ФСТЭК России появляется в работе организаций там, где защита информации перестает быть только внутренним делом компании. Государственная информационная система, база персональных данных, значимый объект КИИ, автоматизированная система управления на производстве, закупка сертифицированного средства защиты, аттестация системы, лицензия подрядчика - все эти задачи обычно ведут к документам ФСТЭК.
Федеральная служба по техническому и экспортному контролю - федеральный орган исполнительной власти. Служба занимается технической защитой информации, противодействием техническим разведкам, экспортным контролем и безопасностью критической информационной инфраструктуры в пределах своих полномочий. Правовой статус ФСТЭК закреплен в Указе Президента.
У ФСТЭК своя зона ответственности. Роскомнадзор проверяет персональные данные и ведет реестр операторов. ФСБ России регулирует криптографическую защиту и средства шифрования. ФСТЭК отвечает за технические и организационные меры защиты информации, сертификацию средств защиты, лицензирование отдельных работ и требования к безопасности значимых объектов КИИ.
Где действуют требования ФСТЭК
Требования ФСТЭК применяются не ко всем компьютерам в стране подряд. Они становятся обязательными, когда система попадает под конкретный правовой режим. Сначала нужно понять, что именно защищает организация: государственную систему, персональные данные, объект КИИ, промышленную систему управления или другую информацию ограниченного доступа. После этого выбирают документы, по которым строится защита.
- ГИС - государственные информационные системы. Для них применяется приказ 17.
- ИСПДн - информационные системы персональных данных. Основной документ ФСТЭК для мер защиты - приказ 21.
- Значимые объекты КИИ - системы, сети и АСУ, от которых зависят важные процессы. Для них важны приказ 235 и приказ 239.
- АСУ ТП - автоматизированные системы управления технологическими и производственными процессами. Для них применяют приказ 31.
Одна система может подпадать сразу под несколько правил. Например, медицинская система в государственном учреждении может обрабатывать персональные данные и поддерживать важный процесс. В такой ситуации требования не складывают механически. Сначала описывают систему, данные, пользователей, функции и связи с другими сервисами, затем выбирают меры без лишнего дублирования.
| Тип системы | Что защищают | Что обычно требуется |
|---|---|---|
| ГИС | Информацию ограниченного доступа в государственной системе | Класс защищенности, модель угроз, меры защиты, оценка соответствия |
| ИСПДн | Персональные данные граждан, клиентов, сотрудников, пользователей | Уровень защищенности, меры по приказу № 21, защита доступа и событий |
| КИИ | Системы, от которых зависят значимые процессы | Категорирование, система безопасности, меры по приказам № 235 и № 239 |
| АСУ ТП | Управление оборудованием и технологическими процессами | Разграничение доступа, защита сети, контроль команд, журналирование |
Какие требования предъявляет ФСТЭК
Документы ФСТЭК строятся вокруг понятной последовательности: описать систему, определить угрозы, выбрать меры защиты, внедрить их, проверить результат и поддерживать безопасность при эксплуатации. Покупка одного продукта не закрывает эту работу. Средства защиты должны соответствовать архитектуре, данным, пользователям и рискам конкретной системы.
В проектах по требованиям ФСТЭК обычно появляются одни и те же блоки работ:
- инвентаризация серверов, рабочих мест, сетевых устройств, приложений и внешних подключений;
- описание пользователей, ролей, прав доступа и административных учетных записей;
- модель угроз или другой документ, где указаны актуальные риски;
- настройка журналирования, хранения событий и контроля действий администраторов;
- защита от вредоносного ПО, управление обновлениями и анализ уязвимостей;
- резервное копирование, проверка восстановления и контроль целостности данных;
- регламенты реагирования на инциденты и порядок работы подрядчиков.
Модель угроз нужна не для галочки. В ней связывают реальные компоненты системы с возможными атаками: кто может получить доступ, какие слабые места актуальны, какие данные пострадают и какие меры защиты нужны. Для этой работы используют банк угроз, но список из БДУ нельзя просто вставить в документ без анализа конкретной системы.
После выбора мер начинается техническая настройка: роли пользователей, правила доступа, сегментация сети, журналы, защита администраторских учетных записей, обновления, резервные копии, контроль съемных носителей и порядок восстановления. Для ряда систем нужны сертифицированные средства защиты информации. Проверять сертификаты лучше в реестрах ФСТЭК, потому что значение имеют версия продукта, срок действия и условия применения.
Лицензии ФСТЭК: кому они нужны
Лицензия ФСТЭК нужна не каждой компании, которая настраивает защиту у себя. Если организация защищает собственные компьютеры, серверы и информационные системы, сама по себе такая работа обычно не требует лицензии. Другое дело - оказание услуг или выполнение работ по технической защите конфиденциальной информации для других организаций.
