Geekly articles weekly

مراجعة التغييرات بالترتيب السابع عشر لل FSTEC



مرحبا يا هبر! في 13 سبتمبر ، أقرت وزارة العدل وثيقة تعديل الأمر السابع عشر. هذا هو الذي يدور حول حماية المعلومات في نظم المعلومات الدولة (المشار إليها فيما يلي - نظم المعلومات الجغرافية). في الواقع ، هناك العديد من التغييرات وبعضها كبير. هناك شيء واحد لطيف للغاية على الأقل لمشغلي نظم المعلومات الجغرافية. التفاصيل تحت خفض.

عن لطيف


لنبدأ بهذا ، ثم عن كل شيء آخر. أفضل جزء للمشغلين هو أن شهادة نظم المعلومات الجغرافية أصبحت الآن غير محدودة. في الفقرة 17.4 ، حيث تمت كتابة الشهادة مسبقًا بأن الشهادة تصدر لمدة 5 سنوات ، تتم كتابتها الآن "يتم إصدار شهادة المطابقة طوال فترة نظام المعلومات." صحيح أن هذا ، بالطبع ، لا يلغي الحاجة إلى الحفاظ على امتثال نظام حماية المعلومات للشهادة ، على النحو المذكور في الفقرة 17.4 نفسها.

حول مراكز البيانات السحابية


في تجربتنا ، يميل عدد متزايد من مشغلي نظم المعلومات الجغرافية إلى الاعتقاد بأنه ليس من المربح للغاية بالنسبة لهم الحفاظ على البنية التحتية للخوادم الخاصة بهم والانتقال إلى قدرة مزود الخدمة السحابية. تم تكريس سطرين لمثل هذه الحالات في الإصدار السابق من الأمر 17 ، لكنهم قرروا الآن وصفها بمزيد من التفصيل. على وجه الخصوص ، يشار إلى المتطلبات التالية:

  • يجب ألا تكون فئة نظم المعلومات الجغرافية التي تنتقل إلى مركز البيانات السحابية أعلى من فئة مركز البيانات نفسه ، مما يعني أن مركز البيانات نفسه يجب أن يجتاز التصنيف (فقرة جديدة في الفقرة 14.2 من الترتيب 17) ؛
  • في عملية نمذجة التهديد لنظام المعلومات الذي انتقل إلى مركز بيانات تابع لجهة خارجية ، ينبغي أن تؤخذ في الاعتبار التهديدات ذات الصلة بمركز البيانات نفسه. على وجه الخصوص ، يشير هذا بشكل مباشر إلى أنه ينبغي تطوير نموذجين منفصلين للتهديد في مركز البيانات ونظام المعلومات الجغرافية (فقرة جديدة من الفقرة 14.4) ؛
  • إذا تم اتخاذ تدابير في مركز البيانات لحماية المعلومات ، ثم في وثائق التصميم لنظام أمن المعلومات لنظام المعلومات الجغرافية نفسه ، يمكننا أن نوضحها حيثما كانت ذات صلة وضرورية (فقرة جديدة من الفقرة 15.1) ؛
  • يجب أن تكون أدوات أمان المعلومات في نظم المعلومات الجغرافية متوافقة مع بعضها البعض (هذا منعطف!) ومع أدوات الأمان المستخدمة في مركز البيانات. منطقيا ، وإلا لن ينجح شيء على الإطلاق (فقرة جديدة من الفقرة 16.1) ؛
  • يجب اعتماد مركز البيانات الذي تنتقل إليه GIS وفقًا لـ 17 أمرًا. كان هذا واضحًا بالفعل للكثيرين ، لكن قاوم أحدهم (الفقرة 17-6 المعدلة) ؛
  • إذا كانت التدابير المتخذة في مركز البيانات تحظر جميع التهديدات الأمنية لنظام المعلومات الجغرافية ، فإن التدابير الإضافية لحماية المعلومات في نظم المعلومات الجغرافية غير مطلوبة (فقرة جديدة - 22.1)

التوافه الأخرى


في الفقرة 17 ، حيث كُتب بالفعل أن تصميم نظام الحماية وشهاداته ينبغي أن يتم من قبل مختلف المسؤولين ، تمت إضافة "الموظفين" إلى "المسؤولين" بين قوسين. من الجيد أن يكونوا قد أضافوا الوضوح لأن النقاش حول معنى "المسؤولين" كان جديًا.

