Обзор изменений в 17-м приказе ФСТЭК18.09.2019 08:04

n_pxknfnnvo88cg8m4t8j-o00lu.jpeg

Привет, Хабр! 13 сентября Минюст утвердил документ, вносящий изменения в 17 приказ. Это тот самый, который про защиту информации в государственных информационных системах (далее — ГИС). На самом деле изменений много и некоторые из них существенные. Есть как минимум одно очень приятное для операторов ГИС. Подробности под катом.

О приятном

Давайте с этого начнем, а потом про все остальное. Самое приятное для операторов это то, что аттестат на ГИС теперь бессрочный. В пункте 17.4, где раньше было написано о том, что аттестат выдается на 5 лет теперь написано «Аттестат соответствия выдается на весь срок эксплуатации информационной системы». Правда это, конечно же, не избавляет от необходимости поддерживания соответствия системы защиты информации аттестату, о чем сказано в том же пункте 17.4.

Об облачных ЦОДах

По нашему опыту все больше операторов ГИС склоняется к тому, что им не очень выгодно содержать собственную серверную инфраструктуру и осуществляют миграцию на мощности облачного провайдера. Таким ситуациям и в предыдущей редакции 17 приказа было посвящено пару строк, но теперь это решили описать более обстоятельно. В частности указаны следующие требования:

  • Класс ГИС, которая переезжает в облачный ЦОД не должен быть выше класса самого ЦОД, а это значит, что сам ЦОД должен пройти классификацию (новый абзац в пункте 14.2 17-го приказа);
  • В процессе моделирования угроз для переехавшей в сторонний ЦОД информационной системы должны учитываться угрозы, актуальные для самого ЦОД. Это в частности напрямую говорит о том, что на ЦОД и на ГИС должны быть разработаны две отдельные модели угроз (новый абзац пункта 14.4.);
  • Если в ЦОД реализованы меры по защите информации, то в проектной документации на систему защиты информации самой ГИС мы можем указывать их там, где это актуально и необходимо (новый абзац пункта 15.1);
  • Средства защиты информации в ГИС должны быть совместимы между собой (вот это поворот!) и со средствами защиты используемыми в ЦОД. Логично, в противном случае ничего работать ведь не будет (новый абзац пункта 16.1);
  • ЦОД, в который переезжает ГИС должен быть аттестован по 17 приказу. Многим это было итак очевидно, но кто-то сопротивлялся (измененный пункт 17.6);
  • Если меры принятые в ЦОД блокируют все угрозы безопасности для ГИС, то дополнительные меры защиты информации в ГИС принимать не требуется (новый пункт — 22.1)

Другое по мелочи

В пункт 17, где уже было написано, что проектированием системы защиты и ее аттестацией должны заниматься разные должностные лица добавили к «должностным лицам» «работников» в скобочках. Хорошо, что добавили ясности, потому что споры о том, что понимать под «должностными лицами» были нешуточные.

Пункт 17.2 дополнился абзацем о том, что приемочные испытания самой ГИС и аттестационные испытания системы защиты информации можно совместить. Да, в общем-то, обычно так всегда и делалось.

Обеспечение защиты информации в ходе эксплуатации информационной системы

Пункт 18 пополнился новыми обязательными мероприятиями, которые необходимо проводить в ходе эксплуатации аттестованной ГИС. К управлению системой защиты информации, выявлению инцидентов и реагированию на них, управлению конфигурацией системы и контролю за обеспечением уровня защищенности информации добавлены «планирование мероприятий по защите информации», «анализ угроз безопасности» и «информирование и обучение персонала информационной системы». Вот последнего в 17 приказе точно давно не хватало.

Далее все эти этапы в 17 приказе раскрываются подробнее и поскольку «планирование мероприятий» стало первым в списке, «анализ угроз безопасности» — вторым, нумерация подпунктов изменилась.

В ходе планирования (новый пункт 18.1) мы должны:

  • Определить лиц, ответственных за планирование и контроль мероприятий по защите информации. Раньше необходимости назначения таких лиц не было, поэтому по-хорошему во всех ГИС должен быть издан новый приказ о назначении таких людей;
  • Определить лиц, ответственных за выявление инцидентов и реагирование на них. Этот пункт не добавляет ничего нового. В нашем гайде по внутренней документации мы уже описывали назначение группы реагирования на инциденты информационной безопасности. Это они и есть;
  • Разработать и утвердить план мероприятий по защите информации. Тоже ничего нового, такой план уже давно есть в стандартном наборе документов;
  • Определить порядок контроля выполнения мероприятий. Это можно сделать в том же плане.

