пятница, 20 сентября 2013 г.

17 приказ ФСТЭК. Часть 1


Первый цикл постов в этом блоге будет посвящён 17 приказу ФСТЭК «Об утверждении Требований по защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах».

Сфера действия 17 Приказа

Требования 17 приказа обязательны при обработке информации ограниченного доступа (в том числе персональных данных) в государственных информационных системах (ГИС) и в муниципальных информационных системах (назовем их МИС).
Определение ГИС и МИС можно найти в статье 13 ФЗ №149 «Об информации, информационных технологиях и о защите информации». ГИС - федеральные информационные системы и региональные информационные системы, созданные на основании соответственно федеральных законов, законов субъектов Российской Федерации, на основании правовых актов государственных органов. МИС - системы, созданные на основании решения органа местного самоуправления.
Кратко скажем о тех счастливчиках, на которых данный приказ не распространяется. Приказ не распространяется на государственные информационные системы Администрации Президента, Совета Безопасности, Федерального Собрания, Правительства РФ, Конституционного, Верховного и Арбитражного судов РФ, а также ФСБ. Кроме того, приказ не распространяется на информационные системы, аттестованные по требованиям защиты информации до его вступления в силу. Эти системы повторной аттестации (оценке эффективности) в связи с изданием приказа не подлежат.

Классы систем

Требования по защите информации зависят от класса защищенности системы. Классов всего четыре: К1, К2, К3, К4. Первый класс (К1) самый высокий, четвертый класс (К4) самый низкий.
Класс системы зависит от двух параметров: 

  • от уровня значимости обрабатываемой информации (УЗ);
  • от масштаба информационной системы.

УЗ складывается из степени возможного ущерба для трех свойств обрабатываемой информации: конфиденциальности, целостности, доступности. Степень ущерба для каждого из свойств может быть высокой, средней и низкой и определяется экспертным путем. Степень ущерба зависит от того, насколько сильные последствия может иметь нарушение свойства информации в социальной, политической, международной, экономической, финансовой или иных областях. Также степень ущерба зависит от того, смогут ли информационная система или оператор (обладатель информации) выполнять возложенные на них функции. Та или иная информация может, например, иметь высокую степень ущерба конфиденциальности, среднюю степень ущерба целостности и низкую степень ущерба доступности.
УЗ = [степень ущерба конфиденциальности; степень ущерба целостности; степень ущерба доступности]
На основании определенных экспертами степеней ущерба методом вычисляется УЗ. Информация имеет высокий уровень значимости (УЗ 1), если хотя бы для одного из свойств безопасности информации (конфиденциальности, целостности, доступности) определена высокая степень ущерба. Информация имеет средний уровень значимости (УЗ 2), если хотя бы для одного из свойств информации определена средняя степень ущерба и нет ни одного свойства, для которого определена высокая степень. Информация имеет низкий уровень значимости (УЗ 3), если для всех свойств безопасности информации определены низкие степени ущерба. Информация имеет минимальный уровень значимости (УЗ 4), если степень ущерба от нарушения свойств безопасности информации не может быть определена, но при этом информация подлежит защите в соответствии с законодательством РФ.
Теперь поговорим о масштабе системы. Масштаб может быть  федеральный, региональный и объектовый. Информационная система имеет федеральный масштаб, если она функционирует на территории РФ (в пределах федерального округа) и имеет сегменты в субъектах РФ, муниципальных образованиях и (или) организациях. Информационная система имеет региональный масштаб, если она функционирует на территории субъекта РФ и имеет сегменты в одном или нескольких муниципальных образованиях и (или) подведомственных и иных организациях. Информационная система имеет объектовый масштаб, если она функционирует на объектах одного федерального органа государственной власти, органа государственной власти субъекта РФ, муниципального образования и (или) организации и не имеет сегментов в территориальных органах, представительствах, филиалах, подведомственных и иных организациях.
После определения уровня значимости и масштаба системы класс вычисляется по следующей таблице:
УЗ информации
Масштаб информационной системы
Федеральный
Региональный
Объектовый
УЗ 1
К1
К1
К1
УЗ 2
К1
К2
К2
УЗ 3
К2
К3
К3
УЗ 4
К3
К3
К4

Меры защиты

В приложении к приказу приведён перечень требуемых мер защиты для систем каждого класса – базовый набор мер. Этот базовый набор мер может быть адаптирован под особенности конкретной системы. Например, если какая-либо технология (скажем, виртуализация) не используется в рамках системы, то соответствующая ей мера защиты из базового набора может быть исключена. В приказе это называется «адаптированным базовым набором мер».
Адаптированный базовый набор уточняется таким образом, чтобы закрыть все угрозы из разработанной модели угроз (ожидается, что по методике разработки модели угроз будет выпущен отдельный документ ФСТЭК). В результате уточнения получается, как вы уже догадались, «уточненный адаптированный базовый набор» мер. На этом этапе можно попытаться заменить меры, которые по какой-либо причине невозможно реализовать, на альтернативные (компенсирующие) меры.
Представленные в приказе меры защиты разбиты на следующие группы:
  • Идентификация и аутентификация субъектов доступа и объектов доступа (ИАФ)
  • Управление доступом (УПД)
  • Ограничение программной среды (ОПС)
  • Регистрация событий безопасности (РСБ)
  • Антивирусная защита (АВЗ)
  • Обнаружение вторжений (СОВ)
  • Контроль (анализ) защищенности информации (АНЗ)
  • Обеспечение целостности информационной системы и информации (ОЦЛ)
  • Обеспечение доступности информации (ОДТ)
  • Защита среды виртуализации (ЗСВ)
  • Защита технических средств (ЗТС)
  • Защита информационной системы, ее средств, систем связи и передачи данных (ЗИС)
  • Выявление инцидентов и реагирование на них (ИНЦ)
  • Управление конфигурацией информационной системы и системы защиты персональных данных (УКФ)
Каждая из перечисленных групп содержит несколько мер защиты. Меры защиты условно обозначаются по имени группы и по порядковому номеру. Например, УПД.1, УПД.2, ОПС.3 и так далее.
В следующих статьях мы подробнее рассмотрим меры защиты и, что более важно, методы, которыми их можно реализовать. 

Продолжение следует. 

Комментариев нет:

Отправить комментарий