Эксперты комментируют текст Приказа № 17

Аватар пользователя Lindt
Автор: Наталья Мутель, Ответственный редактор BISA

В начале прошлой недели ФСТЭК опубликовал итоговую версию Приказа ФСТЭК России № 17 от 11 февраля 2013 г. "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах".

Данный документ, по словам Андрея Прозорова, становится для госорганов России основным в области определения требований к ИБ и заслуживает внимательного изучения.

Тест документа неоднозначный. Вот некоторые из вопросов, которые мы попросили прокомментировать наших экспертов:

  1. Какие системы должны защищаться по данному приказу?
  2. 17 приказ должен был отменить СТР-К, но этого не случилось, почему?
  3. Требования 17 и 21 приказа в отношении ЗПДн совпадают, однако в них есть противоречия. Отсюда вопрос, требованиям какого приказа приоритетнее для госорганов?

Прокомментировать документ мы попросили наших экспертов

Евгений Родыгин, Руководитель направления компании "М-СТАНДАРТ холдинг"

В соответствии с разделом 11 «Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах», утвержденных приказом ФСТЭК России №17 от 12 февраля 2013г: «Для обеспечения защиты информации, содержащейся в информационной системе, применяются средства защиты информации, прошедшие оценку соответствия в форме обязательной сертификации на соответствие требованиям по безопасности информации.

Однако, вопрос сертификации средств защиты информации продолжает оставаться «серой зоной». При проектировании и построении системы защиты информации архитектору системы необходимо изучить конкретные условия и ограничения по эксплуатации сертифицированной продукции указанные в официальной документации на продукцию (а не в маркетинговых проспектах) и учитывать не только функциональные возможности продукции, но и требования, действующих на момент принятия решения нормативных документов.

При использовании в информационных системах сертифицированных по требованиям безопасности информации средств защиты информации необходимо руководствоваться положениями раздела 12 Приказа ФСТЭК России № 21 от 18.02.2013 и Приказом ФСТЭК России №17 от 12.02.2013г. При этом, нужно отметить, что часть требований указанных в 12 разделе руководящих документов ФСТЭК России плохо адаптируются к специализированным средствам защиты, реализующим указанные в приказах 21 и 17 технические меры, за исключением требований к уровню контроля отсутствия недекларированных возможностей. В связи с этим, часть средств защиты продолжает проходить сертификацию на соответствие требованиям технических условий. Как данные требования будут интерпретированы регуляторами и организациями проводящими аттестацию объектов информатизации пока не ясно.

К сожалению, большинство вопросов, связанных с применением сертифицированных средств защиты возложены на плечи потребителей и архитекторов системы защиты информации целевых систем.

Сергей Борисов, ведущий специалист ИБ компании «Микротест»

Несомненным достоинством документа является его свежесть. Старый СТР-К уже порядком устарел и не учитывал меры защиты, появившиеся после 2002 года, такие как DLP, IPS, WAF, NGFW, web-фильтрацию, защиту от DDoS, виртуализацию, мобильный доступ, облачную обработку данных, централизованное управление событиями, инцидентами и средствами защиты.

В целом новый документ более соответствует международным и российским стандартам. Добавили явную зависимость мер от модели угроз и модели нарушителя. В СТР-К была зависимость только от соотношения затрат и возможного ущерба.

Из минусов отмечу, что не определен термин “средство защиты информации” и интуитивно не ясно, относится ли конкретная техническая мера защиты информации к СЗИ или нет. Это те грабли, на которые мы будем наступать постоянно, и копий сломано будет большое количество.

Документ обязателен для всех госов, но только для защиты официально созданных или создаваемых информационных систем (за исключением систем, приведенных в пункте 3 приказа). То, что не входит в информационную систему, не попадает в область обязательной защиты.

Но для остальных узлов и процессов документ может рассматриваться как рекомендации в виде “лучших практик”.

По поводу того, что 17 приказ отменит СТР-К говорили некоторые эксперты. Видимо они обладают не всей полнотой информации.

Область защиты старого документа, СТР-К несколько больше – определены меры по защите речевой информации. Видимо регулятор посчитал необходимым оставить документ из-за этого раздела.

В целом противоречия нет, так как СТР-К не опубликован и не зарегистрирован, поэтому может использоваться как рекомендации, в отличие от приказа 17, который носит обязательный характер.

Требования 17 и 21 приказа в отношении ЗПДн совпадают, но не полностью. В рамках экспертного анализа проекта документа я делал предложение прописать в явном виде, какой из документов будет приоритетным. На что получил ответ ФСТЭК о том, что противоречий в документах 17 и 21 не будет, и выполнять надо полностью оба документа.

Алексей Лукацкий, бизнес-консультант по безопасности компании Cisco

К сожалению, четкого ответа на вопрос, какие системы должны защищаться по данному приказу, нет. Существуют разные позиции. Одни ссылаются на то, что государственной информационной системой является только та, которая создана на основании федерального закона, закона субъекта РФ или правового акта госоргана. Под это определение не попадает, например, информационная система бухгалтерии или отдела кадров госоргана, а именно там обрабатываются персональные данные госслужащих. Получается, что госорган в такой трактовке должен следовать 21-му приказу ФСТЭК. Другие эксперты считают, что все, что делается в госорганах, делается в силу закона; иная деятельность по определению незаконна. При такой позиции информационная система бухгалтерии или отдела кадров подпадает под действие 17-го приказа ФСТЭК.

По поводу отмены СТР-К: отменить СТР-К никто не планировал, т.к. множество автоматизированных систем, созданных по СТР-К, до сих пор функционируют и продолжают «жить» по старым правилам, утвержденным в СТР-К. А вот на новые системы СТР-К уже не распространяется.

По поводу приоритетности требования 17 и 21 приказа: если начинать искать разночтения в понимании термина «государственная информационная система», то на госорган сваливается сразу два приказа – 17-й и 21-й. Однако по используемым мерам они практически идентичны и отличаются только в концептуальных вопросах – сертификация средств защиты, оценка эффективности в форме аттестации, принцип экономической целесообразности, процедура исключения защитных мер из перечня базовых. Но в каждом из этих случаев больших выгод ухода от 17-го приказа к 21-му нет. Сертифицированные средства защиты в госорганах должны быть не только по 17-му приказу, но и по множеству других нормативных актов, вплоть до требований федерального законодательства. Следование принципу экономической целесообразности не сильно облегчает финансовое бремя – число систем, непопадающих под определение ГИС, невелико. Возможность исключить какие-то меры из базового набора могло бы помочь, если бы информационные системы госоргана, обрабатывающие разные виды информации ограниченного доступа, были физически изолированы друг от друга и между собой бы не пересекались. Но на практике это не так. Вот и получается, что госоргану, даже несмотря на наличие некоторых коллизий, лучше выполнять требования одного, 17-го приказа ФСТЭК.

 

Дополнительные материалы по теме

Оцените материал:
Total votes: 368
 
Комментарии в Facebook
 

Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.