Приказ 31

01.08.2020
Комментариев нет

ФЕДЕРАЛЬНАЯ СЛУЖБА ПО ТЕХНИЧЕСКОМУ И ЭКСПОРТНОМУ КОНТРОЛЮ

ПРИКАЗ

от 21 марта 2019 г. N 59

О ВНЕСЕНИИ ИЗМЕНЕНИЙ

В ФОРМУ НАПРАВЛЕНИЯ СВЕДЕНИЙ О РЕЗУЛЬТАТАХ ПРИСВОЕНИЯ

ОБЪЕКТУ КРИТИЧЕСКОЙ ИНФОРМАЦИОННОЙ ИНФРАСТРУКТУРЫ ОДНОЙ

ИЗ КАТЕГОРИЙ ЗНАЧИМОСТИ ЛИБО ОБ ОТСУТСТВИИ НЕОБХОДИМОСТИ

ПРИСВОЕНИЯ ЕМУ ОДНОЙ ИЗ ТАКИХ КАТЕГОРИЙ, УТВЕРЖДЕННУЮ

ПРИКАЗОМ ФЕДЕРАЛЬНОЙ СЛУЖБЫ ПО ТЕХНИЧЕСКОМУ И ЭКСПОРТНОМУ

КОНТРОЛЮ ОТ 22 ДЕКАБРЯ 2017 Г. N 236

В соответствии с пунктом 3 части 3 статьи 6 Федерального закона от 26 июля 2017 г. N 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» (Собрание законодательства Российской Федерации, 2017, N 31, ст. 4736) приказываю:

1. Утвердить прилагаемые изменения, которые вносятся в форму направления сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий, утвержденную приказом Федеральной службы по техническому и экспортному контролю от 22 декабря 2017 г. N 236 (зарегистрирован Министерством юстиции Российской Федерации 13 апреля 2018 г., регистрационный N 50753).

2. Установить, что сведения о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий направляются в ФСТЭК России в бумажном виде с приложением электронных копий в формате файлов электронных таблиц (.ods).

Директор

Федеральной службы по техническому

и экспортному контролю

В.СЕЛИН

Приложение

к приказу ФСТЭК России

от 21 марта 2019 г. N 59

ИЗМЕНЕНИЯ,

КОТОРЫЕ ВНОСЯТСЯ В ФОРМУ НАПРАВЛЕНИЯ СВЕДЕНИЙ

О РЕЗУЛЬТАТАХ ПРИСВОЕНИЯ ОБЪЕКТУ КРИТИЧЕСКОЙ ИНФОРМАЦИОННОЙ

ИНФРАСТРУКТУРЫ ОДНОЙ ИЗ КАТЕГОРИЙ ЗНАЧИМОСТИ

ЛИБО ОБ ОТСУТСТВИИ НЕОБХОДИМОСТИ ПРИСВОЕНИЯ ЕМУ ОДНОЙ

ИЗ ТАКИХ КАТЕГОРИЙ, УТВЕРЖДЕННУЮ ПРИКАЗОМ ФЕДЕРАЛЬНОЙ

СЛУЖБЫ ПО ТЕХНИЧЕСКОМУ И ЭКСПОРТНОМУ КОНТРОЛЮ

ОТ 22 ДЕКАБРЯ 2017 Г. N 236

1. В пункте 1:

1) подпункты 1.1 и 1.2 изложить в следующей редакции:

«

Наименование объекта (наименование информационной системы, автоматизированной системы управления или информационно-телекоммуникационной сети)

Адреса размещения объекта, в том числе адреса обособленных подразделений (филиалов, представительств) субъекта критической информационной инфраструктуры, в которых размещаются сегменты распределенного объекта

«;

2) пункт 1.5 изложить в следующей редакции:

«

Тип объекта (информационная система, автоматизированная система управления, информационно-телекоммуникационная сеть)

«.

2. В пункте 2:

1) подпункт 2.5 изложить в следующей редакции:

«

Структурное подразделение, ответственное за обеспечение безопасности значимых объектов, должность, фамилия, имя, отчество (при наличии) руководителя структурного подразделения, телефон, адрес электронной почты (при наличии) или должность, фамилия, имя, отчество (при наличии) специалиста, ответственного за обеспечение безопасности значимых объектов, телефон, адрес электронной почты (при наличии)

«;

2) дополнить подпунктом 2.6 следующего содержания:

«

ИНН субъекта и КПП его обособленных подразделений (филиалов, представительств), в которых размещаются сегменты распределенного объекта

«.

3. В пункте 3:

1) подпункт 3.2 изложить в следующей редакции:

«

Наименование оператора связи и (или) провайдера хостинга

«;

2) подпункт 3.4 изложить в следующей редакции:

«

Способ взаимодействия с сетью электросвязи с указанием типа доступа к сети электросвязи (проводной, беспроводной), протоколов взаимодействия

«.

4. Пункт 4 дополнить подпунктом 4.4 следующего содержания:

«

ИНН лица, эксплуатирующего объект и КПП его обособленных подразделений (филиалов, представительств), в которых размещаются сегменты распределенного объекта

«.

5. В пункте 5:

1) подпункт 5.1 изложить в следующей редакции:

«

Наименования программно-аппаратных средств (пользовательских компьютеров, серверов, телекоммуникационного оборудования, средств беспроводного доступа, иных средств) и их количество

«;

2) подпункт 5.4 изложить в следующей редакции:

«

Применяемые средства защиты информации (в том числе встроенные в общесистемное, прикладное программное обеспечение) (наименования средств защиты информации, реквизиты сертификатов соответствия, иных документов, содержащих результаты оценки соответствия средств защиты информации или сведения о непроведении такой оценки) или сведения об отсутствии средств защиты информации

«.

6. Подпункт 7.2 пункта 7 признать утратившим силу.

7. В пункте 8:

1) наименование пункта изложить в следующей редакции:

«8. Категория значимости, которая присвоена объекту критической информационной инфраструктуры, или сведения об отсутствии необходимости присвоения одной из категорий значимости, а также сведения о результатах оценки показателей критериев значимости»;

2) подпункты 8.1 и 8.2 изложить в следующей редакции:

«

Категория значимости, которая присвоена объекту либо информация о неприсвоении объекту ни одной из таких категорий

Полученные значения по каждому из рассчитываемых показателей критериев значимости или информация о неприменимости показателя к объекту

«;

3) дополнить подпунктом 8.3 следующего содержания:

«

Обоснование полученных значений по каждому из показателей критериев значимости или обоснование неприменимости показателя к объекту

«.

Предлагаемые услуги

ООО «КРИПТО-ПРО» оказывает услуги по обеспечению в соответствии с требованиями Законодательства защиты конфиденциальной и общедоступной информации, содержащейся в государственных информационных систем (ГИС).

В рамках оказываемых услуг проводятся мероприятия по созданию системы защиты информации (далее – СЗИ), в том числе включающие:

  1. Проведение обследования и классификации ГИС по требованиям защиты информации;
  2. Разработка частной модели актуальных угроз нарушения безопасности информации в ГИС;
  3. Выбор и обоснование организационно-технических мер защиты, необходимых для нейтрализации актуальных угроз нарушения безопасности информации в ГИС;
  4. Разработка технического задания и проектирование СЗИ;
  5. Разработка организационно-распорядительной и исполнительной документации, регламентирующей порядок защиты информации и эксплуатации СЗИ;
  6. Поставка и внедрение сертифицированных технических средств защиты информации;
  7. Инструктаж и обучение персонала в авторизованных учебных центрах;
  8. Оценка соответствия выполнения требований к защите информации в форме аттестации ГИС;
  9. Техническое сопровождение и сервисное обслуживание СЗИ.

При выборе и реализации организационно-технических мер защиты информации специалисты ООО «КРИПТО-ПРО» руководствуются требованиями использования наиболее экономически-эффективных решений в соответствии с индивидуальными особенностями защищаемых ГИС и спецификой деятельности Заказчика.

Применяемые ООО «КРИПТО-ПРО» методы, организационно-технические меры и средства защиты также могут быть эффективно использованы при обеспечении безопасности негосударственных информационных систем, в том числе защиты коммерческой тайны, персональных данных, банковской тайны и пр..

Богатый опыт ООО «КРИПТО-ПРО» комплексного обеспечения безопасности информационных систем различного назначения, в том числе с использованием сертифицированных средств криптографической защиты собственной разработки и широкой номенклатурой партнерских решений, в процессе оказания услуг позволяет решить весь комплекс задач Заказчиков по защите информации и обеспечению юридической значимости электронных документов.

Основные положения законодательства в области защиты информации

На текущий момент в Российской Федерации создана и принята вертикаль (иерархия) руководящих и нормативно-методических документов по обеспечению защиты информации в ГИС.

Необходимость защиты информации, содержащейся в ГИС (далее – Информация), устанавливает Федеральный Закон от 27.07.2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации», который обязывает владельца информации и оператора информационной системы, обеспечить защиту информации от неправомерных доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения и иных неправомерных действий (ст.14 п.9) путем принятия правовых, организационных и технически мер, направленных на соблюдение конфиденциальности информации ограниченного доступа и реализацию права на доступ к общедоступной информации (ст.16).

В соответствии с 149-ФЗ (ст.16) защита информации обеспечивается, в частности:

1) предотвращением несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации;

2) своевременным обнаружением фактов несанкционированного доступа к информации;

3) предупреждением возможности неблагоприятных последствий нарушения порядка доступа к информации;

4) недопущением воздействия на технические средства обработки информации, в результате которого нарушается их функционирование;

5) возможностью незамедлительного восстановления информации, модифицированной или уничтоженной вследствие несанкционированного доступа к ней;

6) постоянным контролем за обеспечением уровня защищенности информации.

Требования о защите Информации в соответствии с 149-ФЗ утверждены Приказом ФСТЭК России от 11 февраля 2013 г. № 17 (далее – Требования) и обязательны для выполнения с 1 сентября 2013 г., в том числе и при обработке информации в муниципальных информационных системах.

Требования предназначены для обладателей информации, заказчиков, заключивших государственный контракт на создание ГИС, операторов ГИС и лиц, осуществляющих обработку информации, являющейся государственным ресурсом.