تم استكمال الفقرة 17.2 بالفقرة التي يمكن الجمع بين اختبارات القبول لنظام المعلومات الجغرافية نفسه واختبارات التصديق لنظام أمن المعلومات. نعم ، بشكل عام ، كان هذا هو الحال دائمًا.

أمن المعلومات أثناء تشغيل نظام المعلومات


تم تجديد النقطة 18 بتدابير إلزامية جديدة يجب تنفيذها خلال تشغيل نظام GIS معتمد. إلى إدارة نظام أمن المعلومات ، يتم إضافة الكشف عن الحوادث والاستجابة لها ، وإدارة تكوين النظام والسيطرة على ضمان مستوى أمن المعلومات "تخطيط التدابير لحماية المعلومات" ، و "تحليل التهديدات الأمنية" و "إعلام وتدريب موظفي نظام المعلومات". هنا آخر واحد في الترتيب 17 كان بالتأكيد لا يكفي لفترة طويلة.

علاوة على ذلك ، يتم الكشف عن كل هذه المراحل بالترتيب السابع عشر بمزيد من التفصيل ولأن "تخطيط الأحداث" أصبح الأول في القائمة ، "تحليل التهديدات الأمنية" - والثاني ، تغير ترقيم البنود الفرعية.

في سياق التخطيط (الفقرة 18.1 الجديدة) يجب علينا:

  • تحديد المسؤولين عن تخطيط ومراقبة أنشطة حماية المعلومات. في السابق ، لم تكن هناك حاجة لتعيين هؤلاء الأشخاص ، لذلك ، بطريقة جيدة ، يجب إصدار أمر جديد بشأن تعيين هؤلاء الأشخاص في جميع نظم المعلومات الجغرافية ؛
  • تحديد المسؤولين عن تحديد الحوادث والاستجابة لها. هذا البند لا يضيف شيئا جديدا. في دليل الوثائق الداخلية ، وصفنا بالفعل الغرض من فريق الاستجابة لحوادث أمن المعلومات. أنهم
  • وضع واعتماد خطة تدابير لحماية المعلومات. لا شيء جديد أيضًا ، فهذه الخطة موجودة منذ فترة طويلة في مجموعة الوثائق القياسية ؛
  • تحديد إجراء مراقبة تنفيذ الأنشطة. يمكن القيام بذلك بنفس الطريقة.

وفقًا لتحليل التهديد (الفقرة 18.2 الجديدة) ، كل شيء موجز تمامًا. من الضروري تحديد الثغرات الأمنية والقضاء عليها وتحليل التغيرات في التهديدات الأمنية وتقييم العواقب المحتملة لتنفيذ التهديدات.

غالبًا ما يتم سؤالك عن عدد المرات التي نحتاج فيها للبحث عن نقاط الضعف وتحليل تهديدات أمن المعلومات. في نفس الفقرة ، يقول المنظم إن التردد يحدده المشغل.

تم تغيير عنصر إدارة نظام أمن المعلومات (18.1 السابق و 18.3 الجديد). من هنا ، تمت إزالة "إبلاغ المستخدمين بالتهديدات الأمنية ..." ، على ما يبدو لأن لدينا الآن قسمًا منفصلًا وتمت إضافة "تعريف الأشخاص المسؤولين عن إدارة نظام أمن المعلومات". ومع ذلك ، لا يوجد شيء جديد بشكل خاص حول العنصر الجديد ، فهذا هو مسؤول الأمان المحترم بشدة! بقي الباقي هنا في مكانه ، على الرغم من إعادة صياغته بعض الشيء ، ولكن في الأساس نفسه.

إن النقطة المتعلقة بإدارة تكوين نظام المعلومات (18.3 القديمة ، 18.4 الجديدة) يتم إعادة صياغتها إلى حد ما ، لكنها في الأساس لم تتغير. يمكن قول الشيء نفسه عن نقطة الاستجابة للحادث (العمر 18.2 ، 18.5 الجديد).

