Приказ 17: На что обратить внимание? Часть 1

Приказ 17: На что обратить внимание? Часть 1
Продолжаем изучать  Приказ ФСТЭК России № 17 от 11 февраля 2013г. "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах" . Документ содержит много информации, в этом и следующем постах я акцентирую ваше внимание на основных моментах. 

1. Область действия документа
У документа довольно интересная и противоречивая область действия.
В документе устанавливаются требования к обеспечению защиты информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну, от утечки по техническим каналам, несанкционированного доступа, специальных воздействий на такую информацию (носители информации) в целях ее добывания, уничтожения, искажения или блокирования доступа к ней (далее - защита информации) при обработке указанной информации в государственных информационных системах.Настоящие Требования могут применяться для защиты общедоступной информации, содержащейся в государственных информационных системах... (п.2)
Настоящие Требования являются обязательными при обработке информации в государственных информационных системах, функционирующих на территории РФ, а также в муниципальных информационных системах, если иное не установлено законодательством РФ о местном самоуправлении.

Настоящие Требования не распространяются на государственные информационные системы Администрации Президента РФ, Совета Безопасности РФ, Федерального Собрания РФ, Правительства РФ, Конституционного Суда РФ, Верховного Суда РФ, Высшего Арбитражного Суда РФ и ФСБ РФ. (п.3)
По решению обладателя информации (заказчика) или оператора настоящие Требования могут применяться для защиты информации, содержащейся в негосударственных информационных системах. (п.7)
Вопрос состоит в следующем: "ВСЕ ли гос.компании подпадают под обязательное выполнение требований данного приказа?". 
С точки зрения 149-ФЗ "Об информации, информационных технологиях и о защите информации" (ст.13):

Государственные информационные системы - федеральные информационные системы и региональные информационные системы, созданные на основании соответственно федеральных законов, законов субъектов РФ, на основании правовых актов государственных органов.

Муниципальные информационные системы - информационные системы, созданные на основании решения органа местного самоуправления.
Итого, не каждая информационная система, которая используется гос.компаниями подпадает под сферу действия Приказа 17. Однако, чувствуя общий настрой регулятора (ФСТЭК), я бы рекомендовал специалистам оп ИТ и ИБ, работающим в гос.компаниях, ориентироваться на положения данного приказа или даже "принять решение о применении настоящих Требований".
Кстати, реестр федеральных государственных информационных систем можно посмотреть тут: http://www.rsoc.ru/it/register  . 
Еще по теме области действия документа хорошо написано у Арема Агеева -  http://www.itsec.pro/2013/06/17.html

2. Начало действия документа - 01 сентября 2013
Требования применяются для защиты информации в государственных информационных системах с 1 сентября 2013г. (п.2 Приказа)
3. Необходимость использования сертифицированныхСЗИ
Для обеспечения защиты информации, содержащейся в информационной системе, применяются средства защиты информации, прошедшие оценку соответствия в форме обязательной сертификациина соответствие требованиям по безопасности информации в соответствии со статьей 5 Федерального закона от 27 декабря 2002 г. N 184-ФЗ "О техническом регулировании" (п.11)
Кстати, обратите внимание, что в Приказе 21 аналогичное требование дает больше вариантов его реализации:
Меры по обеспечению безопасности ПДн реализуются в том числе посредством применения в информационной системе средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия, в случаях, когда применение таких средств необходимо для нейтрализации актуальных угроз безопасности ПДн. (Приказ 21, п.4)
Ну, а про классы сертифицированных средств защиты (удобные таблицы) по Приказам 17 и 21 я уже писал тут:  http://www.securitylab.ru/blog/personal/80na20/30801.php

4. Необходимость аттестации ИС
Для обеспечения защиты информации, содержащейся в информационной системе, проводятся следующие мероприятия:
... - аттестация информационной системы по требованиям защиты информации (далее - аттестация информационной системы) и ввод ее в действие;
- обеспечение защиты информации в ходе эксплуатации аттестованной информационной системы; ... (п.13)

5. Набор внешних ссылок
В документе много ссылок на различные законы, указы, постановления и ГОСТы. Про них я подробно писал тут:  http://www.securitylab.ru/blog/personal/80na20/30830.php

6. Защита ПДн при их обработке в ИС
Если в рассматриваемых информационных системах обрабатываются ПДн, то требования Приказа 17 применяются "наряду с требованиями Постановления Правительства РФ №1119 " (п.5.). А вот, например, Приказ 21  нигде в документе не упоминается. При этом в п.21 Приказа 17 есть положение о том, что при "дополнении уточненного адаптированного базового набора мер" следует учитывать "требования иных НПА, в том числе в области ПДн".
Дополнительно в п.27 есть "связка" классов защищенности информационных систем и уровней защищенности ПДн:
  • для информационной системы 1 класса защищенности обеспечивают 1, 2, 3 и 4 уровни защищенности ПДн;
  • для информационной системы 2 класса защищенности обеспечивают 2, 3 и 4 уровни защищенности ПДн;
  • для информационной системы 3 класса защищенности обеспечивают 3 и 4 уровни защищенности ПДн; 
  • для информационной системы 4 класса защищенности, обеспечивают 4 уровень защищенности ПДн.
Ну, а если учесть схожесть таблиц с базовыми мерами , то мы можем заметить, что практически все требования по защите ПДн из 21 Приказа в том или ином виде есть в 17 Приказе (не нашел разве что "оценку эффективности мер"). Таким образом если вы решили выполнять требования Приказа 17, то требования Приказа 21 вы "автоматически закрываете".

7. Аутсорсинг
Для проведения работ по защите информации в ходе создания и эксплуатации информационной системы обладателем информации (заказчиком) и оператором в соответствии с законодательством РФ при необходимости привлекаются организации, имеющие лицензию на деятельность по технической защите конфиденциальной информации (п.10)
Аналогичная норма есть и в Приказе 21, но там могут привлекаться для "выполнения работ по обеспечению безопасности ПДн при их обработке в информационной системе" и для "оценки эффективности реализованных в рамках системы защиты ПДн мер по обеспечению безопасности ПДн" (Приказ 21 п.2 и п.6).

На этом пока все. Для второй части статьи я оставил самое "вкусное", а именно: процедуру проектирования и ввода в действие системы защиты, выбор и набор мер защиты, а также обобщающую майндкарту.  


А еще можете посмотреть:

ПДн Приказ17
Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

SOC как супергерой: не спит, не ест, следит за безопасностью!

И мы тоже не спим, чтобы держать вас в курсе всех угроз

Подключитесь к экспертному сообществу!

Andrey Prozorov

Информационная безопасность в России и мире