среда, 5 июня 2013 г.

Приказ 17 ФСТЭК о защите Госов


Прошло «всего» 3.5 месяца между подписанием Приказа и его регистрацией в Минюсте. Видимо был нарушен тот же кислотно-щелочной баланс организационно-бюрократический механизм регистрации.

Пункт 1 Приказа гласит «Утвердить прилагаемые Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах».

Пункт 3 Общих положений гласит «Настоящие Требования не распространяются на государственные информационные системы Администрации Президента Российской Федерации, Совета Безопасности Российской Федерации, Федерального Собрания Российской Федерации, Правительства Российской Федерации, Конституционного Суда Российской Федерации, Верховного Суда Российской Федерации, Высшего Арбитражного Суда Российской Федерации и Федеральной службы безопасности Российской Федерации».

Для этого перечня ГИС меры защиты идут отдельным, но закрытым блоком?

Далее определяются Класс и Уровень защищенности:

1) Класс защищенности (К) = [уровень значимости информации; масштаб системы].

2) УЗ = [(конфиденциальность, степень ущерба) (целостность, степень ущерба) (доступность, степень ущерба)].

Всё это можно свести к тому, что Класс защищенности это функция от степени ущерба по свойству информации и масштаба системы.
Напомню, что в «классическом» варианте Уровень защищенности это функция от типа ПДн, количества ПДн и типа угроз.
Если сравнивать таблицы с мерами из Приказов 21 и 17, то они несколько отличаются, как составом мер, так и их применимости в зависимости от классов.

16 комментариев:

  1. Имеются ли какие пояснения по поводу взаимодействия данного документа и СТР-К (ведь СТР-К еще не отменен?), не будет ли неразберихи, например, между классами защищенности, которыми оперирует данный приказ и классами защищенности АС от НСД, которыми оперирует СТР-К, или к 1 сентября текущего года все станет ясно? Сразу поясню, что СТР-К приходится пользоваться, так как необходимо обеспечивать безопасность конфиденциальной информации в автоматизированных системах федерального органа исполнительной власти, где, при всем при этом, обрабатываются дополнительно и персональные данные (хорошо, что в данном приказе есть соответствующая ссылка и в сегментах АС, обрабатывающих ПДн, дополнительно руководствуемся еще и 21 приказом ФСТЭК).

    ОтветитьУдалить
  2. Написал про различия в наборе мер http://80na20.blogspot.ru/2013/06/17.html

    ОтветитьУдалить
  3. Давайте все-таки поймем, что СТР-К не проходил регистрацию в минюсте, позиция ФСТЭК, что дескать это технический документ и регистрироваться не должен малоубедительна и поэтому с 1 сентября 2013 основным документам будет именно 17 приказ.
    Касательно ПДн, п.7 требований приказа 21 говорит, что для защиты ПДн в ГИС применяется 17 приказ. п.5 требований приказа 17 говорит, что при наличие ПДн дополнительно применяются требования 1119-ПП, а не 21 приказа. На сколько я понимаю это определение угроз ПДн, уровня защищенности ПДн и принятие мер для соответствующего УЗ в соответствии с 1119-ПП (п. 13-17 требований)

    ОтветитьУдалить
  4. Официальное информационное сообщение ФСТЭК России от 15 июля 2013 года №240/22/2637 дает ясно понять, что при защите государственных информационных ресурсов, необходимо использовать СТР-К в качестве методического документа, при этом 17 приказ никак не отменяет и не заменяет СТР-К. Если я все правильно понял, то применение СТР-К должно осуществляться совместно с требованиями 17 приказа и, разумеется, в части ему не противоречащей?

    ОтветитьУдалить
  5. Да, все так. Мне действительно не очень понятна позиция ФСТЭК, что СТР-К еще должен в чем-то использоваться. Ну не могут они по какой-то причине его вывести. Примерные объяснения:
    1. левая рука (отдел 1) не ведает, что делает правая рука (отдел 2)
    2. Ведомству выгодна неразбериха, т.к. в этом случае можно получать определенные дивиденды.

    ОтветитьУдалить
    Ответы
    1. Если внимательно изучить предмет регулирования приказа 17 и 282 (стр-к)а также их содержание, то станет понятно, почему в настоящее время нецелесообразно прекращать действие СТР-К

      Удалить
    2. Требования и рекомендации СТР-К распространяются на защиту государственных информационных ресурсов некриптографическими методами, направленными на предотвращение утечки защищаемой информации по тех. каналам, от НСД к ней и от специальных воздействий на информацию в целях ее уничтожения, искажения и блокирования.
      Приказ № 17 устанавливает требования к обеспечению защиты информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну, от утечки по тех. каналам, НСД, специального воздействия на такую информацию в целях ее добывания, уничтожения, искажения или блокирования доступа к ней при обработке указанной информации в ГИС.
      Вроде эти слова из обоих документов определяют предмет их регулирования.
      Теперь необходимо найти высокоответственное лицо, которое сможет провести сравнение данных документов по содержанию.

      Удалить
  6. В приказе № 17 нет ни слова про информацию ОГРАНИЧЕННОГО доступа. Просто "информация, содержащаяся в ГИС". СТР-К целиком посвящен защите информации ограниченного доступа. Как-то так...

    ОтветитьУдалить
    Ответы
    1. Если читать не только сам текст приказа, а еще и приложение к нему, да читать его внимательно, то уже во втором пункте приложения глаза читающего (даже невнимательно читающего) натыкаются на слова: "В документе устанавливаются требования к обеспечению защиты информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну..." ;-). Как-то так...

      Удалить
  7. Данный приказ предписывает проведение классификации информационной системы, а кто должен подписывать данный акт, утверждать и имеется ли какая-либо установленная для данного документа форма?

    ОтветитьУдалить
    Ответы
    1. Наверно все также, как раньше по 3-хглавому. Все равно и УЗ и КЗ учитывать приходится для ГОСов. Председатель/руководитель (так и с 27*** коррелируется) + члены комиссии.

      Удалить
    2. О трехглавом приказе с 11 марта 2014 года можно забыть ;-)

      Удалить
  8. Прочитал в ветке про методический характер СТР-К, но как быть с ним теперь, когда ФСТЭК утвердил "Методический документ Меры защиты информации в государственных информационных системах"?

    ОтветитьУдалить
    Ответы
    1. Думаю не трогать СТР-К если только возможно. Например в Модели Угроз оговорить НЕактуальность некоторых угроз, и ненужность использование соответствующих мер защиты.
      Приведу цитату: "СТР-К применяется в качестве методического документа при реализации мер по защите технических средств государственных информационных систем (ЗТС.1), выбранных в соответствии с пунктом 21 и приложением N 2 к Требованиям, утвержденным приказом ФСТЭК России от 11 февраля 2013 г. N 17, в целях нейтрализации угроз безопасности информации, связанных с защитой информации, представленной в виде информативных электрических сигналов и физических полей (защита от утечки по техническим каналам).
      Иные положения СТР-К (раздел 3 "Организация работ по защите конфиденциальной информации", раздел 5 "Требования и рекомендации по защите конфиденциальной информации, обрабатываемой в автоматизированных системах") могут применяться по решению обладателей информации, заказчиков и операторов государственных информационных систем в части, не противоречащей Требованиям, утвержденным приказом ФСТЭК России от 11 февраля 2013 г. N 17."

      Удалить
    2. Скажу больше, что в п. 3.12. данного методического документа есть отсылка к СТР-К: "Защита информации от утечки по техническим каналам должна осуществляться в соответствии со Специальными требованиями и рекомендациями по технической защите конфиденциальной информации (СТР-К), утвержденного приказом Гостехкомиссии России от 30 августа 2002 г. № 282, ..."

      Удалить
  9. Может, конечно, уже поздно, но вдруг кто подскажет. Один из руководящих документов, тогда еще Гостехкомиссии России устанавливал 9 классов защищенности для всех автоматизированных систем. По понятным причинам гостайну не трогаем, поэтому было у нас 4 класса для АС, переваривающих конфиденциальную информацию: 1Г,1Д, 2Б и 3Б. Эти же классы перекочевали и в СТР-К. В 17-ом приказе и в Методическом документе, что разъясняет этот приказ, имеются отсылки к СТР-К. В общем, понятно, что если у тебя ГИС, то пользоваться надо всем арсеналом, упомянутых выше документов. Но дело вот в чем, в 17-ом приказе есть еще одна классификация - классификация информационных систем по требованиям защиты информации (из информационных сообщений ФСТЭК мы помним, что для них сейчас, грубо говоря, АС и ИС - одно и тоже), которая тоже включает четыре класса. И вот тут рождается вопрос: теперь классификация АС (ИС) производится и по СТР-К, и по 17 приказу, то есть на выходе мы будем получать два акта классификации, например, один (по классам защищенности АС от НСД) по 1Г, а другой (по требованиям защиты информации) по К1, или же классификация по 17 приказу отменяет прежний порядок, и в определении классов 1Г, 1Д, 2Б и 3Б теперь нет нужды?

    ОтветитьУдалить