18.09.2019 04:32
fairfaxro 13 10500 Источник


Привет, Хабр! 13 сентября Минюст утвердил документ, вносящий изменения в 17 приказ. Это тот самый, который про защиту информации в государственных информационных системах (далее – ГИС). На самом деле изменений много и некоторые из них существенные. Есть как минимум одно очень приятное для операторов ГИС. Подробности под катом.

О приятном


Давайте с этого начнем, а потом про все остальное. Самое приятное для операторов это то, что аттестат на ГИС теперь бессрочный. В пункте 17.4, где раньше было написано о том, что аттестат выдается на 5 лет теперь написано «Аттестат соответствия выдается на весь срок эксплуатации информационной системы». Правда это, конечно же, не избавляет от необходимости поддерживания соответствия системы защиты информации аттестату, о чем сказано в том же пункте 17.4.

Об облачных ЦОДах


По нашему опыту все больше операторов ГИС склоняется к тому, что им не очень выгодно содержать собственную серверную инфраструктуру и осуществляют миграцию на мощности облачного провайдера. Таким ситуациям и в предыдущей редакции 17 приказа было посвящено пару строк, но теперь это решили описать более обстоятельно. В частности указаны следующие требования:

  • Класс ГИС, которая переезжает в облачный ЦОД не должен быть выше класса самого ЦОД, а это значит, что сам ЦОД должен пройти классификацию (новый абзац в пункте 14.2 17-го приказа);
  • В процессе моделирования угроз для переехавшей в сторонний ЦОД информационной системы должны учитываться угрозы, актуальные для самого ЦОД. Это в частности напрямую говорит о том, что на ЦОД и на ГИС должны быть разработаны две отдельные модели угроз (новый абзац пункта 14.4.);
  • Если в ЦОД реализованы меры по защите информации, то в проектной документации на систему защиты информации самой ГИС мы можем указывать их там, где это актуально и необходимо (новый абзац пункта 15.1);
  • Средства защиты информации в ГИС должны быть совместимы между собой (вот это поворот!) и со средствами защиты используемыми в ЦОД. Логично, в противном случае ничего работать ведь не будет (новый абзац пункта 16.1);
  • ЦОД, в который переезжает ГИС должен быть аттестован по 17 приказу. Многим это было и так очевидно, но кто-то сопротивлялся (измененный пункт 17.6);
  • Если меры принятые в ЦОД блокируют все угрозы безопасности для ГИС, то дополнительные меры защиты информации в ГИС принимать не требуется (новый пункт – 22.1)

Другое по мелочи


В пункт 17, где уже было написано, что проектированием системы защиты и ее аттестацией должны заниматься разные должностные лица добавили к «должностным лицам» «работников» в скобочках. Хорошо, что добавили ясности, потому что споры о том, что понимать под «должностными лицами» были нешуточные.

Пункт 17.2 дополнился абзацем о том, что приемочные испытания самой ГИС и аттестационные испытания системы защиты информации можно совместить. Да, в общем-то, обычно так всегда и делалось.

Обеспечение защиты информации в ходе эксплуатации информационной системы


Пункт 18 пополнился новыми обязательными мероприятиями, которые необходимо проводить в ходе эксплуатации аттестованной ГИС. К управлению системой защиты информации, выявлению инцидентов и реагированию на них, управлению конфигурацией системы и контролю за обеспечением уровня защищенности информации добавлены «планирование мероприятий по защите информации», «анализ угроз безопасности» и «информирование и обучение персонала информационной системы». Вот последнего в 17 приказе точно давно не хватало.

Далее все эти этапы в 17 приказе раскрываются подробнее и поскольку «планирование мероприятий» стало первым в списке, «анализ угроз безопасности» — вторым, нумерация подпунктов изменилась.

В ходе планирования (новый пункт 18.1) мы должны:

  • Определить лиц, ответственных за планирование и контроль мероприятий по защите информации. Раньше необходимости назначения таких лиц не было, поэтому по-хорошему во всех ГИС должен быть издан новый приказ о назначении таких людей;
  • Определить лиц, ответственных за выявление инцидентов и реагирование на них. Этот пункт не добавляет ничего нового. В нашем гайде по внутренней документации мы уже описывали назначение группы реагирования на инциденты информационной безопасности. Это они и есть;
  • Разработать и утвердить план мероприятий по защите информации. Тоже ничего нового, такой план уже давно есть в стандартном наборе документов;
  • Определить порядок контроля выполнения мероприятий. Это можно сделать в том же плане.

По анализу угроз (новый пункт 18.2) все достаточно лаконично. Нужно выявлять и устранять уязвимости, анализировать изменения угроз безопасности и оценивать возможные последствия от реализации угроз.

