Документы по 17 приказу фстэк

Создание СЗИ ИС в соответствии с требованиями Приказа ФСТЭК России от 11.02.2013 г. № 17

Построение системы защиты информации информационной системы (СЗИ ИС) основывается на предпосылке, что невозможно обеспечить требуемую безопасность информационных ресурсов (класс защищенности ИС, обрабатывающей государственные и муниципальные информационные ресурсы) не только с помощью одного отдельного средства защиты информации (или мероприятия по защите информации), но и с помощью их простой совокупности.

При построении СЗИ требуется системное согласование средств и способов защиты информации и создание единой системы управления ими. СЗИ ИС направлено на достижение требуемого уровня доверия:

• к окружению ИС;
• к субъектам отношений;
• к правилам и процедурам;
• к аппаратной и программной платформе ИС;
• к каналам передачи информации.

Создание СЗИ невозможно без выполнения работ по:

• обследованию защищенности ИС, обрабатывающих государственные и муниципальные информационные ресурсы,
• разработке Модели угроз Модели нарушителей для ИС, обрабатывающих государственные и муниципальные информационные ресурсы,
• выбору класса защищенности ИС, обрабатывающих государственные и муниципальные информационные ресурсы,
• выбору мер защиты информации по Приказу ФСТЭК России № 17.

По результатам перечисленных работ (реализованных либо НТЦ «Вулкан», либо другими подрядчиками) НТЦ «Вулкан» выполняет в интересах заказчика комплекс работ по созданию СЗИ ИС, обрабатывающих государственные и муниципальные информационные ресурсы, в соответствии с требованиями Приказа ФСТЭК России от 11.02.2013 г. № 17.

Состав работ

• Разработка системы защиты информации ИС, осуществляемая в соответствии с техническим заданием:
  • Техническое проектирование системы защиты информации ИС, обрабатывающих государственные и муниципальные информационные ресурсы (разработку проектной документации).
  • Разработку эксплуатационной документации на систему защиты информации ИС, обрабатывающих государственные и муниципальные информационные ресурсы.
  • Макетирование и тестирование системы защиты информации ИС, обрабатывающих государственные и муниципальные информационные ресурсы (при необходимости).
• Внедрение СЗИ ИС, обрабатывающих государственные и муниципальные информационные ресурсы, в соответствии с разработанной проектной и эксплуатационной документацией:
  • установка и настройка средств защиты информации;
  • внедрение организационных мер защиты информации;
  • предварительные испытания системы защиты информации ИС, обрабатывающих государственные и муниципальные информационные ресурсы;
  • опытная эксплуатация системы защиты информации ИС, обрабатывающих государственные и муниципальные информационные ресурсы;
  • анализ уязвимостей информационной системы и принятие мер по их устранению;
  • приемочные испытания системы защиты информации ИС, обрабатывающих государственные и муниципальные информационные ресурсы.
  • разработка документов, определяющих правила и процедуры, реализуемые для обеспечения безопасности информации.

Создание СЗИ ИС предусматривает принятие организационно-правовых мер, предусматривающих назначение лиц, ответственных за обеспечение защиты информации, а также разработку и утверждение оператором ИС, обрабатывающих государственные и муниципальные информационные ресурсы, документа, определяющего политику обеспечения безопасности информации. НТЦ «Вулкан» разрабатывает организационно-распорядительные документы по обеспечению безопасности информации, определяющие следующие правила и процедуры:

• Обеспечение безопасности информации на объекте заказчика.
• Управление (администрирование) системой защиты информации ИС, обрабатывающих государственные и муниципальные информационные ресурсы.
• Выявление инцидентов, которые могут привести к сбоям или нарушению функционирования ИС или к возникновению угроз безопасности информации.
• Реагирование на инциденты.
• Управление конфигурацией ИС, обрабатывающей государственные и муниципальные информационные ресурсы, и системы защиты информации ИС.
• Контроль (мониторинг) за обеспечением уровня защищенности информации, содержащейся в ИС, обрабатывающих государственные и муниципальные информационные ресурсы.
• Защита информации при выводе из эксплуатации ИС, обрабатывающих государственные и муниципальные информационные ресурсы, или после принятия решения об окончании обработки информации.
• Архивирование информации, содержащейся в ИС, обрабатывающих государственные и муниципальные информационные ресурсы.
• Уничтожение (стирание) данных и остаточной информации с машинных носителей информации.

