понедельник, 30 сентября 2019 г.

Изменения в 17 приказ ФСТЭК



    27.09.2019 вступили в силу изменения в приказ № 17 ФСТЭК России. Изменения анонсировались давно, да и сам приказ подписан еще в мае 2019 года.
Стало ли лучше?



   1. ГИС теперь можно размещать только на аттестованном исключительно по 17 приказу ЦОДе. Зачем потребовалось исключать из списка потенциальных поставщиков услуг ЦОД, аттестованных по 21 приказу непонятно. Собственно, как и зачем вообще такое ужесточение. Все равно аттестаторы проверяли нейтрализацию всех актуальных угроз для ГИС.
   2. Непонятно что должно быть аттестовано у ЦОД? Что такое информационно-телекоммуникационная инфраструктура ЦОД? Отсыл к п.5.3. Метуказаний никакой ясности не дает: 
    "5.3. Центр обработки данных (далее - ЦОД) - технологически и территориально обособленные серверные комплексы, включая рабочие станции, предназначенные для обслуживающего персонала, и технологическое оборудование, обеспечивающие функционирование серверов (стойки, источники бесперебойного питания, коммутационное оборудование и кабельные системы). 
Компоненты ИТКИ выделены в отдельную категорию и не относятся к ЦОД.
    Типовые компоненты ИТКИ - программно-технические комплексы и средства, выполняющие общие технологические функции, и (или) совместно используемые ИС (средства вычислительной техники, предназначенные для непосредственной работы пользователя)."
    14. Если ПО и ТО используются одновременно несколькими ИС и не входят в состав ЦОД, то они учитываются в паспортах типовых компонентов ИТКИ.
    15. Если ИС вместо отдельных средств ПО и ТО использует компонент ИТКИ, то в электронном паспорте этой ИС должен указываться компонент ИТКИ, используемый данной ИС. Сведения об использовании ресурсов определенного компонента ИТКИ различными ИС вносятся в электронный паспорт этого компонента ИТКИ автоматически на основании данных, внесенных в электронные паспорта соответствующих ИС.
     16. Автоматизированные рабочие места (далее - АРМ), не входящие в состав определенной ИС или не относящиеся к определенному ЦОД, относят к объекту учета соответствующей классификационной категории типовых компонентов ИТКИ. В электронный паспорт данного объекта учета включают сведения о входящих в состав АРМ средств ПО, ТО, а также связанных с их поставкой, модернизацией и эксплуатацией работ и услуг. Сведения о специализированных программных средствах - клиентских приложениях, используемых непосредственно на рабочих местах пользователей, указываются в составе соответствующей ИС, а не в составе АРМ. Сведения о каналах связи, локальных сетях, периферийном оборудовании коллективного использования (в том числе сетевых принтерах, сканерах) относятся к классификационным категориям объекта учета аналогично.

   3. Почему требования о совместимости СрЗИ установлены в разделе «Внедрение СЗИ»? Это ведь на этапе проектирования СЗИ должно учитываться. Проект разработан и оплачен, по разработанной спецификации закуплена техника и оплачена, на этапе внедрения – не работает. И что дальше?
   4. Установлена ясность, что проектировать и аттестовать может одна организация. Это хорошая новость. Плохая, что теперь этот пункт вообще не имеет смысла. Никакого реального влияния на качество работ и уровень защищенности ГИС он не имеет.
   5. Аттестат бессрочный, но только по 17 приказу. Остальная нормативка по аттестации не изменена. И сразу вопрос с актуальностью модели угроз встает в полный рост. Если МУ разработана по БДУ, проект СЗИ по МУ, выдан аттестат, то каждое появление новой угрозы в БДУ приводит к пересмотру МУ на предмет актуальности новой угрозы для ГИС.
   Если угроза признана актуальной, то пересмотр техпроекта СЗИ ГИС и т.д. И аттестат на этом закончился.
   Фактически, ФСТЭК, таким нововедением, говорит, что уровень зрелости ИБ во всех ГИС высок. Раньше – все были вынуждены пересматривать свои МУ каждые 3 года, то теперь все будут пересматривать добровольно-сознательно в текущем режиме по п.18 приказа. 
   6. Появился «персонал ИС». Это кто и зачем? Почему обучение персонала ИС правилам эксплуатации СрЗИ проводится после ввода в эксплуатацию ГИС?
   7. Теперь нельзя использовать пограничные маршрутизаторы не сертифицированные по требованиям безопасности информации? О чем вообще речь? Если у меня на маршуртизатор заложены в проекте СЗИ функции безопасности, то он и так обязательно сертифицирован. А, если я в проекте СЗИ маршрутизатор не задействовал для нейтрализации актуальных угроз, то почему я его должен сертифицировать?
    Замечу, что данное требование вступило в силу и обязательно для ГИС всех классов. И никаких случаев «технической невозможности". В отличии от ЗОКИИ, где только 1 катогория и отсрочка по применению требования до 01.01.2020 года. Причем в 239 приказе логика в требовании сертификации есть, там остальные СрЗИ допускаются без сертификации, но в 17 приказе то зачем?
   8. Где обещанное объединение мер защиты по 17/21/31/239 приказу? Видимо сил хватило только на 31 приказ.



P. S. Телеграм-группа для обсуждения заметки https://t.me/joinchat/C4fmQ

* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.

** Все новости блога на публичном Telegram-канале  t.me/ruporsecurite

     



Сводка предложений по итогам общественного обсуждения проекта нормативного правового акта



                         Даты проведения общественного обсуждения: 22.04.2019-06.05.2019

Предложения участника общественного обсуждения
Результат рассмотрения разработчиком позиций участников общественного обсуждения
Комментарии разработчика
Как соотносятся предлагаемые изменения в п. 17.4 о фактически бессрочности действия аттестата соответствия на эксплуатируемые государственные информационные системы с действующими требованиями в области защиты информации, например, в п. 3.8.4 "Положения по аттестации объектов информатизации по требованиям безопасности информации (Гостехкомиссия, 1994)" и ГОСТ РО 0043-003-2012, где указан ограниченный срок действия аттестата соответствия?
Учтено
Требования к сроку действия аттестата соответствия устанавливаются в соответствии с Требованиями о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденными приказом Федеральной службы по техническому и экспортному контролю от 11 февраля 2013 г. № 17 (далее – Требования).
В соответствии с предлагаемыми изменениями срок действия аттестата ограничен сроком эксплуатации информационной системы
Пункт 1 проекта предусматривает дополнение пункта 14.2 новым абзацем. Суть данного абзаца понятна и не вызывает дискуссии. В то же время, его изложение является весьма спорным. Объективно (с технической точки зрения) класс защищенности ИС, функционирование которой предполагается на базе ИТИ центра обработки данных вполне может быть выше класса защищенности ИТИ такого центра, однако это не будет соответствовать логике, заложенной в систему требований по технической защите информации. С учетом изложенного предлагаю два альтернативных варианта. Во-первых, возможно исключить данный пункт из проекта приказа, т.к. предлагаемая редакция пункта 17.6 полностью решает данную задачу. Во-вторых, допустимо заменить слова "не может быть выше класса" на слова "не должен превышать класс"
Не учтено
В соответствии с пунктом 14.4 Требований меры защиты информации информационной системы определяются в зависимости от класса защищенности информационной системы.
Для создания информационной системы на базе информационно-телекоммуникационной инфраструктуры центра обработки в таком центре обработки данных должны быть реализованы меры защиты информации в соответствии с классом защищенности не ниже, чем класс защищенности информационной системы
Пункт 4 проекта содержит излишнее уточнение "в части защиты информации", т.к. из предлагаемого варианта абзаца явно вытекает необходимость учета мер защиты информации, реализованных или подлежащих реализации в ИТИ центра обработки данных.
Учтено
Из пункта 4 приложения к проекту изменений в Требования исключены слова «в части защиты информации».
Пункт 14.4 дополнить абзацем следующего содержания:
«Допускается возложение ответственности за выполнение отдельных мер защиты информации и (или) отдельных мер защиты информации в отношении отдельных объектов защиты на систему защиты информации центра обработки данных. При этом совокупный набор мер защиты информации указанных в предыдущем абзаце информационной системы и центра обработки данных должен удовлетворять требованиям настоящего приказа.».
Учтено
Требования дополнены пунктом 22.1 следующего содержания:
«В случае, если меры защиты информации, реализованные в информационно-телекоммуникационной инфраструктуре центра обработки данных, обеспечивают блокирование угроз безопасности информации, актуальных для функционирующей на его базе информационной системы, принятие дублирующих мер защиты информации в данной информационной системе не требуется. При этом должны быть распределены полномочия в части защиты информации между оператором информационной системы и оператором информационно-телекоммуникационной инфраструктуры центра обработки данных.».
Пункт 15.1 дополнить абзацем следующего содержания:
«При этом должна быть однозначным образом должна быть распределена ответственность за выполнение мер защиты информации между системами защиты информации указанных в данном абзаце информационной системы и центра обработки данных.».
Учтено
Абзац второй пункта 17.6 изложить в следующей редакции:
«При этом в аттестате соответствия должен быть указан перечень мер защиты информации, реализуемых системой защиты информации центра обработки данных, и перечень объектов защиты информационных систем, в отношении которых данные меры защиты информации реализуются, при создании информационных систем на базе аттестованной информационно-телекоммуникационной инфраструктуры центра обработки данных.».
Учтено
Пункт 17.2 после абзаца первого дополнить абзацем следующего содержания:
«При этом организация, проводящая приёмочные испытания, совмещённые с аттестационными, не должна быть аффилированной с организацией (-ями), проводившей (-ими) проектирование и внедрение системы защиты информации».
Не учтено
Указанные требования учтены в пункте 17 Требований.



































































































































  



Комментариев нет:

Отправить комментарий