8-800-333-27-53
Заказать звонок
resp@ec-rs.ru
Режим работы
Пн.-Пт.: с 8:00 до 17:00
400001, г. Волгоград, ул. Социалистическая, д. 17
ИЦ РЕГИОНАЛЬНЫЕ СИСТЕМЫ | Системный интегратор
Компания
  • О компании
  • Лицензии
  • Вендоры
  • Карта партнера
  • Конфиденциальность
  • Политика
Направления
  • Информационная безопасность организаций
    • Аудит информационной безопасности (ИБ) и анализ защищённости
    • Построение систем защиты в соответствии с требованиями законодательства, отраслевых регуляторов, национальных и международных стандартов
    • Построение систем обеспечения информационной безопасности (СОИБ)
    • Построение систем управления информационной безопасностью (СУИБ)
    • Специализированные отраслевые решения
  • Информационные технологии
    • Дата-центр
    • ИТ-инфраструктура
    • Информационные системы инфраструктурного уровня
    • Информационные системы прикладного уровня
    • Аутсорсинг и сервисные услуги
  • Инженерно-технические средства защиты объектов
    • Инженерные системы
    • Инженерные средства охраны
    • Технические средства охраны
    • Средства антитеррористической защиты
Продукты
  • Информационная безопасность
    • InfoWatch
      • Arma
      • Appercut
      • Attack Killer
      • Person Monitor
      • Endpoint Security
      • Vision
      • Traffic Monitor
    • Positive Technologies
      • PT ISIM
      • PT Sandbox
      • PT Network Attack Discovery (PT NAD)
      • PT MultiScanner
      • PT Application Inspector
      • PT Anti-APT
      • XSpider
      • PT Application Firewall
      • MaxPatrol SIEM
      • MaxPatrol 8
    • Газинформсервис
      • Ankey SIEM
      • Ankey IDM
      • Блокхост-Сеть 2.0
      • Efros Config Inspector
      • SafeERP
    • Код Безопасности
      • АПКШ Континент 3.M2
      • Континент-АП
      • Континент WAF
      • Континент TLS
      • АПКШ Континент
  • Инфраструктурные решения
    • Газинформсервис
      • Litoria DVCS
      • Litoria Crypto Platform
      • Litoria Desktop 2
      • СУБД «Jatoba»
      • Monitor3S
      • АСЗП
Решения
  • DOCSHELL – интеллектуальный сервис защиты информации
  • Оценка и приведение к требованиям по Положению 684-П некредитных финансовых организаций
  • BIM - проектирование
  • Решения для кредитных финансовых организаций. Выполнение требований Положения №683-П
  • Аудит защищенности сети
  • Обеспечение информационной безопасности
  • Безопасность критической информационной инфраструктуры (КИИ)
  • PENTEST – анализ реальной защищенности информационной системы
  • Аудит информационной безопасности
  • SIEM – Система управления событиями и инцидентами безопасности
  • DLP – система предотвращения утечек конфиденциальной информации
  • Защита персональных данных
Опыт
  • Выполненные проекты
  • Отзывы
  • Заказчики
  • Вопросы и ответы
  • Категорирование объектов
  • Пентест
Карьера
  • Вакансии
Блог
  • Новости
  • Блог
Контакты
    ИЦ РЕГИОНАЛЬНЫЕ СИСТЕМЫ | Системный интегратор
    Компания
    • О компании
    • Лицензии
    • Вендоры
    • Карта партнера
    • Конфиденциальность
    • Политика
    Направления
    • Информационная безопасность организаций
      • Аудит информационной безопасности (ИБ) и анализ защищённости
      • Построение систем защиты в соответствии с требованиями законодательства, отраслевых регуляторов, национальных и международных стандартов
      • Построение систем обеспечения информационной безопасности (СОИБ)
      • Построение систем управления информационной безопасностью (СУИБ)
      • Специализированные отраслевые решения
    • Информационные технологии
      • Дата-центр
      • ИТ-инфраструктура
      • Информационные системы инфраструктурного уровня
      • Информационные системы прикладного уровня
      • Аутсорсинг и сервисные услуги
    • Инженерно-технические средства защиты объектов
      • Инженерные системы
      • Инженерные средства охраны
      • Технические средства охраны
      • Средства антитеррористической защиты
    Продукты
    • Информационная безопасность
      • InfoWatch
        • Arma
        • Appercut
        • Attack Killer
        • Person Monitor
        • Endpoint Security
        • Vision
        • Traffic Monitor
      • Positive Technologies
        • PT ISIM
        • PT Sandbox
        • PT Network Attack Discovery (PT NAD)
        • PT MultiScanner
        • PT Application Inspector
        • PT Anti-APT
        • XSpider
        • PT Application Firewall
        • MaxPatrol SIEM
        • MaxPatrol 8
      • Газинформсервис
        • Ankey SIEM
        • Ankey IDM
        • Блокхост-Сеть 2.0
        • Efros Config Inspector
        • SafeERP
      • Код Безопасности
        • АПКШ Континент 3.M2
        • Континент-АП
        • Континент WAF
        • Континент TLS
        • АПКШ Континент
    • Инфраструктурные решения
      • Газинформсервис
        • Litoria DVCS
        • Litoria Crypto Platform
        • Litoria Desktop 2
        • СУБД «Jatoba»
        • Monitor3S
        • АСЗП
    Решения
    • DOCSHELL – интеллектуальный сервис защиты информации
    • Оценка и приведение к требованиям по Положению 684-П некредитных финансовых организаций
