Ну вот и обещанный рассказ о планах по нормотворчеству ФСТЭК. Тут тоже надо сразу оговориться. Виталий Сергеевич Лютиков сразу признался, что при численного людей, занимающихся нормотворчеством, а это 6 человек, не всегда удается следовать озвученным ранее планам. По этой же причине и в плане ФСТЭК указано гораздо меньше документов, чем может появиться в реальности.
Итак, ключевые изменения коснутся, как я уже и писал, 17-го приказа, распространяющегося пока на государственные и муниципальные информационные системы, а в перспективе и на иные системы, обрабатывающие государственный информационный ресурс. Проект новой редакции 17-го приказа уже готов и в ближайшие несколько дней должен быть выложен на сайт ФСТЭК. Правда, есть вероятность, что изменений туда внести уже не получится. Все-таки, ФСТЭК собирала эти предложения весь прошлый год (формально - до апреля прошлого года). Кто не успел это сделать тогда, могут, конечно, попытаться, но я бы не рассчитывал на то, что их голос будет услышан.
Что же стало отличительной чертой новой редакции 17-го приказа?
Вот такие изменения грядут для государственных информационных систем и, возможно, в перспективе, для иных систем, обрабатывающих государственные информационные ресурсы. Срок вступления обсуждаемых поправок пока не известен - предположу, что стоит отсчитать не более 6 месяцев с момента регистрации документа в Минюсте. И если это произойдет примерно в апреле, то новый 17-й приказ вступит в силу осенью этого года. Хотя в условиях непростой экономической ситуации и правил бюджетирования многих госорганов, я бы на месте ФСТЭК, ввел этот приказ с 1-го января 2017 года.
Итак, ключевые изменения коснутся, как я уже и писал, 17-го приказа, распространяющегося пока на государственные и муниципальные информационные системы, а в перспективе и на иные системы, обрабатывающие государственный информационный ресурс. Проект новой редакции 17-го приказа уже готов и в ближайшие несколько дней должен быть выложен на сайт ФСТЭК. Правда, есть вероятность, что изменений туда внести уже не получится. Все-таки, ФСТЭК собирала эти предложения весь прошлый год (формально - до апреля прошлого года). Кто не успел это сделать тогда, могут, конечно, попытаться, но я бы не рассчитывал на то, что их голос будет услышан.
Что же стало отличительной чертой новой редакции 17-го приказа?
- Перенос места моделирования угроз со стадии формирования требований на стадию разработки системы защиты. Сделано это было специально и вполне осознанно. И это еще раз подчеркивает, что ФСТЭК действительно сфокусирован именно на госорганах, а не на коммерческих предприятиях. Ведь когда по уму надо моделировать угрозы? Как можно раньше, то есть на этапе формирования требований к информационной системе. Но в госорганах на этом этапе еще нет финансирования и моделировать угрозы просто не на что. Отсюда нелогичный, но обоснованный с практической точки зрения перенос данного этапа.
- Добавляется 5 новых документов, определяющих правила и процедуры (политики) защиты информации. Из зала сразу прозвучал вопрос о том, не планирует ли ФСТЭК разработать шаблоны документов, которые можно было бы использовать в деятельности организаций. Представитель ФСТЭК сразу же ответил, что в планах такого нет и при проверках они больше смотрят на содержание (а оно как раз описано в 17-м приказе), а не на форму организационно-распорядительной документации. Я, правда, надеялся услышать еще про проект ГОСТа, который должен быть установить формы (шаблоны) пару десятков типовых документов, требуемых при проведении аттестации и лицензировании (паспорт на ИС, границы контролируемой зоны и т.п.). Проект этого ГОСТа пару лет назад рассматривался в ТК 362, но с тех пор про него что-то ничего не слышно.
- Одним из революционных и при этом ни на что не влияющих изменений стал отказ от 4-го класса ГИС и переход на 3-хуровневую классификацию информационных систем (как в 31-м приказе). Обусловлено это было двумя вещами. Первая - в надзорной деятельности ФСТЭК ГИС 4-го класса не встречались ни разу, что и привело к мысли о его ненужности. А вторая (ее не озвучили, но судя по всему она тоже подтолкнула к принятому решению) - переход ФСТЭК на новые РД с требованиями к средствам защиты информации. В них принята схема с 6-ью классами защищенности (3 для гостайны и 3 - для остальных видов информации ограниченного доступа или защищаемых информационных систем). В прежней редакции 17-го (да и 21-го) приказа была достаточно сложная схема с соотнесением классов защищенности средств защиты и классов защищености информационных систем (с подключением к Интернет или без оного). С переходом же на трехуровневую схему соотнесение стало очень простой задачей (6 класс средства защиты - 3-й класс ГИС, 5 класс средства защиты - 2-й класс, 4 класс защиты - 1-й класс).
- Зато ФСТЭК явно потребовала сертификации средств защиты на 4-й уровень отсутствия НДВ, если они планируются применяться в государственных информационных системах. Раньше это требование тоже было, но не формализовано. С принятием новой редакции минимальный уровень НДВ будет явно требоваться от любого нового средства защиты. Обратите внимание - нового! К уже приобретенным средствам защиты это требование не применимо (закон обратной силы не имеет).
- В 17-й приказ добавили 9 новых блоков защитных мер. 2 из них уже были включены в 21-й приказ - управление инцидентами и управление конфигурацией. Еще 5 взяты из 31-го приказа - безопасная разработка, управление обновлениями, планирование мероприятий по обеспечению защиты информации, информирование и обучение персонала, анализ угроз и рисков (6-й блок из 31-го приказа, про действия в нештатных ситуациях, в новую редакцию 17-го не вошел). Наконец, было добавлено два совсем новых блока защитных мер - защита информации при использовании мобильных устройств и управление потоками информации.
- Особое внимание в новой редакции 17-го приказа уделено обеспечению непрерывного совершенствования уровня защиты информации за счет регулярного анализа защищенности (уязвимостей), который выходит за рамки обычного мероприятия для “галочки” (но об этом позже).
Вот такие изменения грядут для государственных информационных систем и, возможно, в перспективе, для иных систем, обрабатывающих государственные информационные ресурсы. Срок вступления обсуждаемых поправок пока не известен - предположу, что стоит отсчитать не более 6 месяцев с момента регистрации документа в Минюсте. И если это произойдет примерно в апреле, то новый 17-й приказ вступит в силу осенью этого года. Хотя в условиях непростой экономической ситуации и правил бюджетирования многих госорганов, я бы на месте ФСТЭК, ввел этот приказ с 1-го января 2017 года.