В соответствии с Требованиями, защита Информации обеспечивается на всех стадиях создания и эксплуатации ГИС путем принятия организационных и технических мер, направленных на блокирование (нейтрализацию) угроз безопасности информации, в рамках системы (подсистемы) защиты информации (СЗИ).

Принимаемые организационные и технические меры должны быть направлены на исключение:

  • неправомерных доступа, копирования, предоставления или распространения информации (обеспечение конфиденциальности информации);
  • неправомерных уничтожения или модифицирования информации (обеспечение целостности информации);
  • неправомерного блокирования информации (обеспечение доступности информации).

Для обеспечения защиты Информации проводятся следующие мероприятия:

  • формирование требований к защите Информации;
  • разработка СЗИ;
  • внедрение СЗИ;
  • аттестация ГИС по требованиям защиты информации (далее – аттестация) и ввод ее в действие;
  • обеспечение защиты информации в ходе эксплуатации аттестованной ГИС;
  • обеспечение защиты информации при выводе из эксплуатации аттестованной ГИС или после принятия решения об окончании обработки информации.

Формирование требований к защите информации включает:

  • принятие решения о необходимости защиты Информации;
  • классификацию ГИС по требованиям защиты информации (далее – классификация);
  • определение актуальных угроз безопасности информации и разработку на их основе модели угроз;
  • определение требований к СЗИ.

Классификация ГИС по четырем установленным класса защищенности проводится в зависимости от значимости обрабатываемой в ней информации и масштаба ГИС (федеральный, региональный, объектовый) в соответствии с таблицей:

Уровень значимости
информации

Масштаб информационной системы

Федеральный

Региональный

Объектовый

УЗ 1

К1

К1

К1

УЗ 2

К1

К2

К2

УЗ 3

К2

К3

К3

УЗ 4

К3

К3

К4

Уровень значимости информации определяется степенью возможного ущерба от нарушения конфиденциальности (неправомерные доступ, копирование, предоставление или распространение), целостности (неправомерные уничтожение или модифицирование) или доступности (неправомерное блокирование) информации.

Актуальные угрозы безопасности информации определяются с учетом структурно-функциональных характеристик ГИС по результатам оценки возможностей нарушителей, анализа возможных уязвимостей, способов реализации угроз и последствий.

Определение актуальных угроз осуществляется в соответствии с Методическими документами ФСТЭК России в составе:

  • Базовая модель угроз;
  • Методика определения актуальных угроз.

Требования к СЗИ определяются в зависимости от класса защищенности ГИС и актуальных угроз безопасности Информации.

При определении требований к СЗИ учитываются положения политик обеспечения ИБ Заказчика, разработанных по ГОСТ Р ИСО/МЭК 27001 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования».

Разработка СЗИ осуществляется в соответствии с ГОСТ и включает:

  • проектирование СЗИ;
  • разработку эксплуатационной документации;
  • макетирование и тестирование СЗИ (при необходимости).

В соответствии с Требованиями обеспечивается, чтобы СЗИ не препятствовала достижению целей создания ГИС и ее функционированию.

Результаты проектирования СЗИ отражаются в проектной документации (эскизном (техническом) проекте и (или) в рабочей документации).

При разработке СЗИ применяются средства защиты информации, прошедшие оценку соответствия в форме обязательной сертификации на соответствие требованиям по безопасности информации.

При отсутствии необходимых сертифицированных средств защиты производится корректировка проектных решений с учетом функциональных возможностей имеющихся.

Внедрение СЗИ осуществляется в соответствии с разработанной документацией и в том числе включает:

  • установку и настройку средств защиты информации;
  • разработку организационно-распорядительных документов, определяющих правила и процедуры обеспечения защиты в ходе эксплуатации ГИС (далее – ОРД);
  • внедрение организационных мер защиты информации;
  • предварительные испытания СЗИ;
  • опытную эксплуатацию СЗИ;
  • анализ уязвимостей ГИС и принятие мер по их устранению;
  • приемочные испытания СЗИ.

Разрабатываемые ОРД определяют следующие правила и процедуры:

  • управления (администрирования) СЗИ;
  • выявления инцидентов, которые могут привести к сбоям или нарушению функционирования информационной системы и (или) к возникновению угроз безопасности информации (далее – инциденты), и реагирования на них;
  • управления конфигурацией аттестованной ГИС и СЗИ;
  • контроля (мониторинга) за обеспечением уровня защищенности информации;
  • защиты информации при выводе из эксплуатации ГИС или после принятия решения об окончании обработки информации.

При внедрении организационных мер защиты информации осуществляются:

  • реализация правил разграничения доступа и введение ограничений на действия пользователей, а также на изменение условий эксплуатации, состава и конфигурации технических средств и программного обеспечения;
  • проверка полноты и детальности описания в ОРД действий пользователей и администраторов ГИС по реализации организационных мер защиты информации;
  • отработка действий должностных лиц и подразделений, ответственных за реализацию мер защиты информации.

Анализ уязвимостей проводится в целях оценки возможности преодоления нарушителем СЗИ и предотвращения реализации угроз безопасности информации.

