15.2.16

Конференция ФСТЭК: требования по защите

Ну вот и обещанный рассказ о планах по нормотворчеству ФСТЭК. Тут тоже надо сразу оговориться. Виталий Сергеевич Лютиков сразу признался, что при численного людей, занимающихся нормотворчеством, а это 6 человек, не всегда удается следовать озвученным ранее планам. По этой же причине и в плане ФСТЭК указано гораздо меньше документов, чем может появиться в реальности.

Итак, ключевые изменения коснутся, как я уже и писал, 17-го приказа, распространяющегося пока на государственные и муниципальные информационны системы, а в перспективе и на иные системы, обрабатывающие государственный информационный ресурс. Проект новой редакции 17-го приказа уже готов и в ближайшие несколько дней должен быть выложен на сайт ФСТЭК. Правда, есть вероятность, что изменений туда внести уже не получится. Все-таки, ФСТЭК собирала эти предложения весь прошлый год (формально - до апреля прошлого года). Кто не успел это сделать тогда, могут, конечно, попытаться, но я бы не рассчитывал на то, что их голос будет услышан.

Чтоже стало отличительной чертой новой редакции 17-го приказа?

  • Перенос места моделирования угроз со стадии формирования требований на стадию разработки системы защиты. Сделано это было специально и вполне осознанно. И это еще раз подчеркивает, что ФСТЭК действительно сфокусирован именно на госорганах, а не на коммерческих предприятиях. Ведь когда по уму надо моделировать угрозы? Как можно раньше, то есть на этапе формирования требований к информационной системе. Но в госорганах на этом этапе еще нет финансироваия и моделировать угрозы прочто не на что. Отсюда нелогичный, но обоснованный с практической точки зрения перенос данного этапа.
  • Добавляется 5 новых документов, определяющих правила и процедуры (политики) защиты информации. Из зала сразу прозвучал вопрос о том, не планирует ли ФСТЭК разработать шаблоны документов, которые можно было бы использовать в деятельности организаций. Представитель ФСТЭК сразу же ответил, что в планах такого нет и при проверках они больше смотрят на содержание (а оно как раз описано в 17-м приказе), а не на форму организационно-распорядительной документации. Я, правда, надеялся услышать еще про проект ГОСТа, который должен быть установить формы (шаблоны) пару десятков типовых документов, требуемых при проведении аттестации и лицензировании (паспорт на ИС, границы контролируемой зоны и т.п.). Проект этого ГОСТа пару лет назад рассматривался в ТК 362, но с тех пор про него что-то ничего не слышно.
  • Одним из революционных и при этом ни на что не влияющих изменений стал отказ от 4-го класса ГИС и переход на 3-хуровневую классификацию информационных систем (как в 31-м приказе). Обусловлено это было двумя вещами. Первая - в надзорной деятельности ФСТЭК ГИС 4-го класса не встречались ни разу, что и привело к мысли о его ненужности. А вторая (ее не озвучили, но судя по всему она тоже подтолкнула к принятому решению) - переход ФСТЭК на новые РД с требованиями к средствам защиты информации. В них принята схема с 6-ью классами защищенности (3 для гостайны и 3 - для остальных видов информации ограниченного доступа или защищаемых информационных систем). В прежней редакции 17-го (да и 21-го) приказа была достаточно сложная схема с соотнесением классов защищенности средств защиты и классов защищености информационных систем (с подключением к Интернет или без оного). С переходом же на трехуровневую схему соотнесение стало очень простой задачей (6 класс средства защиты - 3-й класс ГИС, 5 класс средства защиты - 2-й класс, 4 класс защиты - 1-й класс).
  • Зато ФСТЭК явно потребовала сертификации средств защиты на 4-й уровень отсутствия НДВ, если они планируются применяться в государственных информационных системах. Раньше это требование тоже было, но не формализовано. С принятием новой редакции минимальный уровень НДВ будет явно требоваться от любого нового средства защиты. Обратите внимание - нового! К уже приобретенным средствам защиты это требование не применимо (закон обратной силы не имеет).  
  • В 17-й приказ добавили 9 новых блоков защитных мер. 2 из них уже были включены в 21-й приказ - управление инцидентами и управление конфигурацией. Еще 5 взяты из 31-го приказа - безопасная разработка, управление обновлениями, планирование мероприятий по обеспечению защиты информации, информирование и обучение персонала, анализ угроз и рисков (6-й блок из 31-го приказа, про действия в нештатных ситуациях, в новую редакцию 17-го не вошел). Наконец, было добавлено два совсем новых блока защитных мер - защита информации при использовании мобильных устройств и управление потоками информации.
  • Особое внимание в новой редакции 17-го приказа уделено обеспечению непрерывного совершенствования уровня защиты информации за счет регулярного анализа защищености (уязвимостей), который выходит за рамки обычного мероприятия для “галочки” (но об этом позже).

