Итоговые замечания по изменениям от 15.02.2017 в 17 приказ ФСТЭК.
Взгляд со стороны оператора ИС.
1. Изменились требования к моделированию угроз – исчезла оценка оснащенности и мотивации нарушителя, что повлечет за собой изменения модели угроз. Теперь мерами повышения лояльности персонала не отбиться от выполнения требований.
2. Добавились разделы в ЧТЗ на СЗИ. Основную нагрузку при написании ЧТЗ даст раздел по обеспечивающей инфраструктуре.
3. Убрали ссылку на ИСО27001, но это косметическое изменение. Влияния не оказывает.
4. При проектировании СЗИ теперь предъявляются требования к параметрам настройки ПО, а не «определяются параметры настройки ПО». Довольно важный пункт при написании проектной документации.
5. Обязательна проверка эффективности корректирующих мер по результату анализа уязвимостей. Только положительный результат проверки.
6. Введено обязательное разделение должностных лиц, осуществляющих проектирование/внедрение и аттестацию. Очень «кривой» пункт по своим формулировкам. Я в своей деятельности (как заказчик) исхожу из того, что и проект, и акты сдачи/приемки СЗИ и аттестат подписывает руководитель Исполнителя. По этому должны быть разные организации, а не одна. Варианты возможны – каждый будет решать сам.
7. В аттестационных испытаниях появился дополнительный и обязательный метод проверки – испытание СЗИ путем осуществления попыток НСД к ИС в обход СЗИ. Основную сложность пункт представляет для аттестационных органов – никаких руководящих документов от регуляторов по проведению данной проверки нет. Для Заказчика - важно не забыть включить в договор на аттестацию.
8. Возможно, что появится новый срок действия аттестата – не более 5 лет. Пока пункт ни о чем.
9. Появился пункт об аттестации ЦОД отдельно от ИС.
10. Сделали обязательной аттестацию общей инфраструктуры, что довольно печально для оператора.
11. Изменилась градация возможностей нарушителя – «низкий потенциал» стал «базовым», а «средний» стал «усиленным базовым». Не существенно.
12. Изменились требования к средствам защиты по классам ГИС. Сделали раздельные требования к 1 и 2 классу (ранее были общие), убрали уточнение требований к МЭ при взаимодействии ГИС с интернет – теперь исключений нет. Теперь требование «не ниже 4 класса» относится ко всем средствам защиты информации, а не только к СОВ и анитивирусу для К1. И соответственно «не ниже 5» для К2. Для К3 прописано «6 класс». К СВТ требования не изменились По НДВ то же.
13. Убрана возможность понизить требования к СЗИ путем выбора уровня значимости УЗ 4. Очень существенное усложнение для оператора.
14. Убрали класс К4, не существенно.
15. Для КЗ появились базовые меры УПД.3, ЗСВ.10. Которые автоматом приводят к ЗИС.17 и ЗИС.23. Для тех кто размещал ИСПДн и выполнял 21 приказ для УЗ – 3 никаких изменений. Просто ФСТЭК привела в соответствие требования 17 и 21 приказа, так как в К3 ГИС разрешено размещение ИСПДН до УЗ-3, а часть мер защиты ИСПд ранее не реализовалась в ГИС.
Взгляд со стороны оператора ИС.
1. Изменились требования к моделированию угроз – исчезла оценка оснащенности и мотивации нарушителя, что повлечет за собой изменения модели угроз. Теперь мерами повышения лояльности персонала не отбиться от выполнения требований.
2. Добавились разделы в ЧТЗ на СЗИ. Основную нагрузку при написании ЧТЗ даст раздел по обеспечивающей инфраструктуре.
3. Убрали ссылку на ИСО27001, но это косметическое изменение. Влияния не оказывает.
4. При проектировании СЗИ теперь предъявляются требования к параметрам настройки ПО, а не «определяются параметры настройки ПО». Довольно важный пункт при написании проектной документации.
5. Обязательна проверка эффективности корректирующих мер по результату анализа уязвимостей. Только положительный результат проверки.
6. Введено обязательное разделение должностных лиц, осуществляющих проектирование/внедрение и аттестацию. Очень «кривой» пункт по своим формулировкам. Я в своей деятельности (как заказчик) исхожу из того, что и проект, и акты сдачи/приемки СЗИ и аттестат подписывает руководитель Исполнителя. По этому должны быть разные организации, а не одна. Варианты возможны – каждый будет решать сам.
7. В аттестационных испытаниях появился дополнительный и обязательный метод проверки – испытание СЗИ путем осуществления попыток НСД к ИС в обход СЗИ. Основную сложность пункт представляет для аттестационных органов – никаких руководящих документов от регуляторов по проведению данной проверки нет. Для Заказчика - важно не забыть включить в договор на аттестацию.
8. Возможно, что появится новый срок действия аттестата – не более 5 лет. Пока пункт ни о чем.
9. Появился пункт об аттестации ЦОД отдельно от ИС.
10. Сделали обязательной аттестацию общей инфраструктуры, что довольно печально для оператора.
11. Изменилась градация возможностей нарушителя – «низкий потенциал» стал «базовым», а «средний» стал «усиленным базовым». Не существенно.
12. Изменились требования к средствам защиты по классам ГИС. Сделали раздельные требования к 1 и 2 классу (ранее были общие), убрали уточнение требований к МЭ при взаимодействии ГИС с интернет – теперь исключений нет. Теперь требование «не ниже 4 класса» относится ко всем средствам защиты информации, а не только к СОВ и анитивирусу для К1. И соответственно «не ниже 5» для К2. Для К3 прописано «6 класс». К СВТ требования не изменились По НДВ то же.
13. Убрана возможность понизить требования к СЗИ путем выбора уровня значимости УЗ 4. Очень существенное усложнение для оператора.
14. Убрали класс К4, не существенно.
15. Для КЗ появились базовые меры УПД.3, ЗСВ.10. Которые автоматом приводят к ЗИС.17 и ЗИС.23. Для тех кто размещал ИСПДн и выполнял 21 приказ для УЗ – 3 никаких изменений. Просто ФСТЭК привела в соответствие требования 17 и 21 приказа, так как в К3 ГИС разрешено размещение ИСПДН до УЗ-3, а часть мер защиты ИСПд ранее не реализовалась в ГИС.
Комментариев нет:
Отправить комментарий