Хочу всех поздравить с тем, что наконец закончилась долгоиграющая разработка методического документа ФСТЭК России по защите ГИС. Он подписан иопубликован . Так-же недавно был выложен на рассмотрение проект требований по защите АСУ, во многом схожий с по порядку выполнения работ и составу мер защиты с приказами № 21 и №17.
На недавней конференции "Актуальные вопросы защиты информации" представители ФСБ России так-же отметили что существенных изменений в проект приказа по защите ПДн они вносить не будут и опубликуют его в ближайшее время.
Это дает основания полагать что в ближайшие год-два ничего существенного в порядках защиты ИСПДн, ГИС не поменяется. Поэтому хватить совершенствовать законодательство и выжидать – пора размораживать проекты и реализовывать систему защиты.
Методический документ по защите ГИС, может так-же использоваться в процессе создания СЗПДн. Я считаю разумным применение методического документа для большинства ИСПДн в тех частях, где это не создает дополнительных затрат и не увеличивает сроков создания СЗПДн.
С учетом методического документа и новых требований по защите АСУ обновил схемы порядков создания систем защиты (не включая эксплуатацию и вывод из действия) и состав основных документов, получаемых в результате.
Для ГИС
Для АСУ
Для ИСПДн
Для обработки ПДн по поручению
Так-же рекомендую использовать общий каталог мер защиты, пример которого выложил Андрей Прозоров
В ходе составления схем вылезла ещё одна ошибка в документах.
Приказ №17
“Требования к системе защиты информации информационной системы включаются в техническое задание на создание информационной системы и (или) техническое задание (частное техническое задание) на создание системы защиты информации информационной системы, разрабатываемые с учетом ГОСТ 34.602, ГОСТ Р 51583 и ГОСТ Р 51624, и должны в том числе содержать:
· …
· требования к мерам и средствам защиты информации, применяемым в информационной системе;…”
Исполняя этот пункт мы должны определить перечень мер и даже СЗИ до разработки ТЗ и включить их в ТЗ.
Но тот же Приказ №17 говорит нам:
“15.1. При проектировании системы защиты информации информационной системы:
· …
· выбираются меры защиты информации, подлежащие реализации в системе защиты информации информационной системы;…”
Методический документ по защите:
· “Выбор мер защиты информации для их реализации в информационной системе осуществляется в ходе проектирования системы защиты информации информационной системы в соответствии с техническим заданием на создание информационной системы и (или) техническим заданием (частным техническим заданием) на создание системы защиты информации информационной системы.”
На этапе проектирования опять выбираются меры? Но разве они не были выбраны на этапе разработки ТЗ?
Тут, я думаю, ФСТЭК Р попал в ловушку своей терминологии. Скорее всего под “Выбор мер …для их реализации ” имеется в виду что на этапе проектирования мы выбираем “конкретные способы реализации мер”.