Hola Habr! El 13 de septiembre, el Ministerio de Justicia aprobó un
documento que modifica la orden 17. Este es el que trata sobre la protección de la información en los sistemas de información estatales (en adelante, SIG). De hecho, hay muchos cambios y algunos de ellos son significativos. Hay al menos una cosa muy agradable para los operadores de SIG. Detalles debajo del corte.
Sobre agradable
Comencemos con esto y luego con todo lo demás. La mejor parte para los operadores es que el certificado SIG ahora es ilimitado. En el párrafo 17.4, donde anteriormente se escribió que el certificado se expide por 5 años, ahora está escrito "El certificado de conformidad se expide para toda la vida del sistema de información". Es cierto que esto, por supuesto, no elimina la necesidad de mantener el cumplimiento del sistema de protección de la información con el certificado, como se menciona en el mismo párrafo 17.4.
Acerca de los centros de datos en la nube
Según nuestra experiencia, cada vez más operadores de SIG se inclinan a creer que no les resulta muy rentable mantener su propia infraestructura de servidor y migrar a la capacidad de un proveedor de la nube. Se dedicaron un par de líneas a tales situaciones en la edición anterior de la Orden 17, pero ahora decidieron describirlo con más detalle. En particular, se indican los siguientes requisitos:
- La clase de SIG que se mueve al centro de datos en la nube no debe ser más alta que la clase del centro de datos en sí, lo que significa que el centro de datos debe pasar la clasificación (nuevo párrafo en el párrafo 14.2 del orden 17);
- En el proceso de modelado de amenazas para un sistema de información que se ha trasladado a un centro de datos de terceros, deben tenerse en cuenta las amenazas relevantes para el centro de datos. En particular, esto indica directamente que se deben desarrollar dos modelos de amenaza separados en el centro de datos y en los SIG (nuevo párrafo del párrafo 14.4);
- Si el centro de datos implementa medidas para proteger la información, entonces, en la documentación de diseño para el sistema de seguridad de la información del propio SIG, podemos indicarles dónde es relevante y necesario (nuevo párrafo del párrafo 15.1);
- Las herramientas de seguridad de la información en SIG deben ser compatibles entre sí (¡esto es un turno!) Y con las herramientas de seguridad utilizadas en el centro de datos. Lógicamente, de lo contrario, nada funcionará después de todo (un nuevo párrafo de la cláusula 16.1);
- El centro de datos al que se mueve el SIG debe estar certificado de acuerdo con 17 órdenes. Esto ya era obvio para muchos, pero alguien se resistió (párrafo 17.6 modificado);
- Si las medidas tomadas en el centro de datos bloquean todas las amenazas de seguridad para el SIG, entonces no se requieren medidas adicionales para proteger la información en el SIG (nuevo párrafo - 22.1)
Otras curiosidades
En el párrafo 17, donde ya estaba escrito que el diseño del sistema de protección y su certificación deberían ser realizados por varios funcionarios, los "empleados" se agregaron a los "funcionarios" entre paréntesis. Es bueno que agreguen claridad, porque el debate sobre qué significar por "funcionarios" fue serio.
La cláusula 17.2 se complementó con el párrafo en el que se pueden combinar las pruebas de aceptación del propio SIG y las pruebas de certificación del sistema de seguridad de la información. Sí, en general, este siempre ha sido el caso.
Seguridad de la información durante el funcionamiento del sistema de información.
El punto 18 se repone con nuevas medidas obligatorias que deben llevarse a cabo durante la operación de un SIG certificado. A la gestión del sistema de protección de la información, la detección y respuesta de incidentes, la gestión de la configuración del sistema y el control para garantizar el nivel de seguridad de la información se agregan "planificación de medidas para proteger la información", "análisis de amenazas de seguridad" e "informar y capacitar al personal del sistema de información". Aquí el último en el orden 17 desapareció definitivamente durante mucho tiempo.
Además, todas estas etapas en el orden 17 se revelan con más detalle y desde que la "planificación de eventos" se convirtió en la primera en la lista, "análisis de amenazas a la seguridad", la segunda, la numeración de los subpuntos ha cambiado.
En el curso de la planificación (nuevo párrafo 18.1) debemos:
- Identifique a los responsables de planificar y monitorear las actividades de protección de la información. Anteriormente, no había necesidad de nombrar a esas personas, por lo tanto, en el buen sentido, debería emitirse una nueva orden sobre el nombramiento de tales personas en todos los SIG;
- Identifique a los responsables de identificar y responder a incidentes. Este artículo no agrega nada nuevo. En nuestra guía de documentación interna, ya describimos el propósito del equipo de respuesta a incidentes de seguridad de la información. Que son;
- Desarrollar y aprobar un plan de medidas para proteger la información. Nada nuevo también, ese plan lleva mucho tiempo en el conjunto estándar de documentos ;
- Determinar el procedimiento para monitorear la implementación de actividades. Esto se puede hacer de la misma manera.
Según el análisis de amenazas (nuevo párrafo 18.2), todo es bastante conciso. Es necesario identificar y eliminar vulnerabilidades, analizar cambios en las amenazas de seguridad y evaluar las posibles consecuencias de la implementación de amenazas.
A menudo se nos pregunta con qué frecuencia necesitamos buscar vulnerabilidades y analizar las amenazas a la seguridad de la información. En el mismo párrafo, el regulador dice que la frecuencia la determina el operador.
El ítem para administrar el sistema de seguridad de la información (el anterior 18.1 y el nuevo 18.3) también ha cambiado. A partir de aquí, se eliminó "informar a los usuarios sobre las amenazas de seguridad ...", aparentemente porque ahora tenemos una sección separada y se ha agregado la "definición de personas responsables de administrar el sistema de seguridad de la información". Sin embargo, no hay nada particularmente nuevo sobre el nuevo elemento, ¡este es nuestro administrador de seguridad muy respetado! El resto aquí permaneció en su lugar, aunque un poco parafraseado, pero esencialmente igual.
El punto sobre la gestión de la configuración del sistema de información (antiguo 18.3, nuevo 18.4) se reformula de alguna manera, pero esencialmente no ha cambiado. Lo mismo puede decirse sobre el punto de respuesta al incidente (antiguo 18.2, nuevo 18.5).
El párrafo 18.6 sobre la capacitación del personal es nuevo, por lo que nos detendremos en él con más detalle. Entonces, ¿qué debemos enseñarles y sobre qué informar?
- sobre nuevas amenazas urgentes a la seguridad de la información;
- sobre las normas para el funcionamiento seguro del sistema de información;
- sobre los requisitos para la protección de la información (documentos reglamentarios e internos);
- sobre las normas para el funcionamiento de herramientas de protección de información individuales;
- realizar ejercicios prácticos para bloquear las amenazas a la seguridad de la información y responder a incidentes;
- monitorear la conciencia del personal de todo lo anterior.
La frecuencia de la capacitación se establece en los documentos internos del operador, pero debe ser al menos 1 vez en dos años.
La apariencia de la capacitación del personal es un buen comienzo, pero desafortunadamente, las formas y las horas de capacitación no se indican nuevamente, en caso de que dicha capacitación se realice de acuerdo con los programas aprobados por el FSTEC o con suficiente instrucción interna. Sospechamos que muchos continuarán abordando el tema formalmente, a saber, las marcas en la revista "instruido por", "escuchado instruido" sin llevar a cabo clases.
En el párrafo sobre control para garantizar el nivel de seguridad de la información, se ha agregado la frecuencia de dicho control. Para GIS grado 1: al menos 1 vez al año. Para clases de SIG 2 y 3: al menos 1 vez en dos años. Puede contratar a un licenciatario en tales eventos, pero puede hacerlo usted mismo.
Acerca de los niveles de confianza en las herramientas de seguridad de la información
En el párrafo 26, además del concepto de "clase de remedio", se introduce el concepto de "nivel de confianza". Para GIS clase 1, necesita al menos 4 niveles de confianza, para las clases GIS 2 - 5 niveles de confianza y superiores, para las clases GIS 3 - 6 niveles de confianza y superiores. FSTEC emitió un
mensaje informativo sobre estos niveles de confianza y no debe confundirse con el nivel de confianza estimado de acuerdo con GOST R ISO / IEC 15408-3 (allí, por cierto, el quinto nivel de confianza es el más alto, el primer nivel de confianza es el más bajo).
Este es el único punto de cambio que no entra de inmediato, sino a partir del 1 de junio de 2020. Estamos a la espera de certificados actualizados de conformidad de las herramientas de protección de la información para esta fecha. Todavía se desconoce si los medios de protección que no renovaron el certificado se convertirán en una calabaza. FSTEC más cercano a la fecha X puede lanzar algún tipo de mensaje informativo como lo fue con los firewalls en 2016.
Enrutadores certificados profesionales
Finalmente, terminamos con la introducción del párrafo 26.1:
"Al diseñar sistemas de información recientemente creados o actualizados con acceso a la red de telecomunicaciones de Internet, se deben seleccionar enrutadores que estén certificados para cumplir con los requisitos de seguridad de la información (en términos de las funciones de seguridad implementadas en ellos)".
De hecho, la introducción de este párrafo no es muy clara. En primer lugar, todos los equipos de protección deben estar certificados. En segundo lugar, como regla general, cuando se conecta a Internet, GIS utiliza firewalls certificados, incluidos los que son enrutadores. No existen perfiles de seguridad separados para los enrutadores (por analogía con los de los ME), y tal vez la introducción de la cláusula 26.1 sugiere su aparición (perfiles de seguridad) en un futuro próximo.