16 Июля, 2013

Информационное сообщение ФСТЭК с разъяснениями по 17 и 21 приказам

Иван Бойцов
ФСТЭК выпустила информационное сообщение от 15 июля 2013 г. N 240/22/2637 с разъяснением различных вопросов, касающихся 21 и 17 приказов ФСТЭК. В частности, даны разъяснения об указании уровня контроля отсутствия НДВ в сертификатах на СОВ/АВЗИ .

Краткое содержание данного информационного сообщения:
  1. 21 приказ ФСТЭК вступил в силу со 2 июня 2013 г., 17 приказ вступает в силу с 1 сентября 2013 года. Переаттестация ИС не нужна.
  2. При обработке ПДн в ГИС нужно руководствоваться 17 приказом, с учетом п. 27 этого приказа (соответствие мер по защите классов ГИС и уровней защищенности ПДн).
  3. Оценка эффективности принимаемых мер по защите производится оператором или привлеченным лицензиатом, методики составляются на своё усмотрение, можно проводить оценку эффективности в виде аттестации по ГОСТ РО 0043-003-2012. Для ГИС - в рамках обязательно аттестации, методики - по ГОСТ РО 0043-004-2013.
  4. Требования 17-го приказа распространяются на муниципальные ИС, если иное явно не предусмотрено законодательством.
  5. СТР-К и РД АС не отменяются 17 приказом и продолжают действовать. СТР-К применяется для реализации мер по защите технических средств (ЗТС.1), остальное из СТР-К применяется по решению операторов, если это не противоречит 17 приказу.
  6. В приказах ФСТЭК термин "информационная система" имеет то же значение, что и термин "автоматизированная система" (грубо говоря).
  7. В сертификатах на СОВ и СрЗИ уровень контроля НДВ не указывается, но в ИСПДн и ГИС используется, подразумевая его наличие. Подробнее в моей заметке об указании уровня контроля отсутствия НДВ в сертификатах на СОВ/АВЗИ .
  8. Дополнительные меры по нейтрализации 1 и 2 типов угроз выбираются оператором, но ФСТЭК планирует выпуск отдельных документов по вопросам тестирования на проникновение и защищенному программированию.
  9. ФСТЭК завершает разработку методических документов по описанию содержания мер защиты и порядку моделирования угроз в ИСПДн и ГИС. Ориентировочный срок утверждения документов – IV квартал 2013 г.
  10. ФСТЭК работает над методическими документами, определяющими порядок обновления ПО в аттестованных ИС, порядок выявления и устранения уязвимостей в
    ИС, порядок реагирования на инциденты.
  11. Разъяснений ПП-1119 по определению типов угроз ПДн и порядка определения
    уровней защищенности от ФСТЭК не будет, разъяснить может только Правительство, у ФСТЭК нет полномочий.
или введите имя

CAPTCHA