Hallo Habr! Am 13. September genehmigte das Justizministerium ein
Dokument zur Änderung der 17. Verordnung. Hier geht es um den Schutz von Informationen in staatlichen Informationssystemen (im Folgenden: GIS). Tatsächlich gibt es viele Änderungen, von denen einige von Bedeutung sind. Für GIS-Betreiber gibt es mindestens eine sehr angenehme Sache. Details unter dem Schnitt.
Über angenehm
Beginnen wir damit und dann über alles andere. Das Beste für Betreiber ist, dass das GIS-Zertifikat jetzt unbegrenzt ist. In Absatz 17.4, in dem zuvor geschrieben wurde, dass das Zertifikat für 5 Jahre ausgestellt wurde, steht jetzt "Konformitätsbescheinigung wird für die gesamte Lebensdauer des Informationssystems ausgestellt". Dies beseitigt natürlich nicht die Notwendigkeit, die Konformität des Informationsschutzsystems mit dem Zertifikat aufrechtzuerhalten, wie in demselben Absatz 17.4 erwähnt.
Über Cloud-Rechenzentren
Nach unserer Erfahrung neigen immer mehr GIS-Betreiber dazu zu glauben, dass es für sie nicht sehr rentabel ist, ihre eigene Serverinfrastruktur zu warten und auf die Kapazität eines Cloud-Anbieters zu migrieren. In der vorherigen Ausgabