23.1.17

Промежуточная версия нового 17-го приказа

В недалеком октябре 2015-го года всенародно избранный Президент выпустил очередной (дспшный) перечень поручений, направленный на усиление контроля за защитой информации в государственных органах. В нем было целых 8 пунктов, результаты по многим из которых мы сейчас и наблюдаем:
  • обязательное уведомление об инцидентах
  • распространение требований ФСТЭК не только на ГИС, но и на операторов информационных систем, обрабатывающих информацию, обладателем которой являются госорганы
  • совершенствование банка данных угроз
  • включение в планы информатизации госорганов мероприятий по защите информации
  • включение в требования по жизненному циклу ГИС требований по защите информации
  • и т.д.
По этой причине сейчас активно вносятся изменения в ПП-676, устанавливающее требования к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации. И в эту же струю укладывается проект изменений 17-го приказа ФСТЭК, который в пятницу был выложен для обсуждения (это значит, что можно не по фейсбукам комментировать, что там не так, а написать разработчикам, чей адрес, указан на странице проекта НПА).

Надо сразу отметить, что это не тот документ, которого ждали многие. Это промежуточная версия, задача которой закрыть ряд стоящих перед ФСТЭК вопросов, которые не касаются непосредственно состава и содержания защитных мер. Вот именно последнего многие ждут и именно последнее отложено на неопределенный срок, связанный с принятием поправок в ФЗ-149. Как только эти поправки примут, тогда, спустя некоторое время, и выйдет серьезно обновленная редакция 17-го приказа. А пока посмотрим, что нам подготовил регулятор в текущем проекте помимо косметических и терминологических правок:
  • Перешли на давно обещанные 3 класса защищенности ГИС. 4-й класс, который и раньше был достаточно вырожденным, убран совсем. В приложении 2 также убран столбец с мерами для соответствующего класса. Насколько я обратил внимание, никаких изменений в составе базовых мер для 1-3-х классов не произошло.
  • Переход на 3 класса автоматически облегчил их соотнесение с классами защиты средств защиты, на которые переходит ФСТЭК в своих документах по системам обнаружения вторжений, МСЭ, антивирусам, ОС, СУБД и т.п. Теперь логика простая - 6-й класс защиты применяется в ГИС 3-го класса, 5-й класс - в ГИС 2-го класса и 4-й класс в ГИС 1-го класса (средства защиты 1-3 классов применяются для защиты гостайны). Что делать со старыми, но еще действующими сертификатами, и как они будут соотноситься с новыми классами ГИС не совсем понятно. А ведь старых сертификатов немало - некоторые вендора аккурат перед 1-м декабря продлили сертификаты на свои МСЭ до 2019-го года. И как быть потребителю? В принципе в проекте есть решение в виде фразы "При этом функции безопасности таких средств должны обеспечивать выполнение настоящих Требований" (это касается сертификации по ТУ/ЗБ). Но это и в прошлые разы вызывало вопросы - как определить соответствие функций безопасности требованиям класса защищенности ГИС? Писать в ФСТЭК?
  • Появились новые виды аттестационных испытаний, что не может не радовать. Что огорчает - по ним нет никаких методических документов ФСТЭК или ГОСТов. А ведь в 17-м приказе написано, что при проведении аттестации надо ими руководствоваться, а их нет :-( Пентесты теперь обязательны для ГИС 1-го и 2-го классов защищенности - проводить их можно своими силами или с привлечением лицензиатов ФСТЭК (с июня, как я уже писал, для лицензиатов вступают новые правила игры).
  • Усилили связь требований по защите с банком данных угроз и уязвимостей ФСТЭК (при моделировании угроз и анализе уязвимостей).
  • Запретили проведение аттестации тем же лицом, что и проектирует/внедряет систему защиты. С одной стороны это логично, а с другой - заказчикам, которые привыкли заключать один договор с генподрядчиком, который уже сам искал исполнителей на проектирование, внедрение и аттестацию, придется пересмотреть свою практику. Или писать письма в ФСТЭК с просьбой разрешить такие договора.
  • Зачем-то включили пункт, что срок действия аттестата не может превышать 5 лет. Ну так вроде он по требованиям ФСТЭК выдается сроком на 3 года, то есть и так меньше 5-ти лет. Непонятно.
  • Учли переход на общую систему ЦОДов и "Гособлако" в части аттестации.
  • Синхронизировали требования по защите информации ГИС, включаемой в ТЗ на ее создание, с требованиями ПП-676, упомянутого выше.
  • Убрали ссылку на ГОСТ 27001. Применительно к госорганам я бы это поддержал - не готовы они еще к процессному подходу в области ИБ; особенно в условиях не самого лучшего бюджетирования.
Вот так выглядят изменения в 17-й приказ, которые должны будут приняты в самое ближайшее время. В целом же можно говорить об усилении контроля за деятельностью по защите информации в госорганах и организациях, обрабатывающих информацию, обладателем которой  являются госорганы. Я попробовал набросать картинку тех изменений, которые происходят сейчас, происходили в самом недалеком будущем или будут происходить в самое ближайшее время. И вот что получилось:


Если попробовать порассуждать, то получается, что, теоретически, можно ожидать новых требований по аттестации, которые были упомянуты в рассматриваемом проекте изменений 17-го приказа и которые должны быть облечены в некий формальний документ. А под это дело может быть ФСТЭК и вообще подходы к аттестации пересмотрит, а то действующие ГОСТы в этой области совсем никуда не годятся.

ЗЫ. Кстати, если посмотреть на упомянутый выше перечень поручений, то там можно увидеть ряд пунктов, которые пока не стали достоянием гласности, что означает, что нас еще ждет нечто интересное.

11 коммент.:

Николай Казанцев комментирует...

Алексей, позволю небольшое уточнение:
Убрав ссылку на ГОСТ 27001 Приказ 17 не отменяет его силы и не говорит о том, что в гос. системах не должны его применять.
Изменяемый пункт 14.4 на оборот расширяется и говорит уже о любых внутренних политиках, а не только подготовленных по 27001.
Хотя, учитывая что тот же 51583 ссылается только на 27002 получается что 27001 в целом вымывается из системы нормативных требований по ЗИ.

Алексей Лукацкий комментирует...

Именно. Потому что, 27002 - это просто перечень защитных мер, а 27001 - именно процессный подход. Первое убирать глупо, а второе работает не очень хорошо. Поэтому и убрали ссылку

Александр Германович комментирует...

Про срок действия аттестата все-таки не просто так написали. Регулятор планирует перейти на пятилетний срок. Но, скорее всего, как обычно сделает пол-шага: в новых документах напишет "5 лет", а Положение по аттестации не отменит.

С классами СЗИ пока тоже не все ясно: есть противоречие между классами СЗИ и уровнем контроля НДВ в них.

Алексей Лукацкий комментирует...

В чем несоответствие?

Александр Германович комментирует...

"В чем несоответствие?"

Насколько я помню, в СОВ и САВЗ 5 класса нет контроля НДВ. В действующей версии приказа все сходится: 5-й класс, НДВ не требуется. В новой редакции приказа этот номер не пройдет.

Алексей Лукацкий комментирует...

В новой редакции НДВ требуется для ГИС 1-2 класса. Ничто не мешает сертифицировать СОВ/САВЗ по 5-му классу и по НДВ. А если сертификат выдан просто по 5-му классу, то нельзя будет применять в ГИС 1-2-го класса, вот и все.

Александр Германович комментирует...

Да, все верно. Это они ранее обещали сделать контроль НДВ обязательным во всех классах. Но оставили по-старому.
Недоглядел.

ЗВД комментирует...

Алексей, здравствуйте!
Подскажите, пожалуйста, как Вы понимаете предлагаемую формулировку вот этого пункта?
17.6. Информационные системы, функционирующие на базе общей инфраструктуры (средств вычислительной техники, серверов телекоммуникационного оборудования) в качестве прикладных сервисов, подлежат аттестации по требованиям защиты информации в составе указанной инфраструктуры.
В случае, если информационная система создается на базе центра обработки данных уполномоченного лица, такой центр обработки данных должен быть аттестован по требованиям защиты информации по классу защищенности не ниже класса защищенности, установленного для создаваемой информационной системы.

Как трактовать "подлежат аттестации по требованиям защиты информации в составе указанной инфраструктуры"? Имеется ввиду что если есть, например, облачный сервис для ведения бухгалтерской отчетности, то достаточно аттестовать инфраструктуру оказания данного сервиса, а не аттестовывать "фрагмент прикладного сервиса" для каждого потребителя?

По второй части не совсем понятно:
1) "colocation" сюда не относиться, т.к. это не создание на базе ЦОД, а размещение в ЦОД?
2) если информационная система создается на базе ЦОД уполномоченного лица (типовой случай думаю это размещение на базе вычислительной инфраструктуры/инфраструктуры виртуализации ЦОД), это ведь не избавляет от необходимости аттестовывать саму информационную систему, функционирующую на вычислительных мощностях ЦОД?
Мое мнение что нужно аттестовать вычислительную инфраструктуру ЦОД (в рамках системы защиты ЦОД реализовать меры защиты инфраструктуры виртуализации, межсетевые экраны, средства обнаружения вторжений, средства анализа защищенности, возможно антивирусные средства для инфраструктуры виртуализации, SIEM, защиту от DDoS и т.д. + средства защиты рабочих мест администраторов вычислительной инфраструктуры), а саму информационную систему аттестовывать по "упрощенной" процедуре, со ссылкой на аттестат ЦОДа (в рамках системы защиты информационной системы в зависимости от структурно-функциональных характеристик, угроз/класса системы возможно дополнительно потребуются СЗИ от НСД (или сертификация функций безопасности самой ИС), антивирусные средства и т.п.).

Сергей комментирует...

"Проведение аттестационных испытаний информационной системы должностными лицами, осуществляющими проектирование и (или) внедрение системы защиты информации информационной системы, не допускается".

"Запретили проведение аттестации тем же лицом, что и проектирует/внедряет систему защиты. С одной стороны это логично, а с другой - заказчикам, которые привыкли заключать один договор с генподрядчиком, который уже сам искал исполнителей на проектирование, внедрение и аттестацию, придется пересмотреть свою практику. Или писать письма в ФСТЭК с просьбой разрешить такие договора."

Думаю что здесь нечто иное имелось в виду. Грубо говоря, в штате 3 человека: 1ый делает проект, 2ой внедряет, 3й проводит аттестацию.

ЗВД комментирует...
Этот комментарий был удален автором.
Алексей Лукацкий комментирует...

Сергей, нет. Именно то, что написано