Проект апдейта по 17 приказу ФСТЭК: кратко о ключевых нововведениях

Проект апдейта по 17 приказу ФСТЭК: кратко о ключевых нововведениях
Недавно для широкой публике стала доступна версия проекта 17 приказа ФСТЭК , который рано или поздно  должен быть утвержден и введен в действие. То, что вносить изменения в приказ 17 стало очевидно как минимум в конце прошлого года, когда в гос думму былы внесен проект очередного пакета правок в ФЗ-148  №47571-7 "О безопасности критической информационной инфраструктуры Российской Федерации"

По мнению многих экспертов проект документа все же еще сырой и нуждается в более детальной проработке и корректировки, однако не смотря на это таки сделан большой вклад сил регулятора и виден прогресс движения в лучшую сторону. И так, сегодня в статье мы совсем кратко и тезисно отметим наиболее очевидные изменения и ключевые особенности содержащиеся  в указанном проекте документа

В недавнем  времени на общее обозрение был выложен обновленный проект изменений 17-го приказа ФСТЭК, которые несет в весьма значимые изменения в случае их успешного утверждения. Хотя многие эксперты выражают мнение, что документ находится еще на промежуточной стадии и возможно будет доработан, тем не мене этот документ ждали многие. Если, не соврать, то ФСТЭК обещает новый апдейт  уже минимум года как полтора.

Драйвером новых изменений  содержащихся в проекте 17 приказа ФСТЭК являются утвержденная пачка правок внесенных в ФЗ-149 и закон о критически важной инфраструктуры, принятых в конце 2016 года.

И так, давайте посмотрим, что же именно нм подготовил регулятор в текущем проекте помимо косметических  правок и новых терминов:
  • Осуществлен переход на 3 класса защищенности ГИС. Однако, никаких изменений в составе базовых мер для 1-3-х классов  все таки не произошло. Чем же это нам интересно? А тем, что переход на 3 класса  облегчил их соотнесение с классами защиты средств защиты, на которые переходит ФСТЭК в своих документах по системам обнаружения вторжений, МСЭ, антивирусам и т.д.  И тут логика проста: 6-й класс защиты применяется в ГИС  для 3-го класса, 5-й класс защиты для ГИС 2-го класса и 4-й класс защиты  в ГИС 1-го класса
  • Прописаны новые виды аттестационных испытаний. Так пентесты теперь стали обязательны для ГИС 1-го и 2-го классов защищенности -  и проводить их можно своими силами или с привлечением лицензиатов ФСТЭК. Так же связали новые требования по защите с банком данных угроз и уязвимостей ФСТЭК для целей моделирования угроз и анализа уязвимостей. Что весьма хорошо, так это то, что запретили проведение аттестации тем же лицом, что и проектирует или внедряет систему защиты.
  • Изменения коснулись  в части аттестации. К примеру, синхронизировали требования по защите информации в ГИС, включаемой в ТЗ на ее создание.
В целом, изменения в 17 приказе ФСТЭК на схеме выглядит следующим образом (за макет спасибо г-ну Лукацкому)


Проблемы и нерешенности проекта 17 приказа ФСТЭК

По мнению известного эксперта ИБ, г-на Лукацкого это следующие проблемы:

1. "Документ исходит из предпосылки (неявной), что в государственной информационной системе все узлы одинаковы Однако уже сейчас даже в офисных системах есть устройства, за которыми пользователи не работают, но устройства обрабатывают информацию ограниченного доступа. Это могут быть принтеры, сканеры, системы видеонаблюдения, видеоконференцсвязь, IP-телефония и т.п." - пишет Алексей

2. Продолжаю свою речь, Алексей так же говорит, что "Сейчас активно, внедряется Интернет вещей, который подразумевает обмен информацией между устройствами, преимущественно консьюмерскими, – интеллектуальные часы, очки, кофеварки и т.п. Они и к офисной беспроводной сети могут подключаться, включаясь тем самым в контролируемую зону."

3. "В-третьих, в сети могут быть и мобильные устройства, к которым, по крайней мере на текущем этапе, необходимо применять немного отличные требования по защите. Например, многие мобильные устройства подразумевает всего лишь 4-хзначный PIN-код, а не 6-ти-8мисимвольный пароль." - заключает Алексей

ДОПОЛНИТЕЛЬНО

Полный обзор документа и дополнительную информацию по проекту 17 приказа вы можете получить тут  и тут ,  а так же еще вот тут
фстэк проект изменения нововведения 17 приказ фз 149 ГИС пен тест мсэ антивирус
Alt text

Один хакер может причинить столько же вреда, сколько 10 000 солдат! Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!

Иван Пискунов

Персональный блог Ивана Пискунова о безопасности, реверс инжениринге и ИТ-менеджменте. Аналитика, новости, обзоры, события