По анализу угроз (новый пункт 18.2) все достаточно лаконично. Нужно выявлять и устранять уязвимости, анализировать изменения угроз безопасности и оценивать возможные последствия от реализации угроз.

Нас часто спрашивают, как часто нужно проводить поиск уязвимостей и анализ угроз безопасности информации. В этом же пункте регулятор говорит, что периодичность определяется оператором.

Пункт по управлению системой защиты информации (бывший 18.1 и новый 18.3) тоже претерпел изменения. Отсюда было убрано «информирование пользователей об угрозах безопасности…», видимо потому что теперь это у нас отдельный раздел и добавлено «определение лиц, ответственных за управление системой защиты информации». Впрочем, по новому пункту особо ничего нового, это же наш горячо уважаемый администратор безопасности! Остальное здесь осталось на месте, хоть и немного перефразированное, но по сути — то же самое.

Пункт про управление конфигурацией информационной системы (старый 18.3, новый 18.4) несколько перефразирован, но по сути не изменился. То же самое можно сказать и про пункт по реагированию на инциденты (старый 18.2, новый 18.5).

Пункт 18.6 про обучение персонала — новый, поэтому на нем остановимся подробнее. Итак, чему же мы должны их обучать и о чем информировать:

  • о новых актуальных угрозах безопасности информации;
  • о правилах безопасной эксплуатации информационной системы;
  • о требованиях по защите информации (нормативных и внутренних документов);
  • о правилах эксплуатации отдельных средств защиты информации;
  • проводить практические занятия по блокированию угроз безопасности информации и реагированию на инциденты;
  • контролировать осведомленность персонала о всем вышеперечисленном.

Периодичность обучения устанавливается во внутренних документах оператора, но должна быть не реже чем 1 раз в два года.

Появление обучения персонала это хорошее начало, но к сожалению, снова не указаны формы, часы обучения, должно ли такое обучение проводиться по утвержденным ФСТЭК программам или достаточно внутреннего инструктажа. Подозреваем, что многие продолжат подходить к вопросу формально, а именно отметками в журнале «инструктаж провел», «инструктаж прослушал» без фактического проведения занятий.

В пункт про контроль за обеспечением уровня защищенности информации добавлена периодичность проведения такого контроля. Для ГИС 1 класса — не реже 1 раза в год. Для ГИС 2 и 3 класса — не реже 1 раза в два года. К таким мероприятиям можно привлекать лицензиата, но можно проводить и самостоятельно.

Про уровни доверия к средствам защиты информации

В пункт 26 помимо понятия «класс средства защиты» вводится понятие «уровень доверия». Для ГИС 1 класса нужен как минимум 4 уровень доверия, для ГИС 2 класса — 5 уровень доверия и выше, для ГИС 3 класса — 6 уровень доверия и выше. Про эти уровни доверия ФСТЭК выпускал информационное сообщение и их не нужно путать с оценочным уровнем доверия по ГОСТ Р ИСО/МЭК 15408–3 (там, кстати, 5 уровень доверия — самый высокий, 1 уровень доверия — самый низкий).

Это единственный пункт изменений, который вступает не сразу, а с 1 июня 2020 года. Ждем обновленные сертификаты соответствия средств защиты информации к этой дате. Превратятся ли в тыкву средства защиты, не обновившие сертификат — пока неизвестно. ФСТЭК ближе к дате Х может выпустить какое-нибудь информационное сообщение как это было с межсетевыми экранами в 2016-м.

Про сертифицированные маршрутизаторы

Напоследок нас добивают введением пункта 26.1:

«При проектировании вновь создаваемых или модернизируемых информационных систем, имеющих доступ к информационно-телекоммуникационной сети «Интернет», должны выбираться маршрутизаторы, сертифицированные на соответствие требованиям по безопасности информации (в части реализованных в них функций безопасности)».

На самом деле введение этого пункта не очень понятно. Во-первых, все средства защиты итак должны быть сертифицированы. Во-вторых, как правило, при подключении к сети «Интернет» в ГИС используются сертифицированные межсетевые экраны, в том числе являющиеся маршрутизаторами. Отдельных профилей защиты для маршрутизаторов (по аналогии с таковыми для МЭ) — нет и, возможно, введение пункта 26.1 намекает на их (профилей защиты) появление в ближайшем будущем.

© Habrahabr.ru