ФСТЭК выпустил любопытный проектдокумента под названием «МЕРЫ ЗАЩИТЫ ИНФОРМАЦИИ В ГОСУДАРСТВЕННЫХ ИНФОРМАЦИОННЫХ СИСТЕМАХ».
Первое впечатление – ниже.
Сфера действия
Документ описывает методы реализации организационных и технических мер защиты информации, перечисленных в приказе ФСТЭК № 17 .
Видимо документ планируется к применению в информационных системах, защищаемых в соответствии с требованиями приказа ФСТЭК № 17.
Для защиты информации (в том числе персональных данных) в прочих информационных системах данный документ также может применяться.
Документ представляет интерес для технических специалистов операторов, а также для системных интеграторов, работающих в гос. секторе.
Меры защиты
Состав мер защиты в проекте документа идентичен составу мер из 17 приказа ФСТЭК.
Для каждой меры приводятся требования к реализациии требования к усилению.
Требования к реализации описывают то, каким образом реализуется мера в целом. Например, для меры ИАФ.1 (Идентификация и аутентификация пользователей, являющихся сотрудниками оператора) приводится описание того, кто именно подразумевается под «сотрудниками» оператора, а также перечисляются возможные способы аутентификации (пароль, аппаратные средства, биометрия, многофакторная аутентификация).
Требования по усилению дополнительно детализируют содержание меры. Например, требование 1а по усилению ИАФ.1, требует использования аутентификации на основе пароля длиной не менее 6 символов, с алфавитом не менее 30 символов и максимальным количеством неуспешных попыток ввода от 3 до 10. Необходимые "усиления" меры зависят от класса защищенности системы. Например, для системы 3 класса защищенности мера ИАФ.1 обязательна и применяется с "усилением" 1б.
Мера защиты информации | Класс защищенности информационной системы | |||
4 | 3 | 2 | 1 | |
ИАФ.1 | + | + | + | + |
Усиление ИАФ.1 | 1а | 1б | 1в, 2, 3, 4 | 1г, 2, 3, 4, 5 |
Таким образом, из класса защищенности системы вытекает не только набор мер защиты, но еще и способ реализации каждой меры.
Не все требования по усилению обязательны. Часть мер, не включенных в таблицу базовых мер, применяется по решению обладателя информации, для повышения уровня защищенности информации, при адаптации, уточнении, дополнении мер защиты, а также при разработке компенсирующих мер.
Дальше, в лес
Лично у меня после первого прочтения возникло несколько вопросов.
Во-первых, для всех классов защищенности кроме 4-го, запрещен удаленный доступ при помощи учетных записей администраторов для администрирования информационной системы и СЗИ (см. п.3 на стр. 36 в УПД.13).
Как удаленно администрировать, например, сетевое оборудование? Как действовать в случае, когда админу из дома необходимо срочно что-либо настроить?
Во-вторых, в требованиях по защите информации при передаче (см. ЗИС.3 на стр. 119) сказано, что «защита информации обеспечивается путем защиты каналов связи от несанкционированного физического доступа (подключения) к ним и (или) применения в соответствии с законодательством Российской Федерации средств криптографической защиты информации».
Хорошо, что обозначена альтернатива использованию криптографии.
Но, к сожалению, не расписаны возможные меры защиты канала от НСД.
Подразумевается исключительно предотвращениефизического доступа к каналу, или же допускается возможность обнаружениянесанкционированного доступа с последующим прекращением передачи? Лично я надеялся, что вопрос защиты каналов связи будет освящен подробнее.
В-третьих, в требованиях по сегментированию системы (см. ЗИС.17 на стр. 132) сказано, что «сегментирование информационной системы проводится с целью построения многоуровневой (эшелонированной) системы защиты информации путем построения сегментов на различных физических доменах или средах».
Получается, что нужно строить для защищаемых систем физически выделенные сегменты сети на отдельном оборудовании? Трактовка данного требования не очевидна.
Что в итоге
Проект документа ФСТЭК мне определенно нравится, особенно на контрасте с последним проектом приказа ФСБ.
Документ вышел достаточно объемным (165 страниц) и производит сильное впечатление. Требования сформулированы понятном для IT-шника языке. Практически нет двусмысленных трактовок. Документ требует вдумчивого и глубокого анализа со стороны специалистов в различных областях.
ФСТЭК предлагает заинтересованным лицам рассмотреть проект документа и направить предложения по нему на адрес электронной почты project@fstec.ru.
Форма для предложений и замечаний есть в конце информационного сообщения ФСТЭК .
