Если вам есть, что сказать сообществу профессионалов ИБ и ИТ – заведите здесь свой блог

Приказ 17: На что обратить внимание? Часть 2. Меры защиты.

Аватар пользователя prozorov
Автор: Прозоров Андрей, Независимый эксперт и блоггер
(0)
()
Продолжаем изучать Приказ ФСТЭК России № 17 от 11 февраля 2013г. "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах". В прошлой записи мы говорили про область действия документа, необходимость использования сертифицированных средств защиты, аттестацию, аутсорсинг и особенности защиты ПДн. Сегодня поговорим про набор мер защиты.

Итак, при анализе документа обратите внимание на следующее:

8. Набор мер защиты

В Приказе указаны меры по защите информации, которые должны быть реализованы. Причем их придется "высматривать" по тексту, единого перечня нет. Так, помимо таблицы с базовыми мерами из Приложения 2 и их краткого описания в п.20 документа, нам стоит ориентироваться на следующие пункты:

  • п.9 - 1 мера: "назначение ответственного за защиту информации"
  • п.16.2  - требования к содержанию организационно-распорядительной документации 
  • п.16.3 - организационные меры защиты
  • п.16.6 - анализ уязвимостей
  • п.18 - набор требований по защите информации в ходе эксплуатации ИС
  • п.19 - набор требований по защите информации при выводе ИС из эксплуатации

Если углубимся в их изучение, то сможем заметить, что некоторые меры дублируют друг друга, хотя и описаны по разному. Да и смысловая группировка мер не самая удобная, для себя я сделал такой "маппинг":
  • Назначение ответственного за защиту информации - п.9
  • Управление (администрирование) системой защиты - п.16.2(1), 18.1(2, 4), 18.1(7)
  • Управление документацией - 16.3(2), 18.1(7), 18.4(5)
  • Тренинги и повышение осведомленности - п.16.3(3), 18.1(6)
  • Аудит ИБ (контроль (мониторинг) за обеспечением уровня защищенности) - п.16.2, 16.3(2), 18.4(3)
  • Анализ и совершенствование системы защиты - 18.4(3,4,6)
  • Регистрация и анализ событий, управление инцидентами - п.16.2(2), 18.1(5), 18.2, 18.4(1) +см.меры группы ЗНИ
  • Управление конфигурацией ИС - п.16.2. 16.3(1), 18.3
  • Управление уязвимостями (включая обновление ПО) - п.16.6, 18.1(3), 18.4(2),  +см.меры группы АНЗ
  • Управление доступом - п.16.3(1), 18.1(1) +см.меры группы УПД и ИАФ
  • Архивирование информации при выводе ИС из эксплуатации - п.16.2. п.19.1
  • Гарантированное уничтожение информации с носителей при выводе ИС из эксплуатации, при передаче средств обработки в ремонт или на техническое обслуживание - п.16.2, п.19.2, +см.меры группы ЗНИ
Обратите внимание! Такие требования в Приказе 21 отсутствуют. 

Это по текстовой части. Помимо этого, есть еще набор мер из п.20 и их детализированный перечень в Приложении 2. Приведу перечень групп:
  • Идентификация и аутентификация субъектов доступа и объектов доступа (ИАФ)
  • Управление доступом субъектов доступа к объектам доступа (УПД)
  • Ограничение программной среды (ОПС)
  • Защита машинных носителей информации (ЗНИ)
  • Регистрация событий безопасности (РСБ)
  • Антивирусная защита (АВЗ)
  • Обнаружение вторжений (СОВ)
  • Контроль (анализ) защищенности информации (АНЗ)
  • Обеспечение целостности информационной системы и информации (ОЦЛ)
  • Обеспечение доступности информации (ОДТ)
  • Защита среды виртуализации (ЗСВ)
  • Защита технических средств (ЗТС)
  • Защита информационной системы, ее средств и систем связи и передачи данных (ЗИС)
Обратите внимание! Набор мер из Приложения 2 Приказа 17 немного отличается от аналогичного в Приказе 21. Про это я уже писал тут: http://80na20.blogspot.ru/2013/06/17.html .


Итого: Мер по защите информации в Приказе 17 довольно много. При построении системы защиты следует учитывать и таблицы из Приложения 2 и меры из текстовой части.

Чуть позже я расскажу про процедуру выбора мер и, как уже стало привычно, сравню ее с аналогичной в Приказе 21.

 
Комментарии в Facebook
 

Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.