Очередной проект требований от ФСТЭК России. Что нового?
- Область применения
Новые Требования являются обязательными для защиты содержащейся в государственных информационных системах, иных информационных системах государственных органов, государственных унитарных предприятий, государственных учреждений информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну, от несанкционированного доступа, специальных воздействий на такую информацию (носители информации) в целях её добывания, уничтожения, искажения или блокирования доступа к ней.
Новые требования также распространяются на муниципальные информационные системы, если иное не установлено законодательством Российской Федерации о местном самоуправлении.
При обработке в информационных системах информации, содержащей персональные данные, рассматриваемые требования применяются наряду с требованиями к защите персональных данных при их обработке в информационных системах персональных данных, утвержденных постановлением Правительства Российской Федерации от 1 ноября 2012 г. № 1119.
Рассматриваемые Требования также могут распространяться и на другие информационные системы в случае обработки и хранения в них информации, переданной из государственных информационных систем, соответствующих рассматриваемым Требованиям, доступ к которой ограничен в соответствии с законодательством Российской Федерации.
Таким образом, в отличие от требований, утверждённых приказом ФСТЭК России от 12 февраля 2013 г. № 17, которые распространяются только на государственные информационные системы, новые требования будут иметь более широкую сферу применения.
- Значительная часть проекта посвящена требованиям к организации и управлению защитой информации, содержащейся в информационных системах.
а). определение целей защиты информации;
б). разработку и утверждение политики защиты информации;
в). назначение лиц, ответственных за защиту информации;
г). утверждение внутренних организационно-распорядительных документов, регламентирующих порядок проведения мероприятий по защите информации в соответствии с вводимыми Требованиями, а также устанавливающих с учетом особенностей деятельности операторов требования к реализации мер по защите информации;
д). выделение ресурсов, необходимых для защиты информации;
е). управление деятельностью по защите информации.
- Далее проект устанавливает требования к 21 группе мер защиты информации, содержащейся в информационных системах. Группировка этих мер отличается от используемой в действующих Требованиях, утверждённых приказом ФСТЭК России от 13 февраля 2013 г. № 17.
• Инвентаризация информационных систем и управление их конфигурациями.
• Выявление и оценка актуальных угроз безопасности информации в ходе создания (развития) информационных систем, а также в ходе их эксплуатации.
• Управление уязвимостями информационных систем.
• Управление обновлениями программного обеспечения, применяемого в информационных системах.
• Защита информации при поиске, сборе, хранении, обработке, предоставлении, распространении конфиденциальной информации, содержащейся в информационных системах.
• Защита конечных устройств информационных систем.
• Защита мобильных устройств, планшетных и переносных компьютеров, используемых для доступа к информационным системам (за исключением доступа к сайтам сети "Интернет").
• Защита информации при доступе работников оператора к информационным системам с использованием сети «Интернет» (за исключением доступа к сайтам сети "Интернет").
• Защита информации в ходе установки, настройки, мониторинга и оптимизации функционирования, обслуживания, устранения ошибок, обеспечения ремонта, иных привилегированных функций по управлению программными, программно-аппаратными средствами информационных систем (администрирование информационных систем).
• Мониторинг информационной безопасности информационных систем.
• Меры, направленные на исключение возможности возникновения уязвимостей в ходе разработки им программного обеспечения для применения в информационных системах.
• Разработка безопасного программного обеспечения.
• Физическая защита программно-аппаратных средств информационных систем.
• Обеспечение непрерывности функционирования информационных систем при возникновении нештатных ситуаций.
• Повышение уровня осведомленности работников по вопросам защиты информации в информационных системах и их обучение.
• Защита информации при предоставлении доступа к своим информационным системам и (или) содержащейся в них информации подрядным организациям.
• Защита информационных систем от атак, направленных на отказ в обслуживании.
• Защита информации, содержащейся в его информационных системах, при использовании искусственного интеллекта.
• Обеспечение в распределенных информационных системах, имеющих доменную архитектуру, доверия при доступе субъектов доступа к объектам доступа и их информационном взаимодействии с использованием информационно — телекоммуникационной сети (за исключением доступа к сайтам в сети «Интернет»).
• Реализация в информационных системах мер по их защите и содержащейся в них информации.
• Обеспечение периодического проведения контроля уровня защищенности информации, содержащейся в информационных системах.
Перечисленный набор мер отличается от набора, установленного Требованиями, утверждёнными приказом ФСТЭК России от 13 февраля 2013 г. № 17. В частности, появились требования по защите информационных систем от атак, направленных на отказ в обслуживании и требования по защите при использовании искусственного интеллекта.
- Классификация информационных систем
Порядок классификации информационных систем приведен в приложении к рассматриваемому проекту Требований.
Отличий от порядка классификации, установленного требованиями, утверждёнными приказом ФСТЭК России от 13 февраля 2013 г. № 17, нет. В порядок классификации вносятся некоторые полезные уточнения. В частности, устанавливается, что допускается присвоение отдельным сегментам информационной системы разных классов защищенности с реализацией требований по защите информации, содержащейся в сегментах, в соответствии с присвоенными классами защищенности. В этом случае на границе сегмента более высокого класса должны быть приняты меры по защите информации, предусматривающие исключение возможности несанкционированного доступа из сегмента системы низкого класса защищенности в сегмент более высокого класса защищенности.
Класс защищенности информационной системы определяется в соответствии с таблицей:
Уровень значимости информации |
Масштаб информационной системы |
||
Федеральный |
Региональный |
Объектовый | |
УЗ 1 | К1 | К1 | К1 |
УЗ 2 | К1 | К2 | К2 |
УЗ 3 |
К2 | К3 | К3 |
- О вступлении в силу новых требований
Проектом рассматриваемого приказа устанавливаются следующие сроки вступления в силу новых требований:
- по истечении одного года с даты их утверждения (за исключением требований доверия при доступе субъектов доступа к объектам доступа и их информационном взаимодействии);
- требования по обеспечению доверия с использованием сертификатов безопасности, выдаваемых центром сертификации оператора, при доступе субъектов доступа к объектам доступа и их информационном взаимодействии с использованием информационно — телекоммуникационной сети в распределенных информационных системах, имеющих доменную архитектуру (за исключением доступа к сайтам в сети «Интернет») вступают в силу по истечении двух лет с даты их утверждения.
До вступления в силу новых требований применяются Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденные приказом ФСТЭК России от 13 февраля 2013 г. № 17.
С даты вступления в силу перечисленных выше новых требований приказ ФСТЭК России от 13 февраля 2013 г. № 17 утрачивает силу.
В заключение этого обзора целесообразно отметить, что обсуждаемый проект не выглядит законченным документом. В том числе в отличие от требований, утверждённых приказом ФСТЭК России от 13 февраля 2013 г. № 17, в проекте документа не приведены базовые наборы мер защиты информации для соответствующих классов защищенности информационных систем. В связи с этим непонятно каким образом определять эти меры в зависимости от класса защищённости информационной системы и как их реализовывать с учётом рекомендаций, приведённых в Методическом документе «Меры защиты информации в государственных информационных системах», утверждённый ФСТЭК России 11 февраля 2014 г.
Можно прогнозировать, что для практической реализации вновь вводимых требований ФСТЭК России предстоит дополнительно разработать пакет документов, устанавливающих, как минимум:
- базовые наборы мер защиты информации для соответствующих классов защищенности информационных систем;
- методические рекомендации по реализации новых мер в зависимости от класса защищённости информационных систем, в том числе связанных с реализацией вновь вводимых требований доверия с использованием сертификатов безопасности при доступе субъектов доступа к объектам доступа.