Нас часто спрашивают, как часто нужно проводить поиск уязвимостей и анализ угроз безопасности информации. В этом же пункте регулятор говорит, что периодичность определяется оператором.

Пункт по управлению системой защиты информации (бывший 18.1 и новый 18.3) тоже претерпел изменения. Отсюда было убрано «информирование пользователей об угрозах безопасности...», видимо потому что теперь это у нас отдельный раздел и добавлено «определение лиц, ответственных за управление системой защиты информации». Впрочем, по новому пункту особо ничего нового, это же наш горячо уважаемый администратор безопасности! Остальное здесь осталось на месте, хоть и немного перефразированное, но по сути – то же самое.

Пункт про управление конфигурацией информационной системы (старый 18.3, новый 18.4) несколько перефразирован, но по сути не изменился. То же самое можно сказать и про пункт по реагированию на инциденты (старый 18.2, новый 18.5).

Пункт 18.6 про обучение персонала – новый, поэтому на нем остановимся подробнее. Итак, чему же мы должны их обучать и о чем информировать:

  • о новых актуальных угрозах безопасности информации;
  • о правилах безопасной эксплуатации информационной системы;
  • о требованиях по защите информации (нормативных и внутренних документов);
  • о правилах эксплуатации отдельных средств защиты информации;
  • проводить практические занятия по блокированию угроз безопасности информации и реагированию на инциденты;
  • контролировать осведомленность персонала о всем вышеперечисленном.

Периодичность обучения устанавливается во внутренних документах оператора, но должна быть не реже чем 1 раз в два года.

Появление обучения персонала это хорошее начало, но к сожалению, снова не указаны формы, часы обучения, должно ли такое обучение проводиться по утвержденным ФСТЭК программам или достаточно внутреннего инструктажа. Подозреваем, что многие продолжат подходить к вопросу формально, а именно отметками в журнале «инструктаж провел», «инструктаж прослушал» без фактического проведения занятий.

В пункт про контроль за обеспечением уровня защищенности информации добавлена периодичность проведения такого контроля. Для ГИС 1 класса – не реже 1 раза в год. Для ГИС 2 и 3 класса – не реже 1 раза в два года. К таким мероприятиям можно привлекать лицензиата, но можно проводить и самостоятельно.

Про уровни доверия к средствам защиты информации


В пункт 26 помимо понятия «класс средства защиты» вводится понятие «уровень доверия». Для ГИС 1 класса нужен как минимум 4 уровень доверия, для ГИС 2 класса – 5 уровень доверия и выше, для ГИС 3 класса – 6 уровень доверия и выше. Про эти уровни доверия ФСТЭК выпускал информационное сообщение и их не нужно путать с оценочным уровнем доверия по ГОСТ Р ИСО/МЭК 15408-3 (там, кстати, 5 уровень доверия – самый высокий, 1 уровень доверия – самый низкий).

Это единственный пункт изменений, который вступает не сразу, а с 1 июня 2020 года. Ждем обновленные сертификаты соответствия средств защиты информации к этой дате. Превратятся ли в тыкву средства защиты, не обновившие сертификат – пока неизвестно. ФСТЭК ближе к дате Х может выпустить какое-нибудь информационное сообщение как это было с межсетевыми экранами в 2016-м.

Про сертифицированные маршрутизаторы


Напоследок нас добивают введением пункта 26.1:

«При проектировании вновь создаваемых или модернизируемых информационных систем, имеющих доступ к информационно-телекоммуникационной сети «Интернет», должны выбираться маршрутизаторы, сертифицированные на соответствие требованиям по безопасности информации (в части реализованных в них функций безопасности)».

На самом деле введение этого пункта не очень понятно. Во-первых, все средства защиты итак должны быть сертифицированы. Во-вторых, как правило, при подключении к сети «Интернет» в ГИС используются сертифицированные межсетевые экраны, в том числе являющиеся маршрутизаторами. Отдельных профилей защиты для маршрутизаторов (по аналогии с таковыми для МЭ) – нет и, возможно, введение пункта 26.1 намекает на их (профилей защиты) появление в ближайшем будущем.

Комментарии (13)


  1. skrimafonolog
    18.09.2019 07:48
    #20635123

    Самое приятное для операторов это то, что аттестат на ГИС теперь бессрочный. В пункте 17.4, где раньше было написано о том, что аттестат выдается на 5 лет теперь написано «Аттестат соответствия выдается на весь срок эксплуатации информационной системы»


    А с версиями как?
    Поправил мелкий баг — и все, уже не действует аттестация?

    Если это не так, то и обратный подход — тоже не верен.
    Где граница между мелкой правкой и правкой требующей переаттестации.


