Со второго ноября вступает в силу совместный приказ ФСТЭК России и ФСБ России от 31 августа 2010 г. N 416/489.
Данный приказ вводит классификацию (государственных) информационных систем общего пользования (I и II класс)
Большинство требований достаточно понятны и логичны, кроме одного ньюанса. Для систем I класса обязательными является применение ряда сертифицированных ФСБ России средств защиты.
Проблема в том, что средства обнаружения компьютерных атак, средства межсетевого экранирования, сертифицированные ФСБ Россиифактически отсутствуют на рынке.
№ | Требование к системе защиты информации | I Класс | II Класс |
1 | Подсистема защиты от НСД | средства, сертифицированные ФСБ России | средства, сертифицированные ФСБ России или ФСТЭК России |
2 | Подсистема регистрации событий доступа | v | v |
3 | Подсистема записи трафика | Не менее 10 дней | Не менее суток |
4 | Подсистема криптографической защиты (ЭЦП) | средства, сертифицированные ФСБ России | средства, сертифицированные ФСБ России |
5 | Подсистема антивирусной защиты | средства, сертифицированные ФСБ России | средства, сертифицированные ФСБ России или ФСТЭК России |
6 | Подсистема обнаружения вторжений | средства, сертифицированные ФСБ России | средства, сертифицированные ФСБ России или ФСТЭК России |
7 | Подсистема межсетевого экранирования | средства, сертифицированные ФСБ России | средства, сертифицированные ФСБ России или ФСТЭК России |
8 | Подсистема обеспечения непрерывности работы | Сертифицированные ИБП | ИБП |
9 | Резервное оборудование и ПО | Частичное резервирование оборудования | |
10 | Средства резервного копирования и восстановления | Средства резервного копирования и восстановления | |
11 | Подсистема физической защиты | СКУД, видеонаблюдение | СКУД |
№ | Мероприятия по созданию системы защиты | I Класс | II Класс |
1 | Разработка модели угроз | v | v |
2 | Разработка проекта защиты | v | v |
3 | Поставка и сертификация средств защиты информации | v | v |
4 | ПНР | v | v |
5 | Уведомления о готовности | ФСБ России | ФСТЭК России |
6 | Передача в эксплуатацию | v | v |
Так-же необходимо выполнение ряда организационных мероприятий, для обеспечения которых необходимо разработать регламентирующие документы, например:
- Регламент управления событиями
- Регламент управления инцидентами
- План обеспечения непрерывности работы
- Регламенты восстановления
Ещё одно из новшеств - это сканирование защищенности ИС общего пользования подразделением ФСБ России.
Видимо в ФСБ приобрели сканер защищенности типа XSpider с неограниченной лицензией.
Всё бы ничего - но нужен грамотный регламент проведения такой проверки.
Во первых для того чтобы сканирование не нарушило работоспособности ИС - необходимо грамотно подбирать шаблоны сканирования.
Во вторых администраторы ИС общего пользования должны быть уведомлены в какое время и с каких адресов проводится сканирование.