Вышел Приказ ФСТЭК №17. Что изменилось в наборе мер?

Вышел Приказ ФСТЭК №17. Что изменилось в наборе мер?
Данный документ становится для госорганов России основным в области определения требований к ИБ. Поэтому давайте его читать внимательно.
Его изучения я начал с конца, а именно с таблицы по составу мер защиты. Внимательный читатель уже заметил, что она очень похожа на аналогичную из Приказа №21 . И, да, это так. Те предложения и наработки, которые были сделаны в рамках подготовки Приказа №21 , легли и в этот документ (кстати, возможно из-за этого они оба так долго согласовывались и утверждались). Хотя в Приказе №17 фигурирует термин "классы защищенности ИС", а в Приказе №21 "уровни защищенности ПДн", их можно все же сравнивать по набору мер. Что я и делаю...
.
Итак, чем отличаются таблицы? 
В Приказе №17:
  1. Убраны следующие группы (и все меры, входившие в них):
    • XIV. Выявление инцидентов и реагирование на них (ИНЦ)
    • XV. Управление конфигурацией ИС и СЗПДн (УКФ)
  2. Добавлены следующие меры: ИАФ.7, РСБ.8, ОДТ.6 и ОДТ.7, ЗИС.21-ЗИС.30.
  3. Увеличился перечень базовых мер под определенные классы (это я про "+"): УПД.9, УПД.11, ОПС.1, ОПС.3, ЗНИ.1, ЗНИ.2, ЗНИ.5, ЗНИ.8, РСБ.4-РСБ.6, АНЗ.5, ОЦЛ.3, ОЦЛ.6, ОДТ.1, ОДТ.2, ОДТ.3, ЗСВ.4, ЗТС.2, ЗТС.5, ЗИС.1, ЗИС.5, ЗИС.7-ЗИС.9, ЗИС.12, ЗИС.13.
  4. Сократился перечень базовых мер под определенные классы (это я про "+"): УПД.3-УПД.5, ЗСВ.10.
Если руки дойдут, то сведу обе в 1 таблицу.

Итого, даже еще не читая первую (текстовую) часть документа, можем прогнозировать, что требования для защиты информации для госорганов будут "жестче", чем требования просто по ПДн. 

Будем дальше читать, впереди еще много нового и интересного...
Про ИБ ПДн
Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Ищем баги вместе! Но не те, что в продакшене...

Разбираем кейсы, делимся опытом, учимся на чужих ошибках

Зафиксируйте уязвимость своих знаний — подпишитесь!

Andrey Prozorov

Информационная безопасность в России и мире