Продолжаем изучать Приказ ФСТЭК России № 17 от 11 февраля 2013г. "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах" . В прошлой записи мы говорили про область действия документа, необходимость использования сертифицированных средств защиты, аттестацию, аутсорсинг и особенности защиты ПДн. Сегодня поговорим про набор мер защиты.
Итак, при анализе документа обратите внимание на следующее:
В Приказе указаны меры по защите информации, которые должны быть реализованы. Причем их придется "высматривать" по тексту, единого перечня нет. Так, помимо таблицы с базовыми мерами из Приложения 2 и их краткого описания в п.20 документа, нам стоит ориентироваться на следующие пункты:
- п.9 - 1 мера: "назначение ответственного за защиту информации"
- п.16.2 - требования к содержанию организационно-распорядительной документации
- п.16.3 - организационные меры защиты
- п.16.6 - анализ уязвимостей
- п.18 - набор требований по защите информации в ходе эксплуатации ИС
- п.19 - набор требований по защите информации при выводе ИС из эксплуатации
Если углубимся в их изучение, то сможем заметить, что некоторые меры дублируют друг друга, хотя и описаны по разному. Да и смысловая группировка мер не самая удобная, для себя я сделал такой "маппинг":
- Назначение ответственного за защиту информации - п.9
- Управление (администрирование) системой защиты - п.16.2(1), 18.1(2, 4), 18.1(7)
- Управление документацией - 16.3(2), 18.1(7), 18.4(5)
- Тренинги и повышение осведомленности - п.16.3(3), 18.1(6)
- Аудит ИБ (контроль (мониторинг) за обеспечением уровня защищенности) - п.16.2, 16.3(2), 18.4(3)
- Анализ и совершенствование системы защиты - 18.4(3,4,6)
- Регистрация и анализ событий, управление инцидентами - п.16.2(2), 18.1(5), 18.2, 18.4(1) +см.меры группы ЗНИ
- Управление конфигурацией ИС - п.16.2. 16.3(1), 18.3
- Управление уязвимостями (включая обновление ПО) - п.16.6, 18.1(3), 18.4(2), +см.меры группы АНЗ
- Управление доступом - п.16.3(1), 18.1(1) +см.меры группы УПД и ИАФ
- Архивирование информации при выводе ИС из эксплуатации - п.16.2. п.19.1
- Гарантированное уничтожение информациис носителей при выводе ИС из эксплуатации, при передаче средств обработки в ремонт или на техническое обслуживание - п.16.2, п.19.2, +см.меры группы ЗНИ
Это по текстовой части. Помимо этого, есть еще набор мер из п.20 и их детализированный перечень в Приложении 2. Приведу перечень групп:
- Идентификация и аутентификация субъектов доступа и объектов доступа (ИАФ)
- Управление доступом субъектов доступа к объектам доступа (УПД)
- Ограничение программной среды (ОПС)
- Защита машинных носителей информации (ЗНИ)
- Регистрация событий безопасности (РСБ)
- Антивирусная защита (АВЗ)
- Обнаружение вторжений (СОВ)
- Контроль (анализ) защищенности информации (АНЗ)
- Обеспечение целостности информационной системы и информации (ОЦЛ)
- Обеспечение доступности информации (ОДТ)
- Защита среды виртуализации (ЗСВ)
- Защита технических средств (ЗТС)
- Защита информационной системы, ее средств и систем связи и передачи данных (ЗИС)
Итого: Мер по защите информации в Приказе 17 довольно много. При построении системы защиты следует учитывать и таблицы из Приложения 2 и меры из текстовой части.
Чуть позже я расскажу про процедуру выбора мер и, как уже стало привычно, сравню ее с аналогичной в Приказе 21.
А еще можете посмотреть: