среда, 12 февраля 2014 г.

СОИБ. Анализ. Добавления к каталогу мер защиты от ФСТЭК

Как вы наверное знаете, сегодня на публичное рассмотрение выложен проект нормативного акта “ Требования к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды”.

Документ разработан на основе приказа 17 ФСТЭК Р, на него похож и на столько же хорош.

Порадовал он нас и новыми мерами в каталоге базовых набор мер:
1.      Каждая группа мер дополнилась ещё одним нулевым (.0) пунктом, связанным с разработкой правил и процедур.  Тут видимо ФСТЭК учел замечания об отсутствии явных требований к документированию процедур в предыдущих документах
Условное обозначение и номер меры
Меры защиты информации
в автоматизированных системах управления
Классы защищенности
3
2
1
VI. Антивирусная защита (АВЗ)
АВЗ.0

Разработка правил и процедур (политик) антивирусной защиты
+
+
+

2.      Добавились новые группы мер по обновлению ПО, планированию ИБ, действиях в непредвиденных ситуациях, обучению пользователей и анализу угроз
Условное обозначение и номер меры
Меры защиты информации
в автоматизированных системах управления
Классы защищенности
3
2
1
XV. Управление обновлениями программного обеспечения (ОПО)
ОПО.0
Разработка правил и процедур (политик) управления обновлениями программного обеспечения (включая получения, проверку и установку обновлений)
+
+
+
ОПО.1
Получение обновлений программного обеспечения от разработчика или уполномоченного им лица
+
+
+
ОПО.2
Тестирование обновлений программного обеспечения до его установки на макете или в тестовой зоне
+
+
+
ОПО.3
Централизованная установка обновлений программного обеспечения



XVI. Планирование мероприятий по обеспечению защиты информации (ПЛН)
ПЛН.0
Разработка правил и процедур (политик) планирования мероприятий по обеспечению защиты информации
+
+
+
ПЛН.1
Определение лиц, ответственных за планирование и контроль мероприятий по обеспечению защиты информации в автоматизированной системе управления
+
+
+
ПЛН.2
Разработка, утверждение и актуализация (обновление) плана мероприятий по обеспечению защиты информации в автоматизированных системах управления
+
+
+
ПЛН.3
Контроль выполнения мероприятий по обеспечению защиты информации в автоматизированных системах управления, предусмотренных утвержденным планом
+
+
+
XVII. Обеспечение действий в нештатных (непредвиденных) ситуациях (ДНС)
ДНС.0
Разработка правил и процедур (политик) обеспечения действий в нештатных (непредвиденных) ситуациях



ДНС.1
Разработка плана действий в случае возникновения нештатных (непредвиденных) ситуаций
+
+
+
ДНС.2
Обучение и отработка действий пользователей в случае возникновения нештатных (непредвиденных) ситуаций
+
+
+
ДНС.3
Создание альтернативных мест хранения и обработки информации в случае возникновения нештатных (непредвиденных) ситуаций
+
+
+
ДНС.4
Резервирование программного обеспечения, технических средств, каналов передачи данных автоматизированных систем управления в случае возникновения нештатных (непредвиденных) ситуаций
+
+
+
ДНС.5
Обеспечение возможности восстановления автоматизированных систем управления и (или) ее компонент в случае возникновения нештатных (непредвиденных) ситуаций



XVIII. Информирование и обучение пользователей (ИПО)
ИПО.0
Разработка правил и процедур (политик) информирования и обучения пользователей
+
+
+
ИПО.1
Информирование пользователей об угрозах безопасности информации, о правилах эксплуатации
+
+
+
ИПО.0
Разработка правил и процедур (политик) информирования и обучения пользователей
+
+
+
ИПО.3
Проведение практических занятий с пользователями по эксплуатации системы защиты автоматизированной системы управления и отдельных средств защиты информации



XIX.Анализ угроз безопасности информации и рисков от их реализации (УБИ)
УБИ.0
Разработка правил и процедур (политик) анализа угроз безопасности информации и рисков от их реализации
+
+
+
УБИ.1
Периодический анализ изменения угроз безопасности информации, возникающих в ходе эксплуатации автоматизированной системы управления
+
+
+
УБИ.2
Периодическая переоценка последствий от реализации угроз безопасности информации (оценка риска)
+
+
+

3.      Так-же добавились группы мер ИНЦ и УКФ по управлению инцидентами и конфигурацией, которые уже встречались в приказе 21 но отсутствовали в приказе 17 ФСТЭК Р.

Дополнительные группы мер исправляют перекос в сторону технических мер защиты и помогают обеспечить систему обеспечения ИБ необходимыми организационными мерами.

В будущем при обновлении приказов 17 и 21 можно ожидать включение в них этих новых групп мер. Но уже сейчас при разработке СЗПДн или подсистемы ИБ ГИС можно использовать эти новые наборы мер. Зачем придумывать свои варианты, если есть готовый и публично доступный документ – это хоть немного да улучшит взаимопонимание между различными лицами в сфере ИБ.


PS: Если говорить о самом новом проекте Требований по защите АСУ, то явно к его разработке приложили лапу проектные организации по АСУ. Доказательство:

Приказ 17
“4. Настоящие Требования предназначены для обладателей информации, заказчиков, заключивших государственный контракт на создание государственной информационной системы (далее – заказчики) и операторов государственных информационных систем (далее – операторы).
Лицо, обрабатывающее информацию, являющуюся государственным информационным ресурсом, по поручению обладателя информации (заказчика) или оператора и (или) предоставляющее им вычислительные ресурсы (мощности) для обработки информации на основании заключенного договора (далее – уполномоченное лицо), обеспечивает защиту информации в соответствии с законодательством Российской Федерации об информации, информационных технологиях и о защите информации.
10. Для проведения работ по защите информации в ходе создания и эксплуатации информационной системы обладателем информации (заказчиком) и оператором в соответствии с законодательством Российской Федерации при необходимости привлекаются организации, имеющие лицензию на деятельность по технической защите конфиденциальной информации”
проект Требования по защите АСУ
4. Настоящие Требования предназначены для лиц, обеспечивающих задание требований к защите информации в автоматизированных системах управления (далее – заказчик), лиц, обеспечивающих эксплуатацию автоматизированных систем управления (далее – оператор), а также лиц, привлекаемых в соответствии с законодательством Российской Федерации к проведению работ по созданию (проектированию) автоматизированных систем управления и (или) их систем защиты (далее – разработчик (проектировщик)).
11. Проведение работ по защите информации в соответствии с настоящими Требованиями в ходе создания и эксплуатации автоматизированной системы управления осуществляется заказчиком, оператором и (или) разработчиком (проектировщиком) самостоятельно и (или) при необходимости с привлечением в соответствии с законодательством Российской Федерации организаций, имеющих лицензию на деятельность по технической защите конфиденциальной информации”
Как видно из числа иных лиц выделено лицо – “проектировщик” и приписано в один ряд с заказчиком и оператором. Получается так, что этот проектировщик выполняет работы для “себя” а не оказывает услуги и не должен иметь лицензий.


Далее произошла трансформация следующего пункта приказа 17:
“15. Разработка системы защиты информации информационной системы организуется обладателем информации (заказчиком).
16. Внедрение системы защиты информации информационной системы организуется обладателем информации (заказчиком).”
в пункт Требований по защите АСУ
“15. Разработка системы защиты автоматизированной системы управления организуется заказчиком и осуществляется разработчиком (проектировщиком) и (или) оператором.
16. Внедрение системы защиты автоматизированной системы управления организуется заказчиком и осуществляется разработчиком (проектировщиком) и (или) оператором.”

Как видно заказчик не может привлекать других лиц к разработке и внедрению системы защиты кроме “проектировщика” и оператора. Налицо желание проектных организаций АСУ захватить в свои руки все работы  – в том числе внедрение СЗИ, разработку организационных мер по ИБ (а там ИСО 27000) и анализ уязвимостей (пентесты).

Я думаю что такое ограничение конкуренции не пойдет на руку Заказчику и преследует интересы узкой группы лиц.

Комментариев нет: