Обзор изменений приказа ФСТЭК России №17

1409

13 сентября Минюст зарегистрировал приказ ФСТЭК России №106 о внесении изменений в требования о защите информации, содержащейся в государственных информационных системах (ГИС), от 28 мая 2019 года. Документ содержит немало существенных изменений, которые вступят в силу уже 27 сентября 2019 года. Эксперты компании «КСБ-СОФТ» проанализировали основные изменения приказа и подготовили рекомендации для операторов.

Информационные системы на базе ЦОД

В приказ ФСТЭК России №17 внесены несколько дополнений и одно уточнение в отношении ГИС, функционирующих на базе центра обработки данных (ЦОД). В целом данные изменения устанавливают требования к учету угроз, принятых мер в ЦОД и наличию аттестата определенного класса защищенности ЦОД при размещении в нем ГИС, теперь подробнее:

  • Класс защищенности ГИС не должен быть выше класса защищенности ЦОД (дополнение в пункте 14.2).
  • При моделировании угроз ГИС необходимо учитывать угрозы ЦОД (дополнение в пункте 14.3).
  • При создании ГИС необходимо сформировать требования по защите информации в инфраструктуре ЦОД (дополнение в пункте 14.4).
  • При проектировании системы защиты ГИС необходимо учитывать меры защиты информации, принятые в инфраструктуре ЦОД (дополнение в пункте 15.1).
  • Средства защиты информации (СЗИ), устанавливаемые в ГИС, должны быть совместимы между собой, а также с СЗИ, установленными в ЦОД (дополнение в пункте 16.1).
  • ЦОД должен быть аттестован на соответствие требованиям приказа ФСТЭК России № 17 не ниже класса защищенности, установленного для ГИС (уточнение в пункте 17.6).

Аттестация системы защиты

Главное изменение в части аттестации — срок действия аттестата — теперь он выдается на весь срок эксплуатации ГИС. Однако это не освобождает оператора от необходимости поддерживать систему защиты и инфраструктуру ГИС в соответствии с аттестатом, об этом говорится в пункте 17.4. Также остается вопрос по поводу действующего положения по аттестации ФСТЭК России от 25 ноября 1994 года, в котором говорится о том, что аттестат соответствия выдается владельцу объекта не более чем на три года, будем ждать комментариев регулятора по этому поводу.

Кроме того, внесены уточнения в пункты 17.1 и 17.2.

Во втором абзаце пункта 17.1 после «должностными лицами» в скобках добавлено слово «работниками», чтобы еще раз подчеркнуть, что комплекс работ по проектированию и аттестации системы защиты может проводить одна и та же организация, но в этих работах должны быть задействованы разные люди.

Пункт 17.2 был дополнен замечанием о том, что, по решению заказчика (оператора ГИС), аттестационные испытания можно совместить с проведением приемочных испытаний информационной системы. Ранее многие операторы ГИС так и поступали, теперь же регулятор явно формализовал такой подход в тексте документа.

Защита ГИС в ходе эксплуатации

В пункт 18, посвященный обеспечению защиты ГИС в ходе ее эксплуатации, внесены значительные изменения: в перечень процессов по обеспечению защиты информации в ходе эксплуатации ГИС включены планирование мероприятий по защите информации, анализ угроз и обучение персонала.

Так, планирование должно включать (новый пункт 18.1):

  • определение лиц, ответственных за планирование и контроль мероприятий;
  • создание плана мероприятий по защите информации в ИС и его актуализацию;
  • контроль выполнения мероприятий из плана.
  • Обновленный документ предписывает обязательную разработку план мероприятий по информационной безопасности до ввода ГИС в эксплуатацию.
  • В свою очередь, анализ угроз должен включать (новый пункт 18.2):
  • выявление, анализ и устранение уязвимостей;
  • анализ изменений угроз;
  • оценку возможных последствий.

Оператор ГИС должен определить периодичность выполнения указанных работ и отразить эту информацию в своей организационно-распорядительной документации (ОРД).

Пункт 18.3 (ранее 18.1) теперь содержит требование о том, что управление (администрирование) системой защиты информации ГИС должно включать определение ответственных.

В новой редакции документа уточнено, что правила разграничения доступа необходимо непрерывно поддерживать в актуальном состоянии (ранее предписывалось «поддержание правил разграничения доступа»). Данные изменения связаны с общей тенденцией регулятора к периодическому контролю и актуализации организационных и технических мер, а в данном случае – мер по разграничению доступа.

«Корректировку» эксплуатационной документации и ОРД (регламентов, технических паспортов и журналов) заменили на «ведение», что также подразумевает их своевременную актуализацию.

Формулировка «Регистрация и анализ событий безопасности» заменена на «мониторинг и анализ зарегистрированных событий безопасности». Эти изменения связаны с требованиями к оперативному мониторингу событий безопасности и являются шагом в сторону организации центров мониторинга, совместно с новым пунктом 18.5 (ранее 18.2), касающимся процесса реагирования на инциденты.

Содержание пункта 18.4 (ранее 18.3) об управлении конфигурацией и системой защиты ГИС конкретизировано, сюда был добавлен абзац о том, что управление изменениями ГИС и ее системы защиты должно включать процессы гарантийного или технического (в том числе удаленного) обслуживания программных и программно-аппаратных средств. Регулятор данными изменениями формирует требования о том, что оператор ГИС обязан обеспечить надлежащее техническое обслуживание подсистемы защиты ГИС и, в частности, обеспечивать техническую поддержку применяемых в ее составе средств защиты информации.

В пункте 18.7 (ранее 18.4) внесены уточнения о том, что анализ и оценка функционирования системы защиты включают в себя анализ и устранение уязвимостей и иных недостатков, ранее же предусматривались лишь «анализ и устранение недостатков». Таким образом, регулятором дополнительно подчеркивается необходимость периодического анализа уязвимостей (не только при внедрении ГИС!) с использованием bdu.fstec.ru.

Также ФСТЭК России вводит периодичность контроля обеспечения уровня защищенности информации: для ГИС 1 класса защищенности — не реже одного раза в год, для ИС 2 и 3 классов защищенности — не реже одного раза в два года, — и, конечно, эта периодичность должна быть зафиксирована в документации на ГИС.

Появился новый пункт 18.6 об информировании и обучении персонала. Требования к обучению персонала теперь формализованы и установлена их периодичность: не реже 1 раза в 2 года. Персонал необходимо обучать и информировать:

  • о появлении актуальных угроз безопасности информации;
  • о правилах безопасной эксплуатации ГИС;
  • правилам эксплуатации отдельных СЗИ;
  • блокированию угроз безопасности информации и реагированию на инциденты.

Кроме того, теперь осведомленность и уровень знаний персонала по всем вышеуказанным вопросам необходимо контролировать.

Сертифицированные СЗИ и маршрутизаторы

Пункт 26, ранее определявший классы средств защиты, был дополнен требованиями к уровням доверия. Как и классы средств защиты, уровни доверия определяются в соответствии с нормативно-правовыми актами ФСТЭК России. С 1 июня 2020 года вступит в силу пятый абзац пункта о том, что используемые при проектировании ГИС СЗИ должны иметь сертификат ФСТЭК России по оценочному уровню доверия (ОУД).

Согласно новому пункту 26.1, при проектировании ГИС необходимо использовать маршрутизаторы, сертифицированные ФСТЭК России. Возможно, это следует ожидать от регулятора появления документа, определяющего профили защиты для маршрутизаторов.

Рекомендации для оператора ГИС

Что же необходимо сделать операторам ГИС в связи с изменениями приказа ФСТЭК России №17?

Мы рекомендуем следующее:

1. При планировании и выполнении работ по созданию (развертыванию) ГИС необходимо заранее позаботиться о выборе подходящего ЦОД и заблаговременно провести анализ системы защиты ЦОД, иначе обязательная оценка соответствия (аттестация) по требованиям информационной безопасности до ввода ГИС в промышленную эксплуатацию может оказаться невозможной в условия конкретного ЦОД. В частности, необходимо:

  • проверить наличие аттестата соответствия ЦОД требованиям приказа ФСТЭК России №17;
  • убедиться, что класс защищенности ЦОД не ниже класса защищенности ГИС оператора;
  • подробно изучить архитектуру системы защиты информации ЦОД. Акцентировать внимание на совместимости СЗИ в ЦОД и ГИС, принятые в ЦОД организационные и технические меры защиты, специфике угроз безопасности информации ЦОД и их применимость к ГИС.

Результатом взаимодействия с ЦОД должно стать двухстороннее соглашение, которое учитывает условия размещения ГИС в ЦОД и требования по защите информации, которым должен соответствовать ЦОД при размещении в нем ГИС. Так же должно быть зафиксировано распределение обязанностей по защите информации при размещении ГИС в ЦОД и в ходе дальнейшей эксплуатации ГИС.

2. Внимательнее подходить к вопросу обеспечения защиты информации в ходе эксплуатации ГИС. Само по себе получение аттестата соответствия ГИС требованиям по защите информации не означает, что оператор реализовал все мероприятия по информационной безопасности.

Кроме этого обязательно необходимо:

  • планировать последующую модернизацию системы защиты информации ГИС (при ее развитии, модернизации, расширении, обновлении ПО или средств защиты и пр.);
  • периодически проводить необходимые мероприятия для обеспечения безопасности ГИС (моделирование угроз, анализ уязвимостей, обучение пользователей и администраторов и пр.);
  • постоянно осуществлять мониторинг события безопасности, либо самостоятельно, либо с привлечением специализированных организаций. Это важно для оперативного выявления и реагирования на инциденты;
  • решить вопрос последующего технического обслуживания ГИС: либо самостоятельно, либо с привлечением специализированных организаций;
  • запланировать проведение периодического контроля обеспечения уровня защищенности информации в зависимости от класса защищенности ГИС: для ГИС 1 класса защищенности — не реже 1 раза в год, для ГИС 2 и 3 класса защищенности — не реже 1 раза в 2 года;
  • зафиксировать все вышесказанное в документации на ГИС.

Если оператор не продумает вопросы обеспечения защиты информации в ходе эксплуатации ГИС, то это приведет к тому, что в условиях роста актуальных угроз информационной безопасности в России и мире система защиты ГИС перестанет быть достаточно надежной и актуальной в отношении таких угроз. Соответственно, это повлечет за собой наложение штрафных санкций со стороны регуляторов и, что немаловажно, потребует дополнительных затраты на восстановление ГИС при реализации угроз со стороны злоумышленников и иных событий.

Стоит особенно внимательно отнестись к вопросам периодического контроля обеспечения уровня защищенности информации и мониторинга событий информационной безопасности. В случае отсутствия квалифицированного персонала на эти работы мы рекомендуем привлекать специализированные организации.

3. Во всех проектных решениях на систему защиты ГИС, которую планируется аттестовать и(или) ввести в эксплуатацию после 27 сентября 2019 года, необходимо учесть изменения, установленные приказом ФСТЭК России №106.

4. В проектных решениях на систему защиты ГИС, которую планируется аттестовать и ввести в эксплуатацию после 1 июня 2020 года, необходимо учесть, что средства защиты информации должны иметь сертификат ФСТЭК России по требованиям на соответствие ОУД.

Об авторе: Михаил Шипицын, начальник отдела управления проектами ООО «КСБ-СОФТ».

1 КОММЕНТАРИЙ

Comments are closed.