    1. bores
      18.09.2019 08:05
      #20635141

      -… так пишите без багов!
      -Нет! Вы не понимаете концепции разработки! (с)


    1. Loreweil
      18.09.2019 08:12
      #20635155

      Переаттестация нужна, если ваши правки влекут за собой появление новых угроз безопасности информации.


      1. vektory79
        18.09.2019 08:28
        #20635177

        Так а как доказать, что не несут, если не переаттестоваться?


        1. Loreweil
          18.09.2019 08:52
          #20635225

          Не такой простой вопрос как кажется, это определяется моим любимым «экспертным путем». Как минимум, точно появляются новые угрозы при появлении новых технологий, например, не было в ГИС виртуализации, потом появилась -> новые угрозы. Плюс можно при изменениях в ГИС провести внеочередной анализ уязвимостей. Но в любом случае нужно обсуждать каждый случай изменений и что они за собой влекут отдельно.


      1. vr_17
        18.09.2019 09:24
        #20635341

        del. коменты не обновляй, сразу пиши


  1. Network_Service
    18.09.2019 08:44
    #20635209

    В пункте 17.4, где раньше было написано о том, что аттестат выдается на 5 лет теперь написано «Аттестат соответствия выдается на весь срок эксплуатации информационной системы».

    Это конечно хорошо, но как выдавали на 3 года, так и будут. Потому что Положение по аттестации от 94 г. никто не отменял, в нём есть пункт:
    «3.8.4. Аттестат соответствия выдается владельцу аттестованного объекта информатизации органом по аттестации на период, в течение которого обеспечивается неизменность условий функционирования объекта информатизации и технологии обработки защищаемой информации, могущих повлиять на характеристики, определяющие безопасность информации (состав и структура технических средств, условия размещения, используемое программное обеспечение, режимы обработки информации, средства и меры защиты), но не более чем на 3 года.»


    1. Loreweil
      18.09.2019 08:54
      #20635241

      Действительно никто не отменял, есть еще и дспшные ГОСТы по аттестации, где тоже 3 года. Но у нас в свое время когда в 17 приказе ФСТЭК написали «аттестат на 5 лет» руководитель ФСТЭК по ДФО с трибуны заявил «кто на ГИС будет выдавать аттестат на 3 года — заберем лицензию» и все (по крайней мере кто присутствовал на сборе из лицензиатов) стали выдавать аттестаты на 5 лет.


      1. Network_Service
        18.09.2019 14:14
        #20636863

        Интересно. На данной из конференций по ИБ с представителем ФСТЭК по ЦФО был примерно такой диалог:
        Вопрос: Как выдавать аттестат на 5 лет, если в положении по аттестации написано что срок действия аттестата не должен превышать 3 лет?
        Ответ: Внимательней читайте документ, «17.4. Повторная аттестация информационной системы осуществляется по окончании срока действия аттестата соответствия, который не может превышать 5 лет», 3 года не превышает 5 лет? Вот и действуйте в соответствии с текущими документами по аттестации.


        1. Loreweil
          19.09.2019 01:24
          #20639853

          Да, это обычная практика, когда неоднозначность формулировок влечет за собой разное понимание разными представителями регулятора одного и того же положения законодательства. В данном случае формулировка уже совсем другая. Мы, я думаю, перед выдачей очередного аттестата на ГИС просто позвоним нашему ФСТЭКу и уточним на какой срок выдавать аттестат.


    1. AbstractGaze
      18.09.2019 08:58
      #20635255

      del


    1. AnnyJoyce
      19.09.2019 07:28
      #20640135

      Ну вообще если следовать букве закона, то 17 приказ в плане аттестации ГИС был всегда самодостаточен. Положение по аттестации сюда неприменимо в связи с тем, что ГИС не является ОИ. Поэтому это положение исключается и не важно что там считаю лицензиаты. Второй момент положение по аттестации говорит о соответствии ТРЕБОВАНИЯМ ПО БЕЗОПАСНОСТИ ИНФОРМАЦИИ, а 17 приказ говорит об аттестации по ТРЕБОВАНИЯМ ЗАЩИТЫ ИНФОРМАЦИИ. Что касается ГОСТов, то верно, они применимы, но ГОСТы все рекомендованы к применению, так что приказ будет выше по рангу и поэтому должны будут быть аттестаты бессрочные.
      Другой вопрос, что сейчас со старыми действующими аттестатами, системы надо переаттестовать или эти аттестаты стали бессрочными, как было в свое время с лицензиями ФСБ=/


      1. Loreweil
        19.09.2019 08:46
        #20640299

        По идее надо переаттестовывать по истечении срока действующего аттестата. А вот новый аттестат — уже бессрочный. Внесенные изменения в 17 приказ не имеют обратной силы.

        Лицензии ФСБ тоже не превратились в бессрочные сами по себе, их нужно было переоформлять.