Вот такие изменения грядут для государственных информационных систем и, возможно, в перспективе, для иных систем, обрабатывающих государственные информационные ресурсы. Срок вступления обсуждаемых поправок пока не известен - предположу, что стоит отсчитать не более 6 месяцев с момента регистрации документа в Минюсте. И если это произойдет примерно в апреле, то новый 17-й приказ вступит в силу осенью этого года. Хотя в условиях непростой экономической ситуации и правил бюджетирования многих госорганов, я бы на месте ФСТЭК, ввел этот приказ с 1-го января 2017 года.

4 коммент.:

Александр Германович комментирует...

"...При проверках они больше смотрят на содержание (а оно как раз описано в 17-м приказе), а не на форму организационно-распорядительной документации..."

К сожалению, на практике все с точностью до наоборот: представители ФСТЭК требуют иметь привычный им набор документов на ИС. Есть техпасорт - хорошо, нет - плохо, делайте. А если состав ИС зафиксирован каким-либо другим документом, им это очень не нравится. Так же и по другим, пришедшим из аттестации АС с ГТ документам. Доказать, что они не обязательны крайне сложно.

Михаил Новокрещенов комментирует...

Меня смутил термин "новое средство защиты". Очень бы не хотелось увидеть в документе двузначности - новый с точки зрения приобретения его оператором для построения СЗИ (нельзя покупать средства защиты без контроля НДВ для защиты ГИС с момента вступления в силу нового документа, уже используемые средства защиты без контроля НДВ использовать по-прежнему можно) или новый с точки зрения выдачи сертификата производителю средства защиты (для защиты ГИС можно использовать и покупать средства защиты без контроля НДВ, если сертификаты на них выданы до вступления в силу документа)..Крайне желательно, чтобы этот момент был расписан четко, на уровне ожидаемых ФСТЭК действий операторов (что можно и при каких условиях), а не просто термином "ново средство защиты", а то опять потом разъяснять придется

Александр Германович комментирует...

2 Михаил

В любом случае, при аттестации подтверждается, что ИС соответствует действующим на момент аттестации требованиям. Не новым и не старым, а действующим сегодня.
Точно так же и при повторной аттестации придется подтверждать выполнение в ИС действующих (а не трехлетней давности) требований.
Так, во всяком случае, объясняют все представители регулятора.

Михаил Новокрещенов комментирует...

Эта позиция регулятора понятна, но не бесспорна. В определении аттестации нигде не сказано, что должно проверяться соответствие именно действующим требованиям. Согласно общему правоприменительному принципу требования НПА распространяются только на отношения, возникшие после даты их вступления в силу. Т.е. если вы начали создавать систему по старой (действующей на момент начала работ) нормативке, и вышла новая, то вы имеет полное право заканчивать создание системы защиты по старой нормативке и соответственно аттестовывать (и переаттестовывать при условии отсутствия модернизации) систему защиты на соответствия старым требованиям тоже. Я по крайней мере руководствуюсь таким принципом.