Преимущества

При разработке системы защиты информации ИС, обрабатывающих государственные и муниципальные информационные ресурсы, учитывается ее информационное взаимодействие с иными ИС и информационно-телекоммуникационными сетями.

Внедрение СЗИ ИС позволит повысить обеспечить заданный класс защищенности ИС путем концентрации усилий соответствующих должностных лиц, а также повышения их персональной ответственности за обеспечение защиты информации.

Источник: https://www.ntc-vulkan.ru/services/uslugi-po-zashchite-gosudarstvennykh-informatsionnykh-sistem/sozdanie-szi-is-v-sootvetstvii-s-trebovaniyami-prikaza-fstek-rossii-ot-11-02-2013-g-17/

17 приказ ФСТЭК. Часть 1

Первый цикл постов в этом блоге будет посвящён 17 приказу ФСТЭК «Об утверждении Требований по защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах».

Сфера действия 17 Приказа

Требования 17 приказа обязательны при обработке информации ограниченного доступа (в том числе персональных данных) в государственных информационных системах (ГИС) и в муниципальных информационных системах (назовем их МИС).

Определение ГИС и МИС можно найти в статье 13 ФЗ №149 «Об информации, информационных технологиях и о защите информации».

ГИС – федеральные информационные системы и региональные информационные системы, созданные на основании соответственно федеральных законов, законов субъектов Российской Федерации, на основании правовых актов государственных органов. МИС – системы, созданные на основании решения органа местного самоуправления.

Кратко скажем о тех счастливчиках, на которых данный приказ не распространяется.

Приказ не распространяется на государственные информационные системы Администрации Президента, Совета Безопасности, Федерального Собрания, Правительства РФ, Конституционного, Верховного и Арбитражного судов РФ, а также ФСБ.

Кроме того, приказ не распространяется на информационные системы, аттестованные по требованиям защиты информации до его вступления в силу. Эти системы повторной аттестации (оценке эффективности) в связи с изданием приказа не подлежат.

Классы систем

Требования по защите информации зависят от класса защищенности системы. Классов всего четыре: К1, К2, К3, К4. Первый класс (К1) самый высокий, четвертый класс (К4) самый низкий.

Класс системы зависит от двух параметров: 

• от уровня значимости обрабатываемой информации (УЗ);
• от масштаба информационной системы.

УЗ складывается из степени возможного ущерба для трех свойств обрабатываемой информации: конфиденциальности, целостности, доступности. Степень ущерба для каждого из свойств может быть высокой, средней и низкой и определяется экспертным путем.

Степень ущерба зависит от того, насколько сильные последствия может иметь нарушение свойства информации в социальной, политической, международной, экономической, финансовой или иных областях. Также степень ущерба зависит от того, смогут ли информационная система или оператор (обладатель информации) выполнять возложенные на них функции.

Та или иная информация может, например, иметь высокую степень ущерба конфиденциальности, среднюю степень ущерба целостности и низкую степень ущерба доступности.

На основании определенных экспертами степеней ущерба методом вычисляется УЗ. Информация имеет высокий уровень значимости (УЗ 1), если хотя бы для одного из свойств безопасности информации (конфиденциальности, целостности, доступности) определена высокая степень ущерба.

Информация имеет средний уровень значимости (УЗ 2), если хотя бы для одного из свойств информации определена средняя степень ущерба и нет ни одного свойства, для которого определена высокая степень.

Информация имеет низкий уровень значимости (УЗ 3), если для всех свойств безопасности информации определены низкие степени ущерба.

Информация имеет минимальный уровень значимости (УЗ 4), если степень ущерба от нарушения свойств безопасности информации не может быть определена, но при этом информация подлежит защите в соответствии с законодательством РФ.

Теперь поговорим о масштабе системы. Масштаб может быть  федеральный, региональный и объектовый.

Информационная система имеет федеральный масштаб, если она функционирует на территории РФ (в пределах федерального округа) и имеет сегменты в субъектах РФ, муниципальных образованиях и (или) организациях.

Информационная система имеет региональный масштаб, если она функционирует на территории субъекта РФ и имеет сегменты в одном или нескольких муниципальных образованиях и (или) подведомственных и иных организациях.

Информационная система имеет объектовый масштаб, если она функционирует на объектах одного федерального органа государственной власти, органа государственной власти субъекта РФ, муниципального образования и (или) организации и не имеет сегментов в территориальных органах, представительствах, филиалах, подведомственных и иных организациях.

После определения уровня значимости и масштаба системы класс вычисляется по следующей таблице:

Меры защиты

В приложении к приказу приведён перечень требуемых мер защиты для систем каждого класса – базовый набор мер. Этот базовый набор мер может быть адаптирован под особенности конкретной системы.

Например, если какая-либо технология (скажем, виртуализация) не используется в рамках системы, то соответствующая ей мера защиты из базового набора может быть исключена.

В приказе это называется «адаптированным базовым набором мер».

Адаптированный базовый набор уточняется таким образом, чтобы закрыть все угрозы из разработанной модели угроз (ожидается, что по методике разработки модели угроз будет выпущен отдельный документ ФСТЭК).

В результате уточнения получается, как вы уже догадались, «уточненный адаптированный базовый набор» мер.

На этом этапе можно попытаться заменить меры, которые по какой-либо причине невозможно реализовать, на альтернативные (компенсирующие) меры.

Представленные в приказе меры защиты разбиты на следующие группы:

• Идентификация и аутентификация субъектов доступа и объектов доступа (ИАФ)
• Управление доступом (УПД)
• Ограничение программной среды (ОПС)
• Регистрация событий безопасности (РСБ)
• Антивирусная защита (АВЗ)
• Обнаружение вторжений (СОВ)
• Контроль (анализ) защищенности информации (АНЗ)
• Обеспечение целостности информационной системы и информации (ОЦЛ)
• Обеспечение доступности информации (ОДТ)
• Защита среды виртуализации (ЗСВ)
• Защита технических средств (ЗТС)
• Защита информационной системы, ее средств, систем связи и передачи данных (ЗИС)
• Выявление инцидентов и реагирование на них (ИНЦ)
• Управление конфигурацией информационной системы и системы защиты персональных данных (УКФ)

Каждая из перечисленных групп содержит несколько мер защиты. Меры защиты условно обозначаются по имени группы и по порядковому номеру. Например, УПД.1, УПД.2, ОПС.3 и так далее.

В следующих статьях мы подробнее рассмотрим меры защиты и, что более важно, методы, которыми их можно реализовать. Продолжение следует. 

Источник: https://club.cnews.ru/blogs/entry/import_17_prikaz_fstek_chast_1_9809

Аттестация ГИС по 17 приказу ФСТЭК в ООО

Приказ ФСТЭК № 17 вступил в силу 11.02.

2013 и предъявляет требования по аттестации (оценке соответствия) государственных информационных систем (ГИС), в частности от утечки по техническим каналам, несанкционированного доступа, специальных воздействий на такую информацию (носители информации) в целях ее добывания, уничтожения, искажения или блокирования доступа к ней. Также приказ устанавливает порядок классификации ГИС и предъявляет требование использовать только сертифицированные средства защиты информации при защите ГИС.

Как аттестовать ГИС?

На первый взгляд все просто: нужно открыть сам приказ, определить по приказу класс защищенности ГИС и реализовать меры, установленные для того или иного класса защищенности ГИС.

На самом деле все гораздо сложнее: нужно еще расшифровать трактовки требований к мерам защиты и понять саму методологию (порядок) защиты ГИС, чтобы сделать все правильно.

Далее мы раскроем секреты проведения работ «от и до».

