Обзор долгожданного письма ФСТЭК по МСЭ и утвержденных поправок в 17-й приказ

Обзор долгожданного письма ФСТЭК по МСЭ и утвержденных поправок в 17-й приказ
Сегодня я хотел опубликовать немного другую заметку, но тут в ночи ФСТЭК разродилась парочкой новостей, которые я не могу не прокомментировать. Начну я с информационного письма ФСТЭК по межсетевым экранам, которое регулятор обещал выпустить еще в феврале, но что-то затянул до конца марта. Никаких сюрпризов по сравнению с ранее озвученным ФСТЭК на своей конференции и описанным мной я в письме не обнаружил:
  • Серийное производство уже сертифированных МСЭ продолжается в соответствии с выданными сертификатами, то есть производство и поставка сертифицированных по старым требованиям МСЭ допускается при наличии действующего сертификата.
  • В созданных в соответствии с 17/21/31-м приказом ИС/ИСПДн/АСУ ТП возможно применение МСЭ, сертифицированных по старым требованиям до окончания срока действия сертификата.
  • После принятия поправок в 17/ 21/31 -е приказы ФСТЭК, в вновь создаваемых ИС/ИСПДн/АСУ ТП необходимо применять МСЭ, сертифицированные по новым требованиям. 
  • В ИС/ИСПДн/АСУ ТП, уже введенных в эксплуатацию к моменту принятия поправок в 17/21/31-й приказы ФСТЭК, возможно применение МСЭ, сертифицированных по старым требованиям.
  • Аттестация вновь создаваемых принятия поправок в 17/21/31-е приказы ФСТЭК ИС/ИСПДн/АСУ ТП проводится только при условии применения в них МСЭ, сертифицированных по новым требованиям.
  • Повторная аттестация ИС/ИСПДн/АСУ ТП, уже введенных в эксплуатацию к моменту принятия поправок в 17/21/31-й приказы ФСТЭК, возможна с применением МСЭ, сертифицированных по старым требованиям (при наличии действующего сертификата).
Вторая новость касается принятия 15-го февраля ФСТЭКом и регистрации 14-го марта в Минюсте приказа ФСТЭК № 27 о внесении изменений в 17-й приказ, о котором я уже писал . Какие изменения я увидел по сравнению с проектом? Их несколько:
  • В проекте требовалось, чтобы по результатам анализа уязвимостей было подтверждено отсутствие в ГИС уязвимостей из БДУ ФСТЭК. В финальной редакции добавили, что также возможно доказать невозможность использования этих уязвимостей при их наличии (хорошее дополнение).
  • В проекте говорилось о том, что не допускается выполнение одним лицом функций проектирования и внедрения системы защиты ГИС. В финальной версии зачем-то добавили слово" должностное", что привело к новым вопросам (на мой взгляд). В законодательстве термин "должностное лицо" применяется только к органам власти, а аттестацией у нас ханимаются преимущественно коммерческие компании, к которым термин "должностное лицо" не применяется (кроме КоАП и УК). Отсюда вопрос, что имели ввиду во ФСТЭК, когда добавляли "должностное"? Раньше ФСТЭК использовала фразу "руководитель, иное должностное лицо или уполномоченный представитель лицензиата", которая лучше отражала круг лиц, на которых распространялись требования ФСТЭК.
  • Убрали термин "тестирование на проникновение" и вообще сократили описание данного вида аттестационных испытаний. Кроме того, убрали обязательность данного вида испытаний для ГИС 1-го и 2-го классов.
  • А на русский язык-то не проверили до конца. Например, в п.17.6 предлагается такая формулировка "должны используются" вместо "должны использоваться" или "используются". Интересно, как правильно?
  • Целиком переписали п.25 (в проекте его не было) про учет потенциала нарушителя при выборе защитных мер.
Приказ вступил в силу в течение 10 дней с момента его регистрации в Минюсте, то есть он уже действует. Всем удачи в его выполнении...
Alt text

Цифровые следы - ваша слабость, и хакеры это знают.

Подпишитесь и узнайте, как их замести!