вторник, 26 ноября 2013 г.

Проект документа ФСТЭК по мерам защиты ГИС - первое впечатление



ФСТЭК выпустил любопытный проект документа под названием «МЕРЫ ЗАЩИТЫ ИНФОРМАЦИИ В ГОСУДАРСТВЕННЫХ ИНФОРМАЦИОННЫХ СИСТЕМАХ».
Первое впечатление – ниже.


Сфера действия
Документ описывает методы реализации организационных и технических мер защиты информации, перечисленных в приказе ФСТЭК № 17.
Видимо документ планируется к применению в информационных системах, защищаемых в соответствии с требованиями приказа ФСТЭК № 17.
Для защиты информации (в том числе персональных данных) в прочих информационных системах данный документ также может применяться.
Документ представляет интерес для технических специалистов операторов, а также для системных интеграторов, работающих в гос. секторе.

Меры защиты
Состав мер защиты в проекте документа идентичен составу мер из 17 приказа ФСТЭК.
Для каждой меры приводятся требования к реализации и требования к усилению.
Требования к реализации описывают то, каким образом реализуется мера в целом. Например, для меры ИАФ.1 (Идентификация и аутентификация пользователей, являющихся сотрудниками оператора) приводится описание того, кто именно подразумевается под «сотрудниками» оператора, а также перечисляются возможные способы аутентификации (пароль, аппаратные средства, биометрия, многофакторная аутентификация).
Требования по усилению дополнительно детализируют содержание меры. Например, требование 1а по усилению ИАФ.1, требует использования аутентификации на основе пароля длиной не менее 6 символов, с алфавитом не менее 30 символов и максимальным количеством неуспешных попыток ввода от 3 до 10. Необходимые "усиления" меры зависят от класса защищенности системы. Например, для системы 3 класса защищенности мера ИАФ.1 обязательна и применяется с "усилением" 1б.

Мера защиты информации
Класс защищенности информационной системы
4
3
2
1
ИАФ.1
+
+
+
+
Усиление ИАФ.1
1в, 2, 3, 4
1г, 2, 3, 4, 5





Таким образом, из класса защищенности системы вытекает не только набор мер защиты, но еще и способ реализации каждой меры. 

Не все требования по усилению обязательны. Часть мер, не включенных в таблицу базовых мер, применяется по решению обладателя информации, для повышения уровня защищенности информации, при адаптации, уточнении, дополнении мер защиты, а также при разработке компенсирующих мер.

Дальше, в лес
Лично у меня после первого прочтения возникло несколько вопросов.
Во-первых, для всех классов защищенности кроме 4-го, запрещен удаленный доступ при помощи учетных записей администраторов для администрирования информационной системы и СЗИ (см. п.3 на стр. 36 в УПД.13).
Как удаленно администрировать, например, сетевое оборудование? Как действовать в случае, когда админу из дома необходимо срочно что-либо настроить?

Во-вторых, в требованиях по защите информации при передаче (см. ЗИС.3 на стр. 119) сказано, что «защита информации обеспечивается путем защиты каналов связи от несанкционированного физического доступа (подключения) к ним и (или) применения в соответствии с законодательством Российской Федерации средств криптографической защиты информации».
Хорошо, что обозначена альтернатива использованию криптографии.
Но, к сожалению, не расписаны возможные меры защиты канала от НСД.
Подразумевается исключительно предотвращение физического доступа к каналу, или же допускается возможность обнаружения несанкционированного доступа с последующим прекращением передачи? Лично я надеялся, что вопрос защиты каналов связи будет освящен подробнее.

В-третьих, в требованиях по сегментированию системы (см. ЗИС.17 на стр. 132) сказано, что «сегментирование информационной системы проводится с целью построения многоуровневой (эшелонированной) системы защиты информации путем построения сегментов на различных физических доменах или средах».
Получается, что нужно строить для защищаемых систем физически выделенные сегменты сети на отдельном оборудовании? Трактовка данного требования не очевидна.

Что в итоге
Проект документа ФСТЭК мне определенно нравится, особенно на контрасте с последним проектом приказа ФСБ.
Документ вышел достаточно объемным (165 страниц) и производит сильное впечатление. Требования сформулированы понятном для IT-шника языке. Практически нет двусмысленных трактовок. Документ требует вдумчивого и глубокого анализа со стороны специалистов в различных областях. 

ФСТЭК предлагает заинтересованным лицам рассмотреть проект  документа и направить предложения по нему на адрес электронной почты project@fstec.ru. 
Форма для предложений и замечаний есть в конце информационного сообщения ФСТЭК.

5 комментариев:

  1. Ринат! Ты ошибся по сфере применения.
    1. пр. 17 обязателен для ГИС и гос. ИСПДн, включая муниципальные с поправкой на особености законодательства для них (не здесь, другая тема), если особенностей нет - то обязателден и для муниципальных ИС и ИСПДн.
    2. Меры по пр. 17 одинаковы и для ИС, и для ИСПДн и выбираются по К, для ИС - по уровню значимости инф., по ИСПДн - по уровню защищенности по ПП-1119.
    3. пр. 17 не обязателен для не гос. ИС и ИСПДн.
    4. Обсуждаемый документ есть методичка по пр.17, аналогично как постатейный комментарий к Закону. Про комментарий нельзя говорить (нонсенс), что он обязательный или нет.
    5. Документ представляет интерес для всех - как источник знаний + по 21 пр методички нет (для не гос.).

    Ринат, по всем заданным в обзоре вопросам и зафиксированным неоднозначностям предлагаю воспользоваться - цитирую - ФСТЭК предлагает заинтересованным лицам рассмотреть проект документа и направить предложения по нему на адрес электронной почты project@fstec.ru.

    ОтветитьУдалить
    Ответы
    1. Булат, прости!
      Тока с Ренатом переписывался, так на автопилоте имя подтянулось.

      Удалить
    2. День добрый!
      1. Согласен: про МИС я не упомянул.
      2. Я вроде и не говорил, что они отличаются :)
      3. Такого я вроде бы тоже не говорил :)
      4. Позволю тут не совсем согласиться.
      В документе прописаны вполне конкретные ТРЕБОВАНИЯ. Например для систем 4 класса, есть мера ИАФ.1 и требование по усилению 1а (аутентификация на основе пароля длиной не менее 6 символов, с алфавитом не менее 30 символов и максимальным количеством неуспешных попыток ввода от 3 до 10).
      Подразумевается что это ДОЛЖНО быть реализовано в соответствии с приказом 17. Даже сами формулировки ("ТРЕБОВАНИЯ к реализации" и "ТРЕБОВАНИЯ к усилению") как намекают на обязательный характер исполнения.

      Удалить
  2. Однаааако, рулить гос инфосистемой из дома. Мы говорим о защите информации или удобства задницы админа?

    ОтветитьУдалить
  3. Если говорить о защите госинфосистем, то необходимо еще и РД ФСТЭК России об аттестовании объектов информатизации просмотреть прежде чем приступать к чисто технич. обсуждению проблемы.

    ОтветитьУдалить