Проект апдейта по 17 приказу ФСТЭК: кратко о ключевых нововведениях

Проект апдейта по 17 приказу ФСТЭК: кратко о ключевых нововведениях
Недавно для широкой публике стала доступна версия проекта 17 приказа ФСТЭК , который рано или поздно  должен быть утвержден и введен в действие. То, что вносить изменения в приказ 17 стало очевидно как минимум в конце прошлого года, когда в гос думму былы внесен проект очередного пакета правок в ФЗ-148  №47571-7 "О безопасности критической информационной инфраструктуры Российской Федерации"

По мнению многих экспертов проект документа все же еще сырой и нуждается в более детальной проработке и корректировки, однако не смотря на это таки сделан большой вклад сил регулятора и виден прогресс движения в лучшую сторону. И так, сегодня в статье мы совсем кратко и тезисно отметим наиболее очевидные изменения и ключевые особенности содержащиеся  в указанном проекте документа

В недавнем  времени на общее обозрение был выложен обновленный проект изменений 17-го приказа ФСТЭК, которые несет в весьма значимые изменения в случае их успешного утверждения. Хотя многие эксперты выражают мнение, что документ находится еще на промежуточной стадии и возможно будет доработан, тем не мене этот документ ждали многие. Если, не соврать, то ФСТЭК обещает новый апдейт  уже минимум года как полтора.

Драйвером новых изменений  содержащихся в проекте 17 приказа ФСТЭК являются утвержденная пачка правок внесенных в ФЗ-149 и закон о критически важной инфраструктуры, принятых в конце 2016 года.

И так, давайте посмотрим, что же именно нм подготовил регулятор в текущем проекте помимо косметических  правок и новых терминов:
  • Осуществлен переход на 3 класса защищенности ГИС. Однако, никаких изменений в составе базовых мер для 1-3-х классов  все таки не произошло. Чем же это нам интересно? А тем, что переход на 3 класса  облегчил их соотнесение с классами защиты средств защиты, на которые переходит ФСТЭК в своих документах по системам обнаружения вторжений, МСЭ, антивирусам и т.д.  И тут логика проста: 6-й класс защиты применяется в ГИС  для 3-го класса, 5-й класс защиты для ГИС 2-го класса и 4-й класс защиты  в ГИС 1-го класса
  • Прописаны новые виды аттестационных испытаний. Так пентесты теперь стали обязательны для ГИС 1-го и 2-го классов защищенности -  и проводить их можно своими силами или с привлечением лицензиатов ФСТЭК. Так же связали новые требования по защите с банком данных угроз и уязвимостей ФСТЭК для целей моделирования угроз и анализа уязвимостей. Что весьма хорошо, так это то, что запретили проведение аттестации тем же лицом, что и проектирует или внедряет систему защиты.
  • Изменения коснулись  в части аттестации. К примеру, синхронизировали требования по защите информации в ГИС, включаемой в ТЗ на ее создание.
В целом, изменения в 17 приказе ФСТЭК на схеме выглядит следующим образом (за макет спасибо г-ну Лукацкому)


Проблемы и нерешенности проекта 17 приказа ФСТЭК

По мнению известного эксперта ИБ, г-на Лукацкого это следующие проблемы:

1. "Документ исходит из предпосылки (неявной), что в государственной информационной системе все узлы одинаковы Однако уже сейчас даже в офисных системах есть устройства, за которыми пользователи не работают, но устройства обрабатывают информацию ограниченного доступа. Это могут быть принтеры, сканеры, системы видеонаблюдения, видеоконференцсвязь, IP-телефония и т.п." - пишет Алексей

2. Продолжаю свою речь, Алексей так же говорит, что "Сейчас активно, внедряется Интернет вещей, который подразумевает обмен информацией между устройствами, преимущественно консьюмерскими, – интеллектуальные часы, очки, кофеварки и т.п. Они и к офисной беспроводной сети могут подключаться, включаясь тем самым в контролируемую зону."

3. "В-третьих, в сети могут быть и мобильные устройства, к которым, по крайней мере на текущем этапе, необходимо применять немного отличные требования по защите. Например, многие мобильные устройства подразумевает всего лишь 4-хзначный PIN-код, а не 6-ти-8мисимвольный пароль." - заключает Алексей

ДОПОЛНИТЕЛЬНО

Полный обзор документа и дополнительную информацию по проекту 17 приказа вы можете получить тут  и тут ,  а так же еще вот тут
фстэк проект изменения нововведения 17 приказ фз 149 ГИС пен тест мсэ антивирус
Alt text

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и TwitterTwitter, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

Иван Пискунов

Персональный блог Ивана Пискунова о безопасности, реверс инжениринге и ИТ-менеджменте. Аналитика, новости, обзоры, события