выполнение приказа 17 продуктами код безопасности
Защита информации в госорганизациях
Почему к защите информационных систем государственных организаций предъявляются повышенные требования?
В информационных системах государственных органов обрабатывается огромное количество важной информации, необходимой для обеспечения их функционирования. Поскольку для злоумышленников контроль над этими системами и обрабатываемые там данные представляют большую ценность, государство требует их обязательной защиты. Нарушение законодательства в области защиты информации влечет за собой административную и уголовную ответственность.
В чем сложности защиты информационных систем государственных организаций?
Множество требований в области мер защиты, средств безопасности и их сертификации
Недостаток квалифицированных кадров для эксплуатации системы защиты
Бюджетные ограничения на создание, эксплуатацию и защиту ИТ-инфраструктуры
Почему «Код Безопасности»?
Защита всех элементов ИТ-инфраструктуры в рамках единого, целостного решения. «Код Безопасности» – единственная компания на рынке, которая разрабатывает продукты для защиты данных, рабочих станций и серверов, сетевой инфраструктуры, виртуальной инфраструктуры.
Выполненные проекты «Кода Безопасности» по защите ГИС
Обзор изменений в 17-м приказе ФСТЭК
Привет, Хабр! 13 сентября Минюст утвердил документ, вносящий изменения в 17 приказ. Это тот самый, который про защиту информации в государственных информационных системах (далее – ГИС). На самом деле изменений много и некоторые из них существенные. Есть как минимум одно очень приятное для операторов ГИС. Подробности под катом.
О приятном
Давайте с этого начнем, а потом про все остальное. Самое приятное для операторов это то, что аттестат на ГИС теперь бессрочный. В пункте 17.4, где раньше было написано о том, что аттестат выдается на 5 лет теперь написано «Аттестат соответствия выдается на весь срок эксплуатации информационной системы». Правда это, конечно же, не избавляет от необходимости поддерживания соответствия системы защиты информации аттестату, о чем сказано в том же пункте 17.4.
Об облачных ЦОДах
По нашему опыту все больше операторов ГИС склоняется к тому, что им не очень выгодно содержать собственную серверную инфраструктуру и осуществляют миграцию на мощности облачного провайдера. Таким ситуациям и в предыдущей редакции 17 приказа было посвящено пару строк, но теперь это решили описать более обстоятельно. В частности указаны следующие требования:
Другое по мелочи
В пункт 17, где уже было написано, что проектированием системы защиты и ее аттестацией должны заниматься разные должностные лица добавили к «должностным лицам» «работников» в скобочках. Хорошо, что добавили ясности, потому что споры о том, что понимать под «должностными лицами» были нешуточные.
Пункт 17.2 дополнился абзацем о том, что приемочные испытания самой ГИС и аттестационные испытания системы защиты информации можно совместить. Да, в общем-то, обычно так всегда и делалось.
Обеспечение защиты информации в ходе эксплуатации информационной системы
Пункт 18 пополнился новыми обязательными мероприятиями, которые необходимо проводить в ходе эксплуатации аттестованной ГИС. К управлению системой защиты информации, выявлению инцидентов и реагированию на них, управлению конфигурацией системы и контролю за обеспечением уровня защищенности информации добавлены «планирование мероприятий по защите информации», «анализ угроз безопасности» и «информирование и обучение персонала информационной системы». Вот последнего в 17 приказе точно давно не хватало.
Далее все эти этапы в 17 приказе раскрываются подробнее и поскольку «планирование мероприятий» стало первым в списке, «анализ угроз безопасности» — вторым, нумерация подпунктов изменилась.
В ходе планирования (новый пункт 18.1) мы должны:
Нас часто спрашивают, как часто нужно проводить поиск уязвимостей и анализ угроз безопасности информации. В этом же пункте регулятор говорит, что периодичность определяется оператором.
Пункт по управлению системой защиты информации (бывший 18.1 и новый 18.3) тоже претерпел изменения. Отсюда было убрано «информирование пользователей об угрозах безопасности. », видимо потому что теперь это у нас отдельный раздел и добавлено «определение лиц, ответственных за управление системой защиты информации». Впрочем, по новому пункту особо ничего нового, это же наш горячо уважаемый администратор безопасности! Остальное здесь осталось на месте, хоть и немного перефразированное, но по сути – то же самое.
Пункт про управление конфигурацией информационной системы (старый 18.3, новый 18.4) несколько перефразирован, но по сути не изменился. То же самое можно сказать и про пункт по реагированию на инциденты (старый 18.2, новый 18.5).
Пункт 18.6 про обучение персонала – новый, поэтому на нем остановимся подробнее. Итак, чему же мы должны их обучать и о чем информировать:
Появление обучения персонала это хорошее начало, но к сожалению, снова не указаны формы, часы обучения, должно ли такое обучение проводиться по утвержденным ФСТЭК программам или достаточно внутреннего инструктажа. Подозреваем, что многие продолжат подходить к вопросу формально, а именно отметками в журнале «инструктаж провел», «инструктаж прослушал» без фактического проведения занятий.
В пункт про контроль за обеспечением уровня защищенности информации добавлена периодичность проведения такого контроля. Для ГИС 1 класса – не реже 1 раза в год. Для ГИС 2 и 3 класса – не реже 1 раза в два года. К таким мероприятиям можно привлекать лицензиата, но можно проводить и самостоятельно.
Про уровни доверия к средствам защиты информации
В пункт 26 помимо понятия «класс средства защиты» вводится понятие «уровень доверия». Для ГИС 1 класса нужен как минимум 4 уровень доверия, для ГИС 2 класса – 5 уровень доверия и выше, для ГИС 3 класса – 6 уровень доверия и выше. Про эти уровни доверия ФСТЭК выпускал информационное сообщение и их не нужно путать с оценочным уровнем доверия по ГОСТ Р ИСО/МЭК 15408-3 (там, кстати, 5 уровень доверия – самый высокий, 1 уровень доверия – самый низкий).
Это единственный пункт изменений, который вступает не сразу, а с 1 июня 2020 года. Ждем обновленные сертификаты соответствия средств защиты информации к этой дате. Превратятся ли в тыкву средства защиты, не обновившие сертификат – пока неизвестно. ФСТЭК ближе к дате Х может выпустить какое-нибудь информационное сообщение как это было с межсетевыми экранами в 2016-м.
Про сертифицированные маршрутизаторы
Напоследок нас добивают введением пункта 26.1:
«При проектировании вновь создаваемых или модернизируемых информационных систем, имеющих доступ к информационно-телекоммуникационной сети «Интернет», должны выбираться маршрутизаторы, сертифицированные на соответствие требованиям по безопасности информации (в части реализованных в них функций безопасности)».
На самом деле введение этого пункта не очень понятно. Во-первых, все средства защиты итак должны быть сертифицированы. Во-вторых, как правило, при подключении к сети «Интернет» в ГИС используются сертифицированные межсетевые экраны, в том числе являющиеся маршрутизаторами. Отдельных профилей защиты для маршрутизаторов (по аналогии с таковыми для МЭ) – нет и, возможно, введение пункта 26.1 намекает на их (профилей защиты) появление в ближайшем будущем.