Работы по защите и аттестации ГИС проводятся в следующем порядке:

1. Обследование и формирование требований;
2. Проектирование системы защиты информации;
3. Внедрение системы защиты информации;
4. Аттестация ГИС.

На каждом этапе должны быть оформлены определенные отчетные документы, которые разрабатываются с учетом ГОСТ 34.602, ГОСТ Р 51583 и ГОСТ Р 51624.

Первый этап
На первом этапе проводятся следующие работы:

Второй этап

На втором этапе проводятся следующие работы:

Третий этап

Третий этап включает следующие работы:

Четвертый этап

На четвертом этапе проводятся работы по аттестации ГИС, включающие:

Результаты анализа уязвимостей и испытаний на возможность несанкционированного доступа могут быть оформлены как отдельными протоколами, так и объединены в один.
Работы по аттестации могут проводить только лицензиаты ФСТЭК «на техническую защиту конфиденциальной информации» с пунктами в лицензии «а», «г».

Точную стоимость аттестации вашей ГИС вы можете свободно узнать по телефону:
8(800)-550-44-71

ЗАКАЗАТЬ ЗВОНОК

Как классифицировать ГИС?

Класс защищенности информационной системы (первый класс (К1), второй класс (К2), третий класс (К3)) определяется в зависимости от уровня значимости информации (УЗ), обрабатываемой в этой информационной системе, и масштаба информационной системы (федеральный, региональный, объектовый).

Определение класса защищенности ГИС осуществляется в соответствии с приложением 1 к 17 приказу ФСТЭК и проводится в следующем порядке:

1. Сначала нужно определить уровень значимости обрабатываемой в ГИС информации. Уровень значимости определяется оператором самостоятельно на основе того, какой ущерб может быть причинён обладателю информации: низкий, средний, высокий.
2. Затем нужно определить масштаб ГИС: федеральный, региональный или объектовый. При федеральном и региональном масштабе ГИС должна иметь сегменты в одном или нескольких муниципальных образованиях и (или) подведомственных и иных организациях.
3. Класс защищенности определяется следующим образом:

Класс защищенности в обязательном порядке должен быть зафиксирован в акте классификации ГИС, который утверждается оператором ГИС.

На первый взгляд кажется, что приказ является самодостаточным, включает в себя и порядок классификации и подробнейшее описание порядка реализации самих мер защиты. Бери и применяй. Но это только на первый взгляд.

Как подготовить ГИС к аттестации?

Собрать волю в кулак и сделать следующее:

Первый этап

1. Провести обследование ГИС с фиксацией полученных данных в акте (отчете) об обследовании. Это необходимо, чтобы разрабатывать последующие отчетные документы, опираясь на официальный документ.
2. Разработать и утвердить приказ (решение) о необходимости защиты информации в ГИС (об организации работ по защите информации в ГИС).
3. Провести классификацию ГИС и утвердить акт классификации, в котором устанавливается определенный класс защищенности ГИС.
4. Определить актуальные угрозы безопасности информации, содержащейся в ГИС, путем разработки и утверждения частной модели угроз безопасности и нарушителя.
5. Определить требования по защите информации, разработав и утвердив техническое задание на систему защиты информации по ГОСТ 34.602

Второй этап

1. Провести проектирование системы защиты информации (СЗИ) путем разработки и утверждения частного технического проекта на СЗИ в составе ГИС.
2. Разработать эксплуатационную документацию на СЗИ, описывающую порядок использования средств защиты информации для каждой роли в ГИС (пользователь, администратор и др.).
3. Осуществить макетирование и тестирование системы защиты информации путем разворачивания тестового стенда, использования полного набора средств защиты и моделирования реальных условий эксплуатации ГИС.

Третий этап

1. Закупить, установить и настроить сертифицированные средства защиты информации.
2. Разработать пакет организационно-распорядительной документации (ОРД) в части защиты информации и режимных мер.
3. Внедрить организационные меры защиты информации (реализовать), установленные ОРД.
4. Провести анализ уязвимостей государственной информационной системы с оформлением подтверждающих документов (программа и методики испытаний, протокол испытаний, заключение).
5. Провести предварительные испытания, опытную эксплуатацию и приемочные испытания системы защиты информации в составе ГИС.