В случае выявления уязвимостей, приводящих к возникновению дополнительных угроз безопасности информации, проводится уточнение модели угроз и при необходимости принимаются дополнительные меры защиты информации, направленные на устранение выявленных уязвимостей или исключающие возможность использования нарушителем выявленных уязвимостей.

Приемочные испытания СЗИ проводятся с учетом ГОСТ 34.603 и включают проверку выполнения требований утвержденного технического задания.

Аттестация ГИС включает проведение комплекса организационных и технических мероприятий (аттестационных испытаний), в результате которых подтверждается соответствие СЗИ установленным Требованиям безопасности.

По результатам аттестационных испытаний оформляются протоколы, заключение о соответствии и аттестат соответствия в случае положительных результатов.

Допускается аттестация на основе результатов аттестационных испытаний выделенного набора сегментов ГИС, реализующих полную технологию обработки информации.

Ввод в действие ГИС осуществляется при наличии аттестата соответствия.

Обеспечение защиты информации в ходе эксплуатации аттестованной ГИС осуществляется оператором в соответствии с разработанными документами и в том числе включает:

  • управление (администрирование) СЗИ;
  • выявление инцидентов и реагирование на них;
  • управление конфигурацией аттестованной ГИС и ее СЗИ;
  • контроль (мониторинг) за обеспечением уровня защищенности Информации.

Организационные и технические меры, реализуемые в СЗИ, в зависимости от актуальных угроз и используемых ИТ должны обеспечивать:

  • идентификацию и аутентификацию субъектов доступа и объектов доступа;
  • управление доступом субъектов доступа к объектам доступа;
  • ограничение программной среды;
  • защиту машинных носителей информации;
  • регистрацию событий безопасности;
  • антивирусную защиту;
  • обнаружение (предотвращение) вторжений;
  • контроль (анализ) защищенности информации;
  • целостность информационной системы и информации;
  • доступность информации;
  • защиту среды виртуализации;
  • защиту технических средств;
  • защиту информационной системы, ее средств, систем связи и передачи данных.

Состав мер защиты информации и их базовые наборы для соответствующих классов защищенности информационных систем приведены в приложении № 2 к Требованиям (Приказ ФСТЭК № 17).

Выбор мер защиты в рамках СЗИ включает:

  • определение базового набора мер для установленного класса защищенности;
  • адаптацию базового набора мер применительно к характеристикам и особенностям функционирования ГИС;
  • уточнение адаптированного базового набора мер, обеспечивающее блокирование (нейтрализацию) всех актуальных угроз безопасности, включенных в разработанную модель угроз;
  • дополнение уточненного адаптированного базового набора мер, обеспечивающее выполнение иных требований о защите информации, в том числе в области защиты персональных данных.

При невозможности реализации в СЗИ отдельных выбранных мер на этапах адаптации базового набора или уточнения адаптированного базового набора мер защиты могут разрабатываться иные (компенсирующие) меры, обеспечивающие адекватное блокирование (нейтрализацию) актуальных угроз.

В этом случае в ходе разработки СЗИ должно быть проведено обоснование применения компенсирующих мер защиты, а при аттестационных испытаниях оценена достаточность и адекватность данных компенсирующих мер для блокирования (нейтрализации) актуальных угроз безопасности.

При использовании новых ИТ и выявлении дополнительных угроз безопасности, для которых не определены меры защиты, должны разрабатываться компенсирующие меры.

Технические меры защиты информации реализуются посредством применения средств защиты информации, имеющих необходимые функции безопасности.

Использование СКЗИ осуществляется в соответствии с Положением ПКЗ-2005, утвержденным Приказом ФСБ России от 09.02.2005г. №66 и Инструкцией №152, утвержденной Приказом ФАПСИ от 13.06.2001г.

Нарушение требований Законодательства РФ в области защиты информации влечет за собой дисциплинарную, гражданско-правовую, административную или уголовную ответственность.

Цель создания системы защиты информации и решаемые задачи

Целью создания СЗИ является выполнение обязанностей Заказчика по применению правовых, организационных и технических мер обеспечения безопасности информации в соответствии с ФЗ-149 и принятыми в соответствии с ним нормативными правовыми актами.

Для создания СЗИ предлагается решение следующих задач:

  1. Проведение обследования, анализ уязвимости и классификация ГИС;
  2. Разработка частной модели актуальных угроз безопасности Информации;
  3. Выбор и обоснование организационных и технических мер, необходимых для нейтрализации актуальных угроз безопасности с учетом особенностей ГИС;
  4. Разработка организационно-распорядительной документации (ОРД), регламентирующей порядок защиты Информации в соответствии с принятыми организационными мерами.
  5. Разработка технического задания на создание СЗИ;
  6. Проектирование СЗИ в составе следующих решений в зависимости от выбранных технических мер:
    • управления доступом к информационным ресурсам;
    • сетевой безопасности;
    • антивирусной защиты;
    • криптографической защиты информации;
    • анализа уязвимости;
    • мониторинга событий безопасности;
    • защиты виртуальной инфраструктуры;
    • предотвращения утечки данных;
    • защиты мобильных устройств;
    • прочие решения, необходимые для нейтрализации актуальных угроз.
    • Поставка технических решений, внедрение и сервисное обслуживание СЗИ;
    • Анализ уязвимости защищенной ГИС;
    • Инструктаж и обучение персонала на авторизованных курсах в учебном центре;

10. Аттестационные испытания ГИС на соответствие Требованиям безопасности.

При выполнении работ в первую очередь предполагается руководствоваться экономической целесообразностью и эффективностью проводимых мероприятий по защите ГИС.

Результаты создания системы защиты информации

В результате создания СЗИ Заказчик получает следующие отчетные документы:

  1. Отчет о результатах обследования ГИС;
  2. Рекомендации по созданию/совершенствованию СЗИ;
  3. Проект распоряжения о классификации ГИС;
  4. Частная модель актуальных угроз безопасности Информации;
  5. Требования к СЗИ, перечень и обоснование необходимых мер защиты;
  6. Комплект ОРД, в т.ч.:
  1. Политика защиты информации в ГИС;
  2. Положение об организации и ведению работ по защите информации в ГИС;
  3. Регламент защиты информации;
  4. Разделы должностных инструкций персонала ГИС в части защиты информации;
  5. Прочие…
  1. Техническое задание на создание СЗИ;
  2. Комплект проектной и эксплуатационной документации на СЗИ;
  3. Комплект документов, необходимых для получения лицензий на осуществление деятельности по технической защите информации;
  4. Отчет о проведенном анализе уязвимости ГИС;
  5. Протокол приёмосдаточных испытаний СЗИ;
  6. Пакет документации на аттестуемый объект информатизации ГИС;
  7. Программа-методика проведения аттестационных испытаний;
  8. Протоколы проведенных аттестационных испытаний;
  9. Аттестат соответствия ГИС требованиям безопасности информации.
  10. Отчеты о результатах оценки уровня защищенности ГИС в процессе сервисного обслуживания.


На публичное обсуждение выложен проект приказа ФСТЭК России «О внесении изменений в Требования к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды, утвержденные приказом Федеральной службы по техническому и экспортному контролю от 14 марта 2014 г. № 31, и в Требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденные приказом Федеральной службы по техническому и экспортному контролю от 25 декабря 2017 г. № 239»
http://regulation.gov.ru/projects#npa=82028
name=’more’>
1. Изменения в 239 приказ запланированы для исправления ошибок, допущенных при утверждении приказа. В тексте действующего приказа в 16 разделе Мер безопасности указано две меры ДНС.5, но с разным описанием. Предлагается не только восстановить нумерацию мер, но и сделать ДНС.6 базовой для всех классов значимых объектов КИИ. Сейчас они относятся к корректирующим или дополнительным мерам.
2. С 31 приказом изменения намного более радикальнее и критичнее.
Уже в пояснительной записке к проекту приказа честно указано «Проектом приказа в приказ ФСТЭК России от 14 марта 2014 г. № 31 вносятся изменения, направленные на его актуализацию, а также на унификацию мер защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды, с мерами обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации.»

Только унифицировали с ужесточением:
Норма ЗИС.7 «Песочница» сделана базовой для 1 и 2 класса защищенности АСУ, в отличии от 239 приказа, где она дополнительная для всех классов значимых объектов КИИ.
Фактически, ФСТЭК распространила требования по обеспечению безопасности значимых объектов КИИ на АСУ ТП, функционирующих вне сфер деятельности 187-ФЗ. Единственное утешение для владельцев таких АСУ ТП будет только отсутствие риска уголовного преследования по ст.274.1. УК РФ.
Для владельцев АСУ ТП, которые являются объектами КИИ, вообще убрали «проблему выбора». Присвоите вы категорию значимости КИИ или примете решение о «незначимости» — это никак не повлияет на необходимость выполнять меры безопасности от ФСТЭК. Будете 239 приказ выполнять или 31, а наборы мер в них одинаковые..
* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе «ЧаВо по КИИ» на главной странице блога.
** Все новости блога на публичном Telegram-канале t.me/ruporsecurite

В Telegram-чате КИИ 187-ФЗ, конечно, всё ещё задаются вопросы об особенностях Категорирования объектов критической информационной инфраструктуры и даже порой возникают обсуждения по поводу того, какие объекты КИИ бывают и как правильно читать определения из 187-ФЗ, но наряду с этим понемногу начинает формироваться и практический интерес уже непосредственно к системам безопасности объектов КИИ (СБоКИИ).

Как известно, два основных документа, задающие соответствующие требования в этом вопросе — это соответствующие приказы:

  • Приказ ФСТЭК России №235 от 21.12.2017 (ред. 27.03.2019) «Об утверждении Требований к созданию систем безопасности значимых объектов КИИ РФ и обеспечению их функционирования»
  • Приказ ФСТЭК России №239 от 25.12.2017 (ред. 26.03.2019) «Об утверждении Требований по обеспечению безопасности значимых объектов КИИ РФ»

Документы достаточно объёмные и содержательные, но, как справедливо отметил в своём докладе мой коллега Николай Домуховский, чаще всего смотрят на таблицу мер в приложении к Приказу 239, что, конечно, явно недостаточно.

Тем не менее, таблица есть, набор базовых мер для каждой из категорий значимости в ней установлен и пройти мимо неё при создании СБоКИИ не выйдет.

При этом в тексте Приказа ФСТЭК №239 в пункте 5 есть важное уточнение:

5. Для обеспечения безопасности значимых объектов, являющихся информационными системами персональных данных, настоящие Требования применяются с учетом Требований к защите персональных данных при их обработке в информационных системах персональных данных, утвержденных постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119 (Собрание законодательства Российской Федерации, 2012, N 45, ст. 6257).

Для обеспечения безопасности значимых объектов, являющихся государственными информационными системами, настоящие Требования применяются с учетом Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденных приказом ФСТЭК России от 11 февраля 2013 г. N 17 (зарегистрирован Минюстом России 31 мая 2013 г., регистрационный N 28608) (с изменениями, внесенными приказом ФСТЭК России от 15 февраля 2017 г. N 27 «О внесении изменений в Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденные приказом ФСТЭК России от 11 февраля 2013 г. N 17» (зарегистрирован Минюстом России 14 марта 2017 г., регистрационный N 45933).

Кроме того, в Приказ ФСТЭК России №31 от 14.03.2014 «Об утверждении Требований к обеспечению защиты информации в АСУ П и ТП на КВО…» в прошлом году был добавлен абзац:

Обеспечение безопасности автоматизированных систем управления, являющихся значимыми объектами критической информационной инфраструктуры Российской Федерации, осуществляется в соответствии с Требованиями по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденными приказом Федеральной службы по техническому и экспортному контролю от 25 декабря 2017 г. N 239, а также Требованиями к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования, утвержденными приказом Федеральной службы по техническому и экспортному контролю от 21 декабря 2017 г. N 235 (зарегистрирован Минюстом России 22 февраля 2018 г., регистрационный N 50118).

Таким образом, при выполнении проекта по созданию СБоКИИ тесно увязанными между собой становятся Приказы ФСТЭК №17 (для ГИС), №21 (ПДн), №31 (АСУ ТП) и №239 (ЗО КИИ). При этом таблицы с мерами защиты есть в каждом из них:

  • Приказ 17 — Меры защиты информации в информационных системах;
  • Приказ 21 — Содержание мер по обеспечению безопасности персональных данных;
  • Приказ 31 — Меры защиты информации в автоматизированных системах управления;
  • Приказ 239 — Меры обеспечения безопасности значимого объекта.

Стоит ещё отметить, что представители ФСТЭК России в своих выступлениях на публичных мероприятиях неоднократно обращали внимание на то, что при наличии пересекающихся требований к одной и той же ИС (ИТКС, АСУ) необходимо реализовывать каждое из требований (выбирая в итоге максимально жёсткое):

Наложение различных требований друг на друга

Именно по этой причине потратил немного времени и свёл в одну таблицу наборы мер из всех четырёх приказов, сгруппировав их по соответствующим разделам. Пример итогового результата (начальная часть таблицы) на скриншоте ниже:

Меры из приказов ФСТЭК (скриншот первой части таблицы)

Пр этом заодно исправил мелкие опечатки (перепутанные 0 и О, 3 и З, лишние пробелы и проч.) и в очередной раз убедился, что Приказы ФСТЭК нуждаются в гармонизации.

В прошлом году была неплохая попытка привести к единообразию приказы 239 и 31, но даже в них некоторые одинаковые меры называются чуть по-разному, а уж когда рассматриваешь все 4 приказа сразу, то число несовпадений становится ещё больше.

Например, мера с одним и тем же кодом ЗИС.21:

  • в приказе 17 описана как: «Исключение доступа пользователя к информации, возникшей в результате действий предыдущего пользователя через реестры, оперативную память, внешние запоминающие устройства и иные общие для пользователей ресурсы информационной системы»,
  • в приказах 31 и 239 обозначает: «Запрет несанкционированной удаленной активации периферийных устройств»,
  • а в приказе 21 и вовсе отсутствует (раздел заканчивается на ЗИС.20).

Не особо понимаю, зачем так надо было делать.

13 сентября Минюст зарегистрировал приказ ФСТЭК России №106 о внесении изменений в требования о защите информации, содержащейся в государственных информационных системах (ГИС), от 28 мая 2019 года. Документ содержит немало существенных изменений, которые вступят в силу уже 27 сентября 2019 года. Эксперты компании «КСБ-СОФТ» проанализировали основные изменения приказа и подготовили рекомендации для операторов.

Информационные системы на базе ЦОД

В приказ ФСТЭК России №17 внесены несколько дополнений и одно уточнение в отношении ГИС, функционирующих на базе центра обработки данных (ЦОД). В целом данные изменения устанавливают требования к учету угроз, принятых мер в ЦОД и наличию аттестата определенного класса защищенности ЦОД при размещении в нем ГИС, теперь подробнее:

  • Класс защищенности ГИС не должен быть выше класса защищенности ЦОД (дополнение в пункте 14.2).
  • При моделировании угроз ГИС необходимо учитывать угрозы ЦОД (дополнение в пункте 14.3).
  • При создании ГИС необходимо сформировать требования по защите информации в инфраструктуре ЦОД (дополнение в пункте 14.4).
  • При проектировании системы защиты ГИС необходимо учитывать меры защиты информации, принятые в инфраструктуре ЦОД (дополнение в пункте 15.1).
  • Средства защиты информации (СЗИ), устанавливаемые в ГИС, должны быть совместимы между собой, а также с СЗИ, установленными в ЦОД (дополнение в пункте 16.1).
  • ЦОД должен быть аттестован на соответствие требованиям приказа ФСТЭК России № 17 не ниже класса защищенности, установленного для ГИС (уточнение в пункте 17.6).

Аттестация системы защиты

Главное изменение в части аттестации – срок действия аттестата — теперь он выдается на весь срок эксплуатации ГИС. Однако это не освобождает оператора от необходимости поддерживать систему защиты и инфраструктуру ГИС в соответствии с аттестатом, об этом говорится в пункте 17.4. Также остается вопрос по поводу действующего положения по аттестации ФСТЭК России от 25 ноября 1994 года, в котором говорится о том, что аттестат соответствия выдается владельцу объекта не более чем на три года, будем ждать комментариев регулятора по этому поводу.

Кроме того, внесены уточнения в пункты 17.1 и 17.2.

Во втором абзаце пункта 17.1 после «должностными лицами» в скобках добавлено слово «работниками», чтобы еще раз подчеркнуть, что комплекс работ по проектированию и аттестации системы защиты может проводить одна и та же организация, но в этих работах должны быть задействованы разные люди.

Пункт 17.2 был дополнен замечанием о том, что, по решению заказчика (оператора ГИС), аттестационные испытания можно совместить с проведением приемочных испытаний информационной системы. Ранее многие операторы ГИС так и поступали, теперь же регулятор явно формализовал такой подход в тексте документа.

Защита ГИС в ходе эксплуатации

В пункт 18, посвященный обеспечению защиты ГИС в ходе ее эксплуатации, внесены значительные изменения: в перечень процессов по обеспечению защиты информации в ходе эксплуатации ГИС включены планирование мероприятий по защите информации, анализ угроз и обучение персонала.

Так, планирование должно включать (новый пункт 18.1):

  • определение лиц, ответственных за планирование и контроль мероприятий;
  • создание плана мероприятий по защите информации в ИС и его актуализацию;
  • контроль выполнения мероприятий из плана.
  • Обновленный документ предписывает обязательную разработку план мероприятий по информационной безопасности до ввода ГИС в эксплуатацию.
  • В свою очередь, анализ угроз должен включать (новый пункт 18.2):
  • выявление, анализ и устранение уязвимостей;
  • анализ изменений угроз;
  • оценку возможных последствий.

Оператор ГИС должен определить периодичность выполнения указанных работ и отразить эту информацию в своей организационно-распорядительной документации (ОРД).

Пункт 18.3 (ранее 18.1) теперь содержит требование о том, что управление (администрирование) системой защиты информации ГИС должно включать определение ответственных.

В новой редакции документа уточнено, что правила разграничения доступа необходимо непрерывно поддерживать в актуальном состоянии (ранее предписывалось «поддержание правил разграничения доступа»). Данные изменения связаны с общей тенденцией регулятора к периодическому контролю и актуализации организационных и технических мер, а в данном случае – мер по разграничению доступа.

«Корректировку» эксплуатационной документации и ОРД (регламентов, технических паспортов и журналов) заменили на «ведение», что также подразумевает их своевременную актуализацию.

Формулировка «Регистрация и анализ событий безопасности» заменена на «мониторинг и анализ зарегистрированных событий безопасности». Эти изменения связаны с требованиями к оперативному мониторингу событий безопасности и являются шагом в сторону организации центров мониторинга, совместно с новым пунктом 18.5 (ранее 18.2), касающимся процесса реагирования на инциденты.

Содержание пункта 18.4 (ранее 18.3) об управлении конфигурацией и системой защиты ГИС конкретизировано, сюда был добавлен абзац о том, что управление изменениями ГИС и ее системы защиты должно включать процессы гарантийного или технического (в том числе удаленного) обслуживания программных и программно-аппаратных средств. Регулятор данными изменениями формирует требования о том, что оператор ГИС обязан обеспечить надлежащее техническое обслуживание подсистемы защиты ГИС и, в частности, обеспечивать техническую поддержку применяемых в ее составе средств защиты информации.

В пункте 18.7 (ранее 18.4) внесены уточнения о том, что анализ и оценка функционирования системы защиты включают в себя анализ и устранение уязвимостей и иных недостатков, ранее же предусматривались лишь «анализ и устранение недостатков». Таким образом, регулятором дополнительно подчеркивается необходимость периодического анализа уязвимостей (не только при внедрении ГИС!) с использованием bdu.fstec.ru.

Также ФСТЭК России вводит периодичность контроля обеспечения уровня защищенности информации: для ГИС 1 класса защищенности — не реже одного раза в год, для ИС 2 и 3 классов защищенности — не реже одного раза в два года, – и, конечно, эта периодичность должна быть зафиксирована в документации на ГИС.

Появился новый пункт 18.6 об информировании и обучении персонала. Требования к обучению персонала теперь формализованы и установлена их периодичность: не реже 1 раза в 2 года. Персонал необходимо обучать и информировать:

  • о появлении актуальных угроз безопасности информации;
  • о правилах безопасной эксплуатации ГИС;
  • правилам эксплуатации отдельных СЗИ;
  • блокированию угроз безопасности информации и реагированию на инциденты.

Кроме того, теперь осведомленность и уровень знаний персонала по всем вышеуказанным вопросам необходимо контролировать.

Сертифицированные СЗИ и маршрутизаторы

Пункт 26, ранее определявший классы средств защиты, был дополнен требованиями к уровням доверия. Как и классы средств защиты, уровни доверия определяются в соответствии с нормативно-правовыми актами ФСТЭК России. С 1 июня 2020 года вступит в силу пятый абзац пункта о том, что используемые при проектировании ГИС СЗИ должны иметь сертификат ФСТЭК России по оценочному уровню доверия (ОУД).

Согласно новому пункту 26.1, при проектировании ГИС необходимо использовать маршрутизаторы, сертифицированные ФСТЭК России. Возможно, это следует ожидать от регулятора появления документа, определяющего профили защиты для маршрутизаторов.

Рекомендации для оператора ГИС

Что же необходимо сделать операторам ГИС в связи с изменениями приказа ФСТЭК России №17?

Мы рекомендуем следующее:

1. При планировании и выполнении работ по созданию (развертыванию) ГИС необходимо заранее позаботиться о выборе подходящего ЦОД и заблаговременно провести анализ системы защиты ЦОД, иначе обязательная оценка соответствия (аттестация) по требованиям информационной безопасности до ввода ГИС в промышленную эксплуатацию может оказаться невозможной в условия конкретного ЦОД. В частности, необходимо:

  • проверить наличие аттестата соответствия ЦОД требованиям приказа ФСТЭК России №17;
  • убедиться, что класс защищенности ЦОД не ниже класса защищенности ГИС оператора;
  • подробно изучить архитектуру системы защиты информации ЦОД. Акцентировать внимание на совместимости СЗИ в ЦОД и ГИС, принятые в ЦОД организационные и технические меры защиты, специфике угроз безопасности информации ЦОД и их применимость к ГИС.

Результатом взаимодействия с ЦОД должно стать двухстороннее соглашение, которое учитывает условия размещения ГИС в ЦОД и требования по защите информации, которым должен соответствовать ЦОД при размещении в нем ГИС. Так же должно быть зафиксировано распределение обязанностей по защите информации при размещении ГИС в ЦОД и в ходе дальнейшей эксплуатации ГИС.

2. Внимательнее подходить к вопросу обеспечения защиты информации в ходе эксплуатации ГИС. Само по себе получение аттестата соответствия ГИС требованиям по защите информации не означает, что оператор реализовал все мероприятия по информационной безопасности.

Кроме этого обязательно необходимо:

  • планировать последующую модернизацию системы защиты информации ГИС (при ее развитии, модернизации, расширении, обновлении ПО или средств защиты и пр.);
  • периодически проводить необходимые мероприятия для обеспечения безопасности ГИС (моделирование угроз, анализ уязвимостей, обучение пользователей и администраторов и пр.);
  • постоянно осуществлять мониторинг события безопасности, либо самостоятельно, либо с привлечением специализированных организаций. Это важно для оперативного выявления и реагирования на инциденты;
  • решить вопрос последующего технического обслуживания ГИС: либо самостоятельно, либо с привлечением специализированных организаций;
  • запланировать проведение периодического контроля обеспечения уровня защищенности информации в зависимости от класса защищенности ГИС: для ГИС 1 класса защищенности — не реже 1 раза в год, для ГИС 2 и 3 класса защищенности — не реже 1 раза в 2 года;
  • зафиксировать все вышесказанное в документации на ГИС.

Если оператор не продумает вопросы обеспечения защиты информации в ходе эксплуатации ГИС, то это приведет к тому, что в условиях роста актуальных угроз информационной безопасности в России и мире система защиты ГИС перестанет быть достаточно надежной и актуальной в отношении таких угроз. Соответственно, это повлечет за собой наложение штрафных санкций со стороны регуляторов и, что немаловажно, потребует дополнительных затраты на восстановление ГИС при реализации угроз со стороны злоумышленников и иных событий.

Стоит особенно внимательно отнестись к вопросам периодического контроля обеспечения уровня защищенности информации и мониторинга событий информационной безопасности. В случае отсутствия квалифицированного персонала на эти работы мы рекомендуем привлекать специализированные организации.

3. Во всех проектных решениях на систему защиты ГИС, которую планируется аттестовать и(или) ввести в эксплуатацию после 27 сентября 2019 года, необходимо учесть изменения, установленные приказом ФСТЭК России №106.

4. В проектных решениях на систему защиты ГИС, которую планируется аттестовать и ввести в эксплуатацию после 1 июня 2020 года, необходимо учесть, что средства защиты информации должны иметь сертификат ФСТЭК России по требованиям на соответствие ОУД.

Об авторе: Михаил Шипицын, начальник отдела управления проектами ООО «КСБ-СОФТ».

Следите за нашим Телеграм-каналом, чтобы не пропускать самое важное!