    • BIM - проектирование
    • Решения для кредитных финансовых организаций. Выполнение требований Положения №683-П
    • Аудит защищенности сети
    • Обеспечение информационной безопасности
    • Безопасность критической информационной инфраструктуры (КИИ)
    • PENTEST – анализ реальной защищенности информационной системы
    • Аудит информационной безопасности
    • SIEM – Система управления событиями и инцидентами безопасности
    • DLP – система предотвращения утечек конфиденциальной информации
    • Защита персональных данных
    Опыт
    • Выполненные проекты
    • Отзывы
    • Заказчики
    • Вопросы и ответы
    • Категорирование объектов
    • Пентест
    Карьера
    • Вакансии
    Блог
    • Новости
    • Блог
    Контакты
      ИЦ РЕГИОНАЛЬНЫЕ СИСТЕМЫ | Системный интегратор
      • Компания
        • Назад
        • Компания
        • О компании
        • Лицензии
        • Вендоры
        • Карта партнера
        • Конфиденциальность
        • Политика
      • Направления
        • Назад
        • Направления
        • Информационная безопасность организаций
          • Назад
          • Информационная безопасность организаций
          • Аудит информационной безопасности (ИБ) и анализ защищённости
          • Построение систем защиты в соответствии с требованиями законодательства, отраслевых регуляторов, национальных и международных стандартов
          • Построение систем обеспечения информационной безопасности (СОИБ)
          • Построение систем управления информационной безопасностью (СУИБ)
          • Специализированные отраслевые решения
        • Информационные технологии
          • Назад
          • Информационные технологии
          • Дата-центр
          • ИТ-инфраструктура
          • Информационные системы инфраструктурного уровня
          • Информационные системы прикладного уровня
          • Аутсорсинг и сервисные услуги
        • Инженерно-технические средства защиты объектов
          • Назад
          • Инженерно-технические средства защиты объектов
          • Инженерные системы
          • Инженерные средства охраны
          • Технические средства охраны
          • Средства антитеррористической защиты
      • Продукты
        • Назад
        • Продукты
        • Информационная безопасность
          • Назад
          • Информационная безопасность
          • InfoWatch
            • Назад
            • InfoWatch
            • Arma
            • Appercut
            • Attack Killer
            • Person Monitor
            • Endpoint Security
            • Vision
            • Traffic Monitor
          • Positive Technologies
            • Назад
            • Positive Technologies
            • PT ISIM
            • PT Sandbox
            • PT Network Attack Discovery (PT NAD)
            • PT MultiScanner
            • PT Application Inspector
            • PT Anti-APT
            • XSpider
            • PT Application Firewall
            • MaxPatrol SIEM
            • MaxPatrol 8
          • Газинформсервис
            • Назад
            • Газинформсервис
            • Ankey SIEM
            • Ankey IDM
            • Блокхост-Сеть 2.0
            • Efros Config Inspector
            • SafeERP
          • Код Безопасности
            • Назад
            • Код Безопасности
            • АПКШ Континент 3.M2
            • Континент-АП
            • Континент WAF
            • Континент TLS
            • АПКШ Континент
        • Инфраструктурные решения
          • Назад
          • Инфраструктурные решения
          • Газинформсервис
            • Назад
            • Газинформсервис
            • Litoria DVCS
            • Litoria Crypto Platform
            • Litoria Desktop 2
            • СУБД «Jatoba»
            • Monitor3S
            • АСЗП
      • Решения
        • Назад
        • Решения
        • DOCSHELL – интеллектуальный сервис защиты информации
        • Оценка и приведение к требованиям по Положению 684-П некредитных финансовых организаций
        • BIM - проектирование
        • Решения для кредитных финансовых организаций. Выполнение требований Положения №683-П
        • Аудит защищенности сети
        • Обеспечение информационной безопасности
        • Безопасность критической информационной инфраструктуры (КИИ)
        • PENTEST – анализ реальной защищенности информационной системы
        • Аудит информационной безопасности
        • SIEM – Система управления событиями и инцидентами безопасности
        • DLP – система предотвращения утечек конфиденциальной информации
        • Защита персональных данных
      • Опыт
        • Назад
        • Опыт
        • Выполненные проекты
        • Отзывы
        • Заказчики
        • Вопросы и ответы
        • Категорирование объектов
        • Пентест
      • Карьера
        • Назад
        • Карьера
        • Вакансии
      • Блог
        • Назад
        • Блог
        • Новости
        • Блог
      • Контакты
      400001, г. Волгоград, ул. Социалистическая, д. 17
      8-800-333-27-53
      resp@ec-rs.ru
      Режим работы
      Пн.-Пт.: с 9:00 до 18:00

      Обзор изменений приказа ФСТЭК №17 утверждённых 28.05.2019

      • Главная
      • Блог - Мы пишем о том, что делаем!
      • Обзор изменений приказа ФСТЭК №17 утверждённых 28.05.2019
      6 ноября 2019
      // Средства защиты информации
      Приказ ФСТЭК №17
      Приказ ФСТЭК №17 о защите ГИС претерпел довольно большое количество изменений. Всего их 14. Разберемся с каждым из изменений далее. Обеспечить безопасность

      13 сентября 2019 года в Министерстве юстиции РФ был зарегистрирован приказ ФСТЭК от 28.05.2019 № 106 «О внесении изменений в Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденные приказом Федеральной службы по техническому и экспортному контролю от 11 февраля 2013 г. № 17». Приказ ФСТЭК №17 о защите ГИС претерпел довольно большое количество изменений. Всего их 14. По большей части изменения затронули аттестацию и требования к средствам защиты информации (СрЗИ), также появились новые обязательные требования по обеспечению защиты информации (ЗИ) в ГИС в ходе ее эксплуатации и новые требования к центрам обработки данных (ЦОД).

      Все это формирует основной насущный вопрос: "Что делать администраторам безопасности ГИС для выполнения обновленного приказа ФСТЭК №17?" 

      Разберемся с каждым из изменений далее.

      Изменения в процедуре аттестации согласно обновленного приказа ФСТЭК №17

      Согласно п. 17.4, аттестат соответствия теперь выдается на весь срок эксплуатации ГИС, но оператор (обладатель информации) в ходе эксплуатации ГИС должен обеспечивать поддержку соответствия СЗИ аттестату соответствия в рамках реализации мероприятий по защите.

      Это означает, что в случае несоответствия СЗИ аттестату (например, при применении новых СрЗИ) необходимо выполнить повторную аттестацию ГИС.

      В п. 17 после словосочетания «должностными лицами» добавили «работниками». Теперь данный пункт выглядит так: «Проведение аттестационных испытаний ГИС должностными лицами, работниками, осуществляющими проектирование и (или) внедрение СЗИ ГИС, не допускается». Следовательно, одни и те же работники организации не могут проводить аттестационные испытания и проектировать/внедрять СЗИ ГИС.

      Приемочные испытания и аттестационные испытания можно совместить по решению заказчика (п. 17.2).

      Новое определение – ЦОД

      Центр обработки данных (далее – ЦОД) – технологически и территориально обособленные серверные комплексы, включая рабочие станции, предназначенные для обслуживающего персонала, и технологическое оборудование, обеспечивающие функционирование серверов (стойки, источники бесперебойного питания, коммутационное оборудование и кабельные системы). Таким образом, говоря простым языком, ЦОД – это территориально обособленная от ГИС серверная.

      Новое определение ЦОД согласно приказа ФСТЭК №17

      К защите ЦОД предъявляются следующие требования:

      • обследование ЦОД (п.14.3);
      • формирование модели угроз ЦОД (п. 14.3);
      • определение класса защищенности (КЗ) ЦОД. КЗ ЦОД доложен быть выше или равен КЗ ГИС (п. 14.2);
      • определение требования по защите информации (п. 14.4);
      • блокирование актуальных угроз ЦОД. Для блокирования актуальных угроз ГИС могут быть применены СрЗИ ЦОД (п. 15.1) или дополнительные СрЗИ;
      • если ГИС создается на базе ЦОД, то необходимо аттестовать ЦОД по требованиям приказа ФСТЭК №17 (17.6).
      Требования к ЦОД согласно приказа ФСТЭК №17

      Дополнительные обязательные требования к СрЗИ

      Согласно п. 26 Требований, для ГИС 1 класса защищенности необходимо применять СрЗИ 4 уровня доверия (УД) или выше, для ГИС 2 класса – 5 УД или выше, для ГИС 3 – 6 УД или выше. Данный пункт вступает в силу 1 июня 2020 года. УД должен указываться в сертификате соответствия СрЗИ. Следовательно, необходимо ждать обновленные сертификаты на СрЗИ к 01.06.2020 г.

      Пункт 26.1 обязывает оператора применять сертифицированные при выполнении следующих условий:

      • ГИС вновь проектируется или модернизируется;
      • ГИС имеет доступ к сети «Интернет».

      Новые мероприятия по обеспечению ЗИ (п. 18 приказа ФСТЭК №17)

      Согласно п. 18 Требований, оператор в ходе эксплуатации СЗИ ГИС должен проводить следующие комплексы мероприятий:
      • по планированию мер по защите информации в ГИС;
      • по проведению периодического анализа угроз и уязвимостей безопасности информации в ГИС;
      • по информированию и обучению персонала ГИС;
      • требующих проведения аудита (пентеста).

      Комплекс мероприятий по планированию мер по защите информации в ГИС включает:

      • определение лиц, ответственных за планирование и контроль мероприятий по защите информации в ГИС;
      • определение лиц, ответственных, за выявление инцидентов и реагирование на них;
      • разработка, утверждение и актуализация плана мероприятий по защите информации в ГИС;
      • определение порядка контроля выполнения мероприятий по обеспечению защиты информации в ГИС, предусмотренных утвержденным планом.

      Для выполнения данных мероприятий оператор должен подготовить следующие организационно-распорядительные документы (ОРД):

      • перечень лиц, ответственных за планирование и контроль мероприятий по защите информации в ГИС;
      • перечень лиц, ответственных за выявление инцидентов и реагирование на них;
      • план мероприятий по защите информации, в котором будет указан порядок контроля выполнения мероприятий.

      Комплекс мероприятий по проведению периодического анализа угроз и уязвимостей безопасности информации в ГИС включает:

      • выявление, анализ и устранение уязвимостей информационной системы;
      • анализ изменения угроз безопасности информации в информационной системе;
      • оценка возможных последствий реализации угроз безопасности в информационной системе.
      Для выполнения данных мероприятий оператор должен периодически актуализировать модель угроз.

      Комплекс мероприятий по информированию и обучению персонала ГИС включает:

      • информирование персонала ГИС о появлении актуальных угроз безопасности информации, о правилах безопасной эксплуатации ГИС;
      • доведение до персонала ГИС требований по защите информации, а также положений — организационно-распорядительных документов по защите информации с учетом внесенных в них изменений;
      • обучение персонала ГИС правилам эксплуатации отдельных СрЗИ;
      • проведение практических занятий и тренировок с персоналом ГИС по блокированию угроз безопасности информации и реагированию на инциденты;
      • контроль осведомленности персонала ГИС об угрозах безопасности информации и уровня знаний персонала по вопросам обеспечения защиты информации.
      Для выполнения данных требований информирование и обучения персонала ГИС должно быть закреплено в ОРД. Периодичность информирования и обучения должна быть не реже 1 раза в два года.

      Комплекс мероприятий, требующих проведения аудита (пентеста):

      • контроль (анализ) защищенности информации с учетом особенностей функционирования ИС (п. 18.7);
      • анализ и оценка функционирования ИС и ее СЗИ, включая анализ и устранение уязвимостей и иных недостатков в функционировании СЗИ ИС (п. 18.7);
      • выявление, анализ и устранение уязвимостей ИС (п. 18.2) – пентест.
      Для ГИС 1 класса защищенности периодичность проведения аудита (пентеста) устанавливается оператором в ОРД с учетом особенностей функционирования ГИС, но не реже 1 раза в год. Для ГИС 2 и 3 класса защищённости не реже 1 раза в два года.

      Что делать после смены положений Приказа ФСТЭК №17?

      1. Проверить, использует ли ГИС инфраструктуру ЦОД;

      2. Сделать/Актуализировать МУ;

      3. Проверить соответствие уровня доверия СрЗИ классу защищенности ГИС;

      4. Защитить ЦОД по требованиям приказа №17. Класс защищенности ЦОД должен быть выше или равен классу защищённости ГИС;

      5. Разработать и утвердить ОРД:

      • перечень лиц, ответственных за планирование и контроль мероприятий по защите информации в ГИС;
      • перечень лиц, ответственных за выявление инцидентов и реагирование на них;
      • план мероприятий по защите информации, в котором будет указан порядок контроля выполнения мероприятий.

      6. Необходимо применять маршрутизаторы, сертифицированные на соответствие требованиям по безопасности информации при подключении ГИС к Интернет (для проектируемых и модернизируемых);

      7. Аттестовать ЦОД.

      Что делать после смены положений Приказа ФСТЭК №17

      Что делать, если аттестат уже есть?

      1. Необходимо проводить аудит (пентест) 1 раз в год для ГИС К1, 1 раз в два года для ГИС К2 и К3.
      2. Определить достаточность имеющихся мер по защите информации, актуализировать модель угроз.
      3. В случае несоблюдения требуемого уровня защищенности (недостаточности имеющихся мер по защите информации) информации, содержащейся в ГИС, Оператор обязан принять решение, о необходимости доработки (модернизации) ее СЗИ.
      4. В случае внесения изменений в СЗИ необходимо проводить повторную аттестацию ГИС.

      Мы пишем о том, что делаем!


      Решим все задачи по выполнению требований Приказа ФСТЭК № 17:
      • проанализируем организацию режима защиты информации, определим достаточность имеющихся мер по защите информации и подготовим соответствующие рекомендации;
      • проведем обследование Вашей инфраструктуры;
      • определим перечень актуальных угроз нарушения информационной безопасности и уязвимостей в вашей ИС;
      • организуем тестирование информационных систем на предмет проникновения и проведем анализ уязвимостей информационной безопасности (аудит/пентест);
      • определим набор мер по нейтрализации угроз и подготовим технический проект на создание или модернизацию системы защиты информации, в т.ч. с учетом защиты Вашего ЦОД по требованиям Приказа ФСТЭК № 17;
      • актуализируем организационно-распорядительную документацию по информационной безопасности;
      • проведём аттестацию Вашего ЦОД, а также других требуемых объектов информатизации.



      Услуги
      Аудит информационной безопасности
      Аудит информационной безопасности
      Аудит информационной безопасности — это процесс получения объективных оценок о текущем состоянии защищенности информационных ресурсов компании в соответствии с российскими и международными нормативами. В рамках данного мероприятия проводится комплекс работ по определению уязвимостей IT инфраструктуры, анализ защищенности веб приложений и предотвращению потенциальных кабератак.

      Пентест (Pentest) — анализ защищенности информационной системы
      PENTEST – анализ реальной защищенности информационной системы

      Самый эффективный способ провести анализ защищенности сетевых ресурсов компании.
      • Комментарии
      Загрузка комментариев...

      Назад к списку Следующая статья
      • Новости
      • Блог
        • Новости
        • Блог
      Категории
      • Защита персональных данных12
      • Пентест3
      • КИИ22
      • Информационная безопасность20
      • АСУ3
      • Средства защиты информации5
      • ПО2
      • ГОСТ1
      • ОУД3
      • Другое7
      Это интересно
      • Мониторинг IT инфраструктуры
        30 мая 2022
      • Этапы создания систем защиты информации
        12 апреля 2022
      • Как проверяет ФСБ или правила правильной эксплуатации СКЗИ для защиты персональных данных
        27 августа 2020
      • Оценка соответствия СрЗИ согласно Приказу ФСТЭК №31
        19 июня 2016
      Компания
      О компании
      Лицензии
      Вендоры
      Карта партнера
      Конфиденциальность
      Политика
      Направления
      Информационная безопасность организаций
      Информационные технологии
      Инженерно-технические средства защиты объектов
      Решения
      Положение 684-П ЦБ РФ для НФО
      Безопасность КИИ (187-ФЗ)
      Аудит информационной безопасности
      Защита персональных данных
      Опыт компании
      Выполненные проекты
      Отзывы
      Заказчики
      Вопросы и ответы
      Категорирование объектов
      Пентест
      Наши контакты

      8-800-333-27-53
      Пн. – Пт.: с 8:00 до 17:00
      400001, г. Волгоград, ул. Социалистическая, д. 17
      resp@ec-rs.ru
      © 2023 ООО «ИЦ РЕГИОНАЛЬНЫЕ СИСТЕМЫ». Все права защищены.