23 Января, 2017

Промежуточная версия нового 17-го приказа

Алексей Лукацкий
В недалеком октябре 2015-го года всенародно избранный Президент выпустил очередной (дспшный) перечень поручений, направленный на усиление контроля за защитой информации в государственных органах. В нем было целых 8 пунктов, результаты по многим из которых мы сейчас и наблюдаем:
  • обязательное уведомление об инцидентах
  • распространение требований ФСТЭК не только на ГИС, но и на операторов информационных систем, обрабатывающих информацию, обладателем которой являются госорганы
  • совершенствование банка данных угроз
  • включение в планы информатизации госорганов мероприятий по защите информации
  • включение в требования по жизненному циклу ГИС требований по защите информации
  • и т.д.
По этой причине сейчас активно вносятся изменения в ПП-676, устанавливающее требования к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации. И в эту же струю укладывается  проект изменений 17-го приказа ФСТЭК, который в пятницу был выложен для обсуждения (это значит, что можно не по фейсбукам комментировать, что там не так, а написать разработчикам, чей адрес, указан на странице проекта НПА).

Надо сразу отметить, что это не тот документ, которого ждали многие. Это промежуточная версия, задача которой закрыть ряд стоящих перед ФСТЭК вопросов, которые не касаются непосредственно состава и содержания защитных мер. Вот именно последнего многие ждут и именно последнее отложено на неопределенный срок, связанный с принятием поправок в ФЗ-149. Как только эти поправки примут, тогда, спустя некоторое время, и выйдет серьезно обновленная редакция 17-го приказа. А пока посмотрим, что нам подготовил регулятор в текущем проекте помимо косметических и терминологических правок:
  • Перешли на давно обещанные 3 класса защищенности ГИС. 4-й класс, который и раньше был достаточно вырожденным, убран совсем. В приложении 2 также убран столбец с мерами для соответствующего класса. Насколько я обратил внимание, никаких изменений в составе базовых мер для 1-3-х классов не произошло.
  • Переход на 3 класса автоматически облегчил их соотнесение с классами защиты средств защиты, на которые переходит ФСТЭК в своих документах по системам обнаружения вторжений, МСЭ, антивирусам, ОС, СУБД и т.п. Теперь логика простая - 6-й класс защиты применяется в ГИС 3-го класса, 5-й класс - в ГИС 2-го класса и 4-й класс в ГИС 1-го класса (средства защиты 1-3 классов применяются для защиты гостайны). Что делать со старыми, но еще действующими сертификатами, и как они будут соотноситься с новыми классами ГИС не совсем понятно. А ведь старых сертификатов немало - некоторые вендора аккурат перед 1-м декабря продлили сертификаты на свои МСЭ до 2019-го года. И как быть потребителю? В принципе в проекте есть решение в виде фразы "При этом функции безопасности таких средств должны обеспечивать выполнение настоящих Требований" (это касается сертификации по ТУ/ЗБ). Но это и в прошлые разы вызывало вопросы - как определить соответствие функций безопасности требованиям класса защищенности ГИС? Писать в ФСТЭК?
  • Появились новые виды аттестационных испытаний, что не может не радовать. Что огорчает - по ним нет никаких методических документов ФСТЭК или ГОСТов. А ведь в 17-м приказе написано, что при проведении аттестации надо ими руководствоваться, а их нет :-( Пентесты теперь обязательны для ГИС 1-го и 2-го классов защищенности - проводить их можно своими силами или с привлечением лицензиатов ФСТЭК (с июня, как я уже писал , для лицензиатов вступают новые правила игры).
  • Усилили связь требований по защите с банком данных угроз и уязвимостей ФСТЭК (при моделировании угроз и анализе уязвимостей).
  • Запретили проведение аттестации тем же лицом, что и проектирует/внедряет систему защиты. С одной стороны это логично, а с другой - заказчикам, которые привыкли заключать один договор с генподрядчиком, который уже сам искал исполнителей на проектирование, внедрение и аттестацию, придется пересмотреть свою практику. Или писать письма в ФСТЭК с просьбой разрешить такие договора.
  • Зачем-то включили пункт, что срок действия аттестата не может превышать 5 лет. Ну так вроде он по требованиям ФСТЭК выдается сроком на 3 года, то есть и так меньше 5-ти лет. Непонятно.
  • Учли переход на общую систему ЦОДов и "Гособлако" в части аттестации.
  • Синхронизировали требования по защите информации ГИС, включаемой в ТЗ на ее создание, с требованиями ПП-676, упомянутого выше.
  • Убрали ссылку на ГОСТ 27001. Применительно к госорганам я бы это поддержал - не готовы они еще к процессному подходу в области ИБ; особенно в условиях не самого лучшего бюджетирования.
Вот так выглядят изменения в 17-й приказ, которые должны будут приняты в самое ближайшее время. В целом же можно говорить об усилении контроля за деятельностью по защите информации в госорганах и организациях, обрабатывающих информацию, обладателем которой  являются госорганы. Я попробовал набросать картинку тех изменений, которые происходят сейчас, происходили в самом недалеком будущем или будут происходить в самое ближайшее время. И вот что получилось:


Если попробовать порассуждать, то получается, что, теоретически, можно ожидать новых требований по аттестации, которые были упомянуты в рассматриваемом проекте изменений 17-го приказа и которые должны быть облечены в некий формальний документ. А под это дело может быть ФСТЭК и вообще подходы к аттестации пересмотрит, а то действующие ГОСТы в этой области совсем никуда не годятся.

ЗЫ. Кстати, если посмотреть на упомянутый выше перечень поручений, то там можно увидеть ряд пунктов, которые пока не стали достоянием гласности, что означает, что нас еще ждет нечто интересное.
comments powered by Disqus