На днях была опубликована долгожданная итоговая версия методического документа ФСТЭК России " Меры защиты информации в государственных информационных системах " (от 11.02.2014). Документ разрабатывали довольно долго, прошел почти год с момента появления Приказов 21 и 17, меры защиты из которых и были раскрыты в нем. Если вы помните, то к последней общедоступной версии документа (1.3) было много замечаний , самые существенные из которых я отправил во ФСТЭК России.
К сожалению, многие из них не были учтены в этой версии документа (по заверениям сотрудников ФСТЭК России это было сделано с целью оперативного утверждения документа), но судя по проекту документа " Требования к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды ", они будут учтены при пересмотре Приказа 17 и методических рекомендаций в будущем (например, замечания по перечню мер, они отличаются для ПДн, ГосИС и АСУ ТП ).
Итак, что изменилось в итоговой версии документа .по сравнению с проектом:
- Количество страниц увеличилось со 165 до 176.
- Добавлены термины и определения (Приложение 1).
- В п.2 "выбор мер защиты..." добавлено описание про эксплуатационную документацию и организационно-распорядительные документы.
- Из п.2.3 а) перенесено в пункт в) описание по выбору базового набора мер.
- В п.2.3 б) добавлен пример про исключение мер защиты мобильных устройств.
- В п.2.3 г) расширен перечень действий при дополнении уточненного адаптированного базового набора мер (см.3) ).
- Добавлен важный п.2.3 д) "Применение компенсирующих мер защиты информации".
- В п.3 "Содержание мер защиты..." довольно много изменений. Особенно бросается в глаза наличие фраз про обязательное наличие организационно-распорядительной документации (например, "Правила и процедуры идентификации и аутентификации пользователей регламентируются в организационно-распорядительных документах по защите информации."). Также для некоторых мер пересмотрены таблицы с содержанием базовой меры (строка с "усилением"). Количество мер (особенно мер "усиления") в целом увеличилось. Обратите на это внимание.
В целом правки в документе скорее "косметического" характера, хотя мелких изменений много. Те, кто использовал проект документа в работе, теперь должны пересмотреть ее результаты. Например, некоторые вендоры и интеграторы сделали таблицы соответствия своих решений требованиям Приказов 17 и 21, теперь их следует поправить..
Еще имеет смысл посмотреть:
