе к дате Х может выпустить какое-нибудь информационное сообщение как это было с межсетевыми экранами в 2016-м.

    Про сертифицированные маршрутизаторы


    Напоследок нас добивают введением пункта 26.1:

    «При проектировании вновь создаваемых или модернизируемых информационных систем, имеющих доступ к информационно-телекоммуникационной сети «Интернет», должны выбираться маршрутизаторы, сертифицированные на соответствие требованиям по безопасности информации (в части реализованных в них функций безопасности)».

    На самом деле введение этого пункта не очень понятно. Во-первых, все средства защиты итак должны быть сертифицированы. Во-вторых, как правило, при подключении к сети «Интернет» в ГИС используются сертифицированные межсетевые экраны, в том числе являющиеся маршрутизаторами. Отдельных профилей защиты для маршрутизаторов (по аналогии с таковыми для МЭ) – нет и, возможно, введение пункта 26.1 намекает на их (профилей защиты) появление в ближайшем будущем.
    Информационный центр
    35,79
    Компания
    Поделиться публикацией

    Комментарии 17

      0
      Самое приятное для операторов это то, что аттестат на ГИС теперь бессрочный. В пункте 17.4, где раньше было написано о том, что аттестат выдается на 5 лет теперь написано «Аттестат соответствия выдается на весь срок эксплуатации информационной системы»


      А с версиями как?
      Поправил мелкий баг — и все, уже не действует аттестация?

      Если это не так, то и обратный подход — тоже не верен.
      Где граница между мелкой правкой и правкой требующей переаттестации.
        0

        -… так пишите без багов!
        -Нет! Вы не понимаете концепции разработки! (с)

          0
          Переаттестация нужна, если ваши правки влекут за собой появление новых угроз безопасности информации.
            0

            Так а как доказать, что не несут, если не переаттестоваться?

              0
              Не такой простой вопрос как кажется, это определяется моим любимым «экспертным путем». Как минимум, точно появляются новые угрозы при появлении новых технологий, например, не было в ГИС виртуализации, потом появилась -> новые угрозы. Плюс можно при изменениях в ГИС провести внеочередной анализ уязвимостей. Но в любом случае нужно обсуждать каждый случай изменений и что они за собой влекут отдельно.
              +1
              del. коменты не обновляй, сразу пиши
            +1
            В пункте 17.4, где раньше было написано о том, что аттестат выдается на 5 лет теперь написано «Аттестат соответствия выдается на весь срок эксплуатации информационной системы».

            Это конечно хорошо, но как выдавали на 3 года, так и будут. Потому что Положение по аттестации от 94 г. никто не отменял, в нём есть пункт:
            «3.8.4. Аттестат соответствия выдается владельцу аттестованного объекта информатизации органом по аттестации на период, в течение которого обеспечивается неизменность условий функционирования объекта информатизации и технологии обработки защищаемой информации, могущих повлиять на характеристики, определяющие безопасность информации (состав и структура технических средств, условия размещения, используемое программное обеспечение, режимы обработки информации, средства и меры защиты), но не более чем на 3 года.»
              +1
              Действительно никто не отменял, есть еще и дспшные ГОСТы по аттестации, где тоже 3 года. Но у нас в свое время когда в 17 приказе ФСТЭК написали «аттестат на 5 лет» руководитель ФСТЭК по ДФО с трибуны заявил «кто на ГИС будет выдавать аттестат на 3 года — заберем лицензию» и все (по крайней мере кто присутствовал на сборе из лицензиатов) стали выдавать аттестаты на 5 лет.
                0
                Интересно. На данной из конференций по ИБ с представителем ФСТЭК по ЦФО был примерно такой диалог:
                Вопрос: Как выдавать аттестат на 5 лет, если в положении по аттестации написано что срок действия аттестата не должен превышать 3 лет?
                Ответ: Внимательней читайте документ, «17.4. Повторная аттестация информационной системы осуществляется по окончании срока действия аттестата соответствия, который не может превышать 5 лет», 3 года не превышает 5 лет? Вот и действуйте в соответствии с текущими документами по аттестации.
                  0
                  Да, это обычная практика, когда неоднозначность формулировок влечет за собой разное понимание разными представителями регулятора одного и того же положения законодательства. В данном случае формулировка уже совсем другая. Мы, я думаю, перед выдачей очередного аттестата на ГИС просто позвоним нашему ФСТЭКу и уточним на какой срок выдавать аттестат.
                0
                del
                  0
                  Ну вообще если следовать букве закона, то 17 приказ в плане аттестации ГИС был всегда самодостаточен. Положение по аттестации сюда неприменимо в связи с тем, что ГИС не является ОИ. Поэтому это положение исключается и не важно что там считаю лицензиаты. Второй момент положение по аттестации говорит о соответствии ТРЕБОВАНИЯМ ПО БЕЗОПАСНОСТИ ИНФОРМАЦИИ, а 17 приказ говорит об аттестации по ТРЕБОВАНИЯМ ЗАЩИТЫ ИНФОРМАЦИИ. Что касается ГОСТов, то верно, они применимы, но ГОСТы все рекомендованы к применению, так что приказ будет выше по рангу и поэтому должны будут быть аттестаты бессрочные.
                  Другой вопрос, что сейчас со старыми действующими аттестатами, системы надо переаттестовать или эти аттестаты стали бессрочными, как было в свое время с лицензиями ФСБ=/
                    0
                    По идее надо переаттестовывать по истечении срока действующего аттестата. А вот новый аттестат — уже бессрочный. Внесенные изменения в 17 приказ не имеют обратной силы.

                    Лицензии ФСБ тоже не превратились в бессрочные сами по себе, их нужно было переоформлять.
                      0

                      Добавлю к Вашему мнению, что Положение оперирует понятием «объект информатизации", а в 17-м говорится об «информационной системе».

                        0

                        17 — нормативный правовой акт (согласован с МинЮстом), а Положение таковым не является.

                    0
                    Я бы не употреблял слово «бессрочный» в отношении аттестата. Согласно приказу «Аттестат соответствия выдается на весь срок эксплуатации информационной системы». А это две большие разницы. Ну или четыре маленьких))
                      0
                      Бессрочный не в том смысле, что бесконечно действующий, а в том, что нет конкретного срока истечения действия.

                    Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                    Самое читаемое