+7 (495) 640-47-10
+7 (812) 612-00-12
sales@acribia.ru
En
+7 (495) 640-47-10
+7 (812) 612-00-12
sales@acribia.ru

23 сентября 2019

Изменения в приказ ФСТЭК № 17

16 сентября 2019 года опубликованы изменения к требованиям о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утверждённые приказом ФСТЭК России № 17 от 11 февраля 2013 года. Документ утвердили еще в мае, но в свет он вышел только сейчас.
В документе нашел свое отражение вопрос о специфике выполнения требований к защите информации в государственных информационных системах (ГИС), работающих на базе информационно-телекоммуникационной инфраструктуры центров обработки данных (ЦОД). Данная тематика на протяжении продолжительного времени является предметом обсуждения как для операторов ГИС, так и для владельцев ЦОДов. Опубликованные изменения в 17 приказе ФСТЭК внесли ряд важных уточнений, в том числе:


  • класс защищенности ГИС не может быть выше класса защищенности ЦОДа;
  • при проектировании ГИС должны учитываться угрозы для ЦОДа;
  • средства защиты, устанавливаемые для ГИС, обязаны быть совместимы не только между собой, но и со средствами защиты ЦОД.
Отдельно стоит отметить вопрос реализации мер защиты информации в ГИС, размещённых в ЦОД. Если меры защиты ЦОДа гарантируют нейтрализацию актуальных для ГИС угроз безопасности, то принятие дополнительных мер в системе не требуется, а полномочия по защите информации в данном случае распределяются между операторами ЦОДа и ГИС.
Изменения также коснулись вопроса аттестации ГИС, а именно: если ранее аттестат соответствия выдавался максимальным сроком на 5 лет, то теперь — на весь срок эксплуатации системы. В связи с этим изменились и условия эксплуатации аттестованных систем — список реализуемых оператором мер пополнился планированием мероприятий по защите информации в системе, анализом угроз безопасности в системе, информированием и обучением персонала системы.
В связи с обновлением подхода ФСТЭК к подтверждению отсутствия в средствах защиты информации (СЗИ) недекларированных возможностей, подверглись изменению требования к используемым в системе СЗИ: в ГИС 1 класса должны применяться СЗИ 4 уровня доверия или выше, в ГИС2 класса — от 5 уровня доверия, в ГИС 3 класса — от 6 уровня доверия. Указанные изменения будут применяться к ГИС начиная с 1 июня 2020 года.
Меры защиты информации в ГИС также пополнились одним новым требованием. Теперь, при создании или модернизации системы, при условии, что она имеют доступ к Интернету, должны использоваться сертифицированные по требованиям безопасности маршрутизаторы. Данное условие применимо, если оборудование реализует какую-либо функцию безопасности.
Другие публикации по теме
09 сентября 2019
Приказы ФСБ России по проблеме развития и регулирования ГосСОПКА
19 августа 2019
Акрибия на саммите «Промышленность 4.0: Цифровой Завод»
16 сентября 2019
Сертификаты в области информационной безопасности: что актуально в РФ и за рубежом
12 августа 2019
Утечка трафика - реальная угроза? Выжимаем максимум информации из дампа
Услуги
Акрибия: Безопасность критической инфраструктуры
Услуги
Акрибия: Защита информационных систем