5 Июня, 2013

Вышел Приказ ФСТЭК №17. Что изменилось в наборе мер?

Andrey Prozorov
Данный документ становится для госорганов России основным в области определения требований к ИБ. Поэтому давайте его читать внимательно.
Его изучения я начал с конца, а именно с таблицы по составу мер защиты. Внимательный читатель уже заметил, что она очень похожа на аналогичную из Приказа №21 . И, да, это так. Те предложения и наработки, которые были сделаны в рамках подготовки Приказа №21 , легли и в этот документ (кстати, возможно из-за этого они оба так долго согласовывались и утверждались). Хотя в Приказе №17 фигурирует термин "классы защищенности ИС", а в Приказе №21 "уровни защищенности ПДн", их можно все же сравнивать по набору мер. Что я и делаю...
.
Итак, чем отличаются таблицы? 
В Приказе №17:
  1. Убраны следующие группы (и все меры, входившие в них):
    • XIV. Выявление инцидентов и реагирование на них (ИНЦ)
    • XV. Управление конфигурацией ИС и СЗПДн (УКФ)
  2. Добавлены следующие меры: ИАФ.7, РСБ.8, ОДТ.6 и ОДТ.7, ЗИС.21-ЗИС.30.
  3. Увеличился перечень базовых мер под определенные классы (это я про "+"): УПД.9, УПД.11, ОПС.1, ОПС.3, ЗНИ.1, ЗНИ.2, ЗНИ.5, ЗНИ.8, РСБ.4-РСБ.6, АНЗ.5, ОЦЛ.3, ОЦЛ.6, ОДТ.1, ОДТ.2, ОДТ.3, ЗСВ.4, ЗТС.2, ЗТС.5, ЗИС.1, ЗИС.5, ЗИС.7-ЗИС.9, ЗИС.12, ЗИС.13.
  4. Сократился перечень базовых мер под определенные классы (это я про "+"): УПД.3-УПД.5, ЗСВ.10.
Если руки дойдут, то сведу обе в 1 таблицу.

Итого, даже еще не читая первую (текстовую) часть документа, можем прогнозировать, что требования для защиты информации для госорганов будут "жестче", чем требования просто по ПДн. 

Будем дальше читать, впереди еще много нового и интересного...
или введите имя

CAPTCHA
Странник
21 Июня, 2013
В документе отсутствуют какие-либо ссылки на СТР-К. по логике они направлены на одно и то же. Как по Вашему мнению сейчас поступать, каким документом теперь пользоваться?
0 |
6 Августа, 2013
СТР-К ни кто не отменил, регуляторы о нем помнят. Рекомендую ориентироваться на оба документа.
0 |