ONTELECOM
Чем мы можем вам помочь?
Вы можете позвонить нам по номеру 8−800−333−07−46, написать на support@on-telecom.ru или заполнить форму и мы свяжемся с вами для решения вашего вопроса.
Нажимая на кнопку, вы даете согласие на обработку персональных данных и соглашаетесь c политикой конфиденциальности

Об изменениях в Приказе ФСТЭК от 11.02.2013 г. №17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»

23.09.2019

13 сентября Министерство юстиции утвердили документ, вносящий изменения в Приказ ФСТЭК от 11.02.2013 г. №17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах». Изменений много и некоторые из них существенные. Есть как минимум одно очень приятное для операторов ГИС - аттестат на ГИС теперь бессрочный, что не избавляет от необходимости поддерживания соответствия системы защиты информации аттестату (пункт 17.4).

Предлагаем вместе ознакомиться с изменениями.

В настоящее время все больше операторов ГИС склоняется к тому, что совсем не выгодно содержать собственную серверную инфраструктуру и осуществляют миграцию на мощности облачного провайдера. В связи с этим указаны следующие требования:
  • класс ГИС, которая переезжает в облачный ЦОД не должен быть выше класса самого ЦОД, а это значит, что сам ЦОД должен пройти классификацию (новый абзац в пункте 14.2 17 приказа);
  • в процессе моделирования угроз для переехавшей в сторонний ЦОД информационной системы должны учитываться угрозы, актуальные для самого ЦОД. Это, в частности, напрямую говорит о том, что на ЦОД и на ГИС должны быть разработаны две отдельные модели угроз (новый абзац пункта 14.4);
  • если в ЦОД реализованы меры по защите информации, то в проектной документации на систему защиты информации самой ГИС возможно указывать их там, где это актуально и необходимо (новый абзац пункта 15.1);
  • средства защиты информации в ГИС должны быть совместимы между собой и со средствами защиты используемыми в ЦОД, в противном случае ничего работать ведь не будет (новый абзац пункта 16.1);
  • ЦОД, в который переезжает ГИС должен быть аттестован по 17 приказу (измененный пункт 17.6);
  • если меры, принятые в ЦОД блокируют все угрозы безопасности для ГИС, то дополнительные меры защиты информации в ГИС принимать не требуется (новый пункт 22.1).
Далее, небольшие поправки внесены в пункт 17, где уже было написано, что проектированием системы защиты и ее аттестацией должны заниматься разные должностные лица, добавили к «должностным лицам» «работников» в скобочках. Пункт 17.2 дополнился абзацем о том, что приемочные испытания самой ГИС и аттестационные испытания системы защиты информации можно совместить.

Пункт 18 (Обеспечение защиты информации в ходе эксплуатации аттестованной информационной системы) пополнился новыми обязательными мероприятиями, которые необходимо проводить в ходе эксплуатации аттестованной ГИС. К управлению системой защиты информации, выявлению инцидентов и реагированию на них, управлению конфигурацией системы и контролю за обеспечением уровня защищенности информации добавлены «планирование мероприятий по защите информации», «анализ угроз безопасности» и «информирование и обучение персонала информационной системы». Все эти этапы в 17 приказе раскрываются подробнее и поскольку «планирование мероприятий» стало первым в списке, «анализ угроз безопасности» — вторым, нумерация подпунктов изменилась.

В ходе планирования (новый пункт 18.1) необходимо:
  • определить лиц, ответственных за планирование и контроль мероприятий по защите информации. Раньше необходимости назначения таких лиц не было, поэтому по-хорошему во всех ГИС должен быть издан новый приказ о назначении таких людей;
  • определить лиц, ответственных за выявление инцидентов и реагирование на них;
  • разработать и утвердить план мероприятий по защите информации;
  • определить порядок контроля выполнения мероприятий.
По анализу угроз (новый пункт 18.2) нужно выявлять и устранять уязвимости, анализировать изменения угроз безопасности и оценивать возможные последствия от реализации угроз.

Пункт по управлению системой защиты информации (бывший 18.1 и новый 18.3) тоже претерпел изменения. Отсюда было убрано «информирование пользователей об угрозах безопасности...», и добавлено «определение лиц, ответственных за управление системой защиты информации».

Пункт про управление конфигурацией информационной системы (старый 18.3, новый 18.4) несколько перефразирован, но по сути не изменился. То же самое можно сказать и про пункт по реагированию на инциденты (старый 18.2, новый 18.5).

Добавлен новый пункт 18.6 про обучение персонала информационной безопасности. Необходимо информировать и обучать персонал:
  • о новых актуальных угрозах безопасности информации;
  • о правилах безопасной эксплуатации информационной системы;
  • о требованиях по защите информации (нормативных и внутренних документов);
  • о правилах эксплуатации отдельных средств защиты информации;
  • проводить практические занятия по блокированию угроз безопасности информации и реагированию на инциденты;
  • контролировать осведомленность персонала о всем вышеперечисленном.
Периодичность обучения устанавливается во внутренних документах оператора, но должна быть не реже чем 1 раз в два года. Но только не указаны формы, часы обучения, должно ли такое обучение проводиться по утвержденным ФСТЭК программам или достаточно внутреннего инструктажа.

В пункт про контроль за обеспечением уровня защищенности информации добавлена периодичность проведения такого контроля. Для ГИС 1 класса – не реже 1 раза в год. Для ГИС 2 и 3 класса – не реже 1 раза в два года. К таким мероприятиям можно привлекать лицензиата, но можно проводить и самостоятельно.

Пойдем дальше, в пункт 26 помимо понятия «класс средства защиты» вводится понятие «уровень доверия». Для ГИС 1 класса нужен как минимум 4 уровень доверия, для ГИС 2 класса – 5 уровень доверия и выше, для ГИС 3 класса – 6 уровень доверия и выше. Про эти уровни доверия ФСТЭК выпускал информационное сообщение от 29 марта 2019 г. №240/24/1525. Это единственный пункт изменений, который вступает не сразу, а с 1 июня 2020 года.

И напоследок, введение пункта 26.1: «При проектировании вновь создаваемых или модернизируемых информационных систем, имеющих доступ к информационно-телекоммуникационной сети «Интернет», должны выбираться маршрутизаторы, сертифицированные на соответствие требованиям по безопасности информации (в части реализованных в них функций безопасности)». На самом деле введение этого пункта не до конца ясно. Все средства защиты и так должны быть сертифицированы и, как правило, при подключении к сети «Интернет» в ГИС используются сертифицированные межсетевые экраны, в том числе являющиеся маршрутизаторами. Отдельных профилей защиты для маршрутизаторов – нет и, возможно, введение пункта 26.1 намекает на их (профилей защиты) появление в ближайшем будущем.

Напомним, что Дата-центры ОнТелеком аттестованы и готовы под размещение государственных информационных систем до класса К1 включительно.

Подробности по телефону 8-800-333-07-46.