Для заказчика лицензия важна при выборе подрядчика. Если интегратор проектирует систему защиты, внедряет меры, проводит аттестацию или обслуживает средства защиты в рамках лицензируемой деятельности, его право на такие работы нужно проверить заранее. Надежнее смотреть не скан в презентации, а запись в реестре лицензий.
В договоре с подрядчиком стоит заранее указать:
- какие работы выполняет исполнитель;
- какие документы и настройки он передает заказчику;
- какие средства защиты использует;
- кто отвечает за эксплуатацию после завершения проекта;
- как оформляются изменения, доступы и результаты проверки.
Сертификаты ФСТЭК: что они подтверждают
Сертификат ФСТЭК относится к средству защиты информации или программно-аппаратному продукту, а не к организации в целом. Он подтверждает, что конкретная версия продукта проверена на соответствие установленным требованиям безопасности. Если продукт обновили, сменили редакцию, изменили состав поставки или используют его не по условиям сертификата, соответствие нужно проверять заново.
Сертифицированные средства защиты применяют там, где этого требуют закон, нормативный документ, модель угроз, договор, техническое задание или условия аттестации. В остальных случаях организация может использовать и другие инструменты, если они закрывают нужные задачи и не противоречат требованиям к системе.
Самые частые ошибки с сертификатами:
- проверяют название продукта, но не смотрят версию;
- забывают про срок действия сертификата;
- используют не ту редакцию или не тот комплект поставки;
- считают сертификат заменой настройки и эксплуатации;
- не проверяют ограничения, указанные в документации к продукту.
Как выполнить требования ФСТЭК без лишних переделок
Начинать лучше не с закупки, а с описания системы. Нужно понять, какие данные обрабатываются, кто владелец, какие пользователи работают внутри, есть ли удаленный доступ, какие внешние сервисы подключены и какие нормативные документы применяются. После этого можно выбирать меры защиты и средства.
- Определить тип системы: ГИС, ИСПДн, значимый объект КИИ, АСУ ТП или другой режим защиты.
- Описать данные, пользователей, администраторов, подрядчиков, внешние подключения и места хранения.
- Подготовить модель угроз и выбрать актуальные риски без копирования лишних пунктов.
- Сопоставить риски с мерами защиты из применимых документов ФСТЭК.
- Проверить, где нужны сертифицированные средства защиты и лицензированный подрядчик.
- Настроить доступ, журналы, резервное копирование, обновления, мониторинг и реагирование.
- Периодически проверять, совпадают ли документы с реальной системой.
Такой порядок снижает риск переделок. Если сначала купить SIEM, межсетевой экран и сканер уязвимостей, а затем выяснить, что система имеет другой класс или уровень защищенности, часть решений придется перенастраивать. Инструмент должен закрывать конкретное требование, а не просто присутствовать в инфраструктуре.
Что проверяют при аудите и аттестации
Проверка обычно начинается с документов, но быстро переходит к реальной системе. Смотрят состав серверов и рабочих мест, права пользователей, административные учетные записи, сетевые правила, журналы событий, резервные копии, обновления, настройки средств защиты, доступ подрядчиков и порядок действий при инциденте.
Проблемы чаще всего повторяются:
- схема сети устарела и не отражает реальные подключения;
- в модели угроз нет удаленного доступа подрядчика;
- сертификат средства защиты относится к другой версии продукта;
- журналы собираются, но ответственный их не просматривает;
- резервные копии создаются, но восстановление не проверяли;
- администраторы используют общую учетную запись;
- документы описывают один порядок, а сотрудники работают иначе.
Хорошая подготовка к требованиям ФСТЭК строится на связке документов и реальных настроек. Организация должна понимать, какие данные защищает, какие угрозы считает актуальными, какие меры выбрала и кто отвечает за работу системы после внедрения. Без этой связки даже сертифицированный продукт превращается в дорогую галочку.
FAQ: частые вопросы
ФСТЭК и ФСБ регулируют одно и то же?
Нет. ФСТЭК отвечает за техническую защиту информации и некриптографические меры в пределах своей компетенции. ФСБ занимается криптографической защитой, средствами шифрования и рядом вопросов государственной безопасности.
Нужна ли лицензия ФСТЭК обычной компании?
Если компания защищает только свои системы и не оказывает лицензируемые услуги по технической защите конфиденциальной информации, лицензия обычно не нужна. Подрядчику для таких работ лицензия может потребоваться.
Сертификат ФСТЭК нужен для любого средства защиты?
Нет. Сертифицированные средства применяют там, где этого требуют закон, нормативный документ, модель угроз, условия аттестации, техническое задание или договор.
С чего начать выполнение требований ФСТЭК?
Начните с определения типа системы, состава данных, пользователей, владельца и применимых документов. После этого можно готовить модель угроз, выбирать меры защиты и проверять средства защиты.