Особенности 17 приказа ФСТЭК

Особенности по сравнению с 21 приказом ФСТЭК следующие:

1. Для защиты ГИС можно использовать только сертифицированные средства защиты.
2. По результатам защиты ГИС в обязательном порядке необходимо проводить ее аттестацию.
3. Методология (порядок) работ подробно расписана: от обследования и до аттестации ГИС.
4. К 17 приказу ФСТЭК имеется методический документ «Меры защиты…», детализирующий те или иные меры защиты и досконально их поясняющий.
5. В обязательном порядке проводится анализ уязвимостей ГИС с использованием банка уязвимостей bdu.fstec.ru как при внедрении системы защиты, так и при аттестации ГИС.
6. В ГИС должно использоваться только сертифицированное программное обеспечение.
7. Запрещено проводить аттестацию лицам, которые проектировали и внедряли систему защиты.

Как выбрать технические средства защиты ГИС?

В первую очередь необходимо знать класс защищенности ГИС, чтобы, опираясь на него, определить требуемые классы средств защиты информации для использования в ГИС.
Порядок выбора средств защиты информации по 17 приказу: 

Изменения 17 приказа ФСТЭК

Вот основные моменты, которые были изменены в 17 приказе:

• В государственных информационных системах (ГИС) теперь всего 3 класса защищённости, четвертый класс исключен.
• Изменилось соотношение классов защищенности с классами защиты СЗИ (средств защиты информации). Теперь 6-й класс защиты СЗИ применяется в ГИС 3-го класса, 5-й – в ГИС 2-го класса, 4-й – в ГИС 1-го класса. СЗИ 1-3 класса по-прежнему применяются для защиты государственной тайны.
• Средства вычислительной техники (программное обеспечение) должны быть сертифицированы. (Это сверхжесткое требование, которое все будут обходить или трактовать в свою пользу).
• Меры защиты информации УПД.3 (Управление информационными потоками между устройствами, сегментами информационной системы, а также между информационными системами) и ЗСВ.10 (Разбиение виртуальной инфраструктуры на сегменты для обработки информации отдельным пользователем и (или) группой пользователей) теперь требуются для всех классов ГИС. Ранее – только для 1 и 2 классов.

Особое внимание:

• Запрещено проведение аттестационных испытаний должностным лицом, которое проектировало или внедряло систему защиты информации.
• ФСТЭК России теперь вводит обязательное использование своего банка данных угроз (bdu.fstec.ru), и при проведении анализа уязвимостей в ходе аттестационных испытаний должно быть подтверждено, что в информационной системе отсутствуют уязвимости, содержащиеся в банке данных угроз безопасности информации ФСТЭК России.

Стоимость аттестации ГИС

Стоимость аттестации ГИС в первую очередь зависит от ее масштаба, т.е. от количественных характеристик системы. Например, ГИС, состоящая из 10 серверов, и ГИС, состоящая из 100 серверов, – это ГИС совершенно разного масштаба.
Важнейшими критериями оценки стоимости аттестации ГИС являются:

1. Географическая распределенность, т.е. наличие сегментов ГИС в субъектах России.
2. Аттестовалась ли ГИС ранее.
3. Обрабатываются ли в ГИС персональные данные, а также каких категорий и в каком объеме.
4. Требуется только аттестация или еще и подготовка ГИС к аттестации.

Если общими словами, то стоимость аттестации ГИС на базе одного сервера составляет от 300 т.р., а, например, ГИС на базе 10 серверов – около 1,5 млн., так как трудоемкость работ большая (см. выше), а срезание углов – риск для лицензиата ФСТЭК России, проводящего работы.

Скачать коммерческое предложение на аттестацию ГИС

СКАЧАТЬ PDF

Источник: https://xn--90ao1ar.xn--p1ai/attestatsiya_fstek/attestatsiya-gis/