Если вам есть, что сказать сообществу профессионалов ИБ и ИТ – заведите здесь свой блог

12 документов, которые надо знать изучая Приказ ФСТЭК №17

Аватар пользователя prozorov
Автор: Прозоров Андрей, Независимый эксперт и блоггер
(4)
()
Приказ ФСТЭК №17 не слишком прост для понимания и анализа. Крайне рекомендую параллельно ему еще посмотреть все документы, на которые он ссылается. А именно:
  1. Федеральный закон от 27 июля 2006 года № 149-ФЗ "Об информации, информационных технологиях и о защите информации"
  2. Федеральный закон от 4 мая 2011 года № 99-ФЗ "О лицензировании отдельных видов деятельности"
  3. Федеральный закон от 27 декабря 2002 года № 184-ФЗ "О техническом регулировании"
  4. Постановление Правительства РФ от 01.11.2012 года №1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных"
  5. Указ Президента РФ от 16 августа 2004 года № 1085 "Вопросы Федеральной службы по техническому и экспортному контролю"
  6. ГОСТ Р 51583-2000 "Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения"
  7. ГОСТ Р 51624-2000 "Защита информации. Автоматизированные системы в защищенном исполнении. Общие положения" (кстати, в приказе его почему-то назвали "...Общие требования")
  8. ГОСТ 34.201-89 "Информационная технология. Комплекс стандартов на автоматизированные системы. Виды, комплектность и обозначение документов при создании автоматизированных систем"
  9. ГОСТ 34.601-90 "Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Стадии создания."
  10. ГОСТ 34.602-89 "Информационная технология. Комплекс стандартов на автоматизированные системы. Техническое задание на создание автоматизированной системы"
  11. ГОСТ 34.603-92 "Информационная технология. Виды испытаний автоматизированных систем" 
  12. ГОСТ Р ИСО/МЭК 27001-2006 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования"

Что интересно, раньше в своих документах ФСТЭК России столько ссылок на другие на давал. А они могут быть крайне полезны... 


P.S. Если указал не актуальный год для стандартов (в приказе №17 их вообще почему-то нет), то пожалуйста поправьте меня. Может они были пересмотрены в последнее время, и я об этом не знаю. Хотя вряд ли.
 
Комментарии в Facebook
 

Комментарии на сайте

Аватар пользователя Евгений Набока

Андрей, подскажите пожалуйста, как Вы видите действия органа местного самоуправления по созданию системы защиты информации, если в локальную вычислительную сеть объеденены все органы местного самоуправления (отдельные юрлица, но в то же время стуктурные подразделения администрации- комитет образования, комитет соцзащиты и т.д). В сети имеется некоторое кол-во ИСПДн класа К3 (потенциально), но одна К2 (бухгалтерии юрлиц и пара баз данных). Кроме того по сети "гуляют" внутренние документы, среди которых может "промелькнуть" конфиденциальная информация (разные списки...проекты документов..котировочные заявки, поданные в электронной форме - непостоянная информация, которую трудно классифицировать). Есть рабочие места для работы с ГИС "Электроные услуги и межвед нашей области". (жду требований в отношении этих АРМов, но трудность в том что они не "выделенные" отдельно для работы с ГИС-система защиты не должна создавать сложностей в их использовании в текущей работе). Должен ли я в соответствии с 17 приказом ФСТЭК формировать требования и привлекать лицензиата для проектирования-внедрения аттестации в отношении всей ЛВС? Либо в отношении отдельных ИСПДн (БД)? Либо всё перечисленное не является муниципальной(ными) ИС? И действует только 21 приказ?...Что такое "служебная тайна" (является ли информация ограниченног доступа служебной тайной)? Распространяется ли 17 приказ на официальный сайт органа местного самоуправления? Если да, то нужен защищённый хостинг помимо прочего? Или перенос сайта  на свой сервер и внедрение системы защиты на веб-сервер и сайт? ...ещё нюанс: ИТ подразделение на всю сеть одно (одна серверная и сервер БД) - у юрлиц (структурных подразделений) нет своего ИТ персонала и нет возможности не брать во внимание централизованную инфраструктуру....Выход в Интернет один на всех.

up
40 users have voted.
Аватар пользователя prozorov

Добрый день, Евгений.
У Вас много вопросов, и не на все из них можно ответить без дополнительной информации. 
Если говорить в общем, то да, на Приказ 17 Вам необходимо ориентироваться, в т.ч. и на пункты об аттестации ИС. Тут необходимо подойти довольно тщательно и четко прописать границы Гос.ИС и прочих ИС организации.
С защитой веб-серверов сейчас довольно плохо обстоят дела, регуляторы не знают как их защащать и сами не выполняют большинство обязательных мер. Но я рекомендую Вам обеспечить хотябы минимум... Кстати, если юр.лицо, ответственное за сайт будет другое, Вам будет проще. По факту обеспечение ИБ теперь будет возложено на него...

Да, служебная тайна является информацией ограниченного доступа. См. Указ Президента РФ №188 и 149-ФЗ. 
 

up
36 users have voted.
Аватар пользователя Евгений Набока

В том и проблема что по 149-фз требования к ГИС распространяются на МИС, а что в нашем случае является МИС трудно определить (вся ЛВС, маленькие БД с зарплатами мун. служащих, средние БД с данными жителей всего муниципального района или ничто из перечисленного не подпадает под термин МИС?). Есть ещё один волнующий асперкт: 17-й приказ мы применять вроде вправе по своему решению и он хорош для муниципального заказчика, работающнго по 94-фз и в будущем по ФКС (44-фз). Хорош тем что чётко описывает что формирует требования именно заказчик (оператор). Также хорошо расписаны этапы создания системы защиты и содержание каждого этапа по объемам работ. Если не применять 17 приказ, то не совсем понятно как разместить заказ и принять работы ( в часности чтобы не ограничить конкуренцию и на аукцион мог придти любой из лицензиатов). По ГОСТам? Ране складывалось такое впечатление что лицензиат ФСТЭК ФСБ сам определяет себе объём работ и см у себя принимает работы, вдавая "бумажку за деньги" ибо заказчики не являются экспертами в области ИБ. Кстати по ФКС с 2014 года принимать работы будут уже эксперты а не заказчик. А почему система защиты создаётся не для всей ЛВС? Ведь в философии майкрософт сисадмин обеспечивает безопасность сети. И по 17 приказу эксплуатиует систему звщиты не лицензиат, а оператор. И есть же чудесный ГОСТ Р ИСО\МЭК 27033-1-2011... я бы строил систему защиты сетей органов власти а не отдельных ИС. Ибо сильно интегрированы..Наличие соединения региональным центром это актуальная угроза? :)

up
37 users have voted.
Аватар пользователя Евгений Набока

Андрей, а 17-й приказ "можно" применять для защиты информации официального сайта органа местного самоуправления от блокирования, подмены информации и т.д. или "нужно" по букве закона? Спвсибо.

up
41 user has voted.
Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.