Проект апдейта по 17 приказу ФСТЭК: кратко о ключевых нововведениях

Недавно для широкой публике стала доступна версия проекта 17 приказа ФСТЭК, который рано или поздно  должен быть утвержден и введен в действие. То, что вносить изменения в приказ 17 стало очевидно как минимум в конце прошлого года, когда в гос думму былы внесен проект очередного пакета правок в ФЗ-148  №47571-7 "О безопасности критической информационной инфраструктуры Российской Федерации"

По мнению многих экспертов проект документа все же еще сырой и нуждается в более детальной проработке и корректировки, однако не смотря на это таки сделан большой вклад сил регулятора и виден прогресс движения в лучшую сторону. И так, сегодня в статье мы совсем кратко и тезисно отметим наиболее очевидные изменения и ключевые особенности содержащиеся  в указанном проекте документа 

В недавнем  времени на общее обозрение был выложен обновленный проект изменений 17-го приказа ФСТЭК, которые несет в весьма занимые изменения в случае их успешного утверждения. Хотя многие эксперты выражают мнение, что документ находится еще на промежуточной стадии и возможно будет доработан, тем не мене этот документ ждали многие. Если, не соврать, то ФСТЭК обещает новый апдейт  уже минимум года как полтора. 

Драйвером новых изменений  содержащихся в проекте 17 приказа ФСТЭК являются утвержденная пачка правок внесенных в ФЗ-149 и закон о критически важной инфраструктуры, принятых в конце 2016 года. 

И так, давайте посмотрим, что же именно нм подготовил регулятор в текущем проекте помимо косметических  правок и новых терминов: 

• Осуществлен переход на 3 класса защищенности ГИС. Однако, никаких изменений в составе базовых мер для 1-3-х классов  все таки не произошло. Чем же это нам интересно? А тем, что переход на 3 класса  облегчил их соотнесение с классами защиты средств защиты, на которые переходит ФСТЭК в своих документах по системам обнаружения вторжений, МСЭ, антивирусам и т.д.  И тут логика проста: 6-й класс защиты применяется в ГИС  для 3-го класса, 5-й класс защиты для ГИС 2-го класса и 4-й класс защиты  в ГИС 1-го класса

• Прописаны новые виды аттестационных испытаний. Так пентесты теперь стали обязательны для ГИС 1-го и 2-го классов защищенности -  и проводить их можно своими силами или с привлечением лицензиатов ФСТЭК. Так же связали новые требования по защите с банком данных угроз и уязвимостей ФСТЭК для целей моделирования угроз и анализа уязвимостей. Что весьма хорошо, так это то, что запретили проведение аттестации тем же лицом, что и проектирует или внедряет систему защиты. 

• Изменения коснулись  в части аттестации. К примеру, синхронизировали требования по защите информации в ГИС, включаемой в ТЗ на ее создание, с требованиями свежего ПП-676. 

В целом, изменения в 17 приказе ФСТЭК на схеме выглядит следующим образом (за макет спасибо г-ну Лукацкому)

Проблемы и нерешенности проекта 17 приказа ФСТЭК

По мнению известного эксперта ИБ, г-на Лукацкого это следующие проблемы:

1. "Документ исходит из предпосылки (неявной), что в государственной информационной системе все узлы одинаковы Однако уже сейчас даже в офисных системах есть устройства, за которыми пользователи не работают, но устройства обрабатывают информацию ограниченного доступа. Это могут быть принтеры, сканеры, системы видеонаблюдения, видеоконференцсвязь, IP-телефония и т.п." - пишет Алексей

2. Продолжаю свою речь, Алексей так же говорит, что "Сейчас активно, внедряется Интернет вещей, который подразумевает обмен информацией между устройствами, преимущественно консьюмерскими, – интеллектуальные часы, очки, кофеварки и т.п. Они и к офисной беспроводной сети могут подключаться, включаясь тем самым в контролируемую зону." 

3. "В-третьих, в сети могут быть и мобильные устройства, к которым, по крайней мере на текущем этапе, необходимо применять немного отличные требования по защите. Например, многие мобильные устройства подразумевает всего лишь 4-хзначный PIN-код, а не 6-ти-8мисимвольный пароль." - заключает Алексей

Полный обзор документа и дополнительную информацию по проекту 17 приказа вы можете получить тут  и тут,  а так же еще вот тут