الفقرة 18.6 حول تدريب الموظفين جديدة ، لذلك سنناقشها بمزيد من التفصيل. لذا ، ما الذي يجب أن نعلمهم وما يجب أن نعلمه:

  • حول تهديدات عاجلة جديدة لأمن المعلومات ؛
  • بشأن قواعد التشغيل الآمن لنظام المعلومات ؛
  • بشأن متطلبات حماية المعلومات (الوثائق التنظيمية والداخلية) ؛
  • بشأن قواعد تشغيل أدوات حماية المعلومات الفردية ؛
  • إجراء تمارين عملية لمنع التهديدات التي تهدد أمن المعلومات والاستجابة للحوادث ؛
  • مراقبة وعي الموظفين بكل ما سبق.

يتم تحديد وتيرة التدريب في الوثائق الداخلية للمشغل ، ولكن يجب أن تكون على الأقل مرة واحدة في غضون عامين.

يعد ظهور تدريب الموظفين بداية جيدة ، لكن لسوء الحظ ، لم يتم الإشارة إلى أشكال التدريب وساعاته مرة أخرى ، في حالة إجراء هذا التدريب وفقًا للبرامج المعتمدة من FSTEC أو تعليمات داخلية كافية. نشك في أن الكثيرين سيستمرون في التعامل مع القضية بشكل رسمي ، أي العلامات الموجودة في المجلة "التي تم توجيهها من قبل" ، "المستمعين إلى التعليمات" دون إجراء الفصول الدراسية فعليًا.

في الفقرة الخاصة بالتحكم في ضمان مستوى أمان المعلومات ، تمت إضافة تكرار هذه السيطرة. للحصول على نظام المعلومات الجغرافية الصف 1 - على الأقل مرة واحدة في السنة. لفصول نظم المعلومات الجغرافية 2 و 3 - مرة واحدة على الأقل في غضون عامين. يمكنك إشراك المرخص له في مثل هذه الأحداث ، لكن يمكنك القيام بها بنفسك.

حول مستويات الثقة في أدوات أمن المعلومات


في الفقرة 26 ، بالإضافة إلى مفهوم "فئة الانتصاف" ، تم تقديم مفهوم "مستوى الثقة". بالنسبة لفئة GIS 1 ، تحتاج إلى 4 مستويات على الأقل من الثقة ، لفئات GIS 2 - 5 مستوى من الثقة وما فوق ، لفئات GIS 3 - 6 مستوى من الثقة وما فوق. أصدرت FSTEC رسالة معلومات حول مستويات الثقة هذه ويجب عدم الخلط بينها وبين المستوى المقدر للثقة وفقًا لـ GOST R ISO / IEC 15408-3 (هناك ، بالمناسبة ، المستوى الخامس للثقة هو الأعلى ، والمستوى الأول للثقة هو الأدنى).

هذه هي النقطة الوحيدة للتغيير التي لا تدخل على الفور ، ولكن من 1 يونيو 2020. نحن في انتظار شهادات محدثة من مطابقة أدوات حماية المعلومات بحلول هذا التاريخ. ما إذا كانت وسائل الحماية التي لم تجدد الشهادة ستتحول إلى قرع لا تزال غير معروفة. قد تصدر FSTEC الأقرب إلى التاريخ X نوعًا من الرسائل الإعلامية كما كانت مع جدران الحماية في عام 2016.

أجهزة التوجيه المعتمدة برو


أخيرًا ، انتهينا من إدخال الفقرة 26.1:

"عند تصميم أنظمة معلومات تم إنشاؤها حديثًا أو تمت ترقيته مع إمكانية الوصول إلى شبكة اتصالات الإنترنت ، يجب اختيار أجهزة التوجيه المعتمدة للامتثال لمتطلبات أمان المعلومات (من حيث وظائف الأمان المنفذة فيها)."

في الواقع ، مقدمة هذه الفقرة ليست واضحة جدا. أولاً ، يجب أن تكون جميع معدات الحماية معتمدة. ثانياً ، كقاعدة عامة ، عند الاتصال بالإنترنت ، يستخدم GIS جدران الحماية المعتمدة ، بما في ذلك تلك التي هي أجهزة التوجيه. لا توجد ملفات تعريف أمان منفصلة لأجهزة التوجيه (قياسًا على تلك الخاصة بـ ME) ، وربما يكون إدخال الفقرة 26.1 يشير إلى ظهورها (ملفات تعريف الأمان) في المستقبل القريب.

Source: https://habr.com/ru/post/ar467813/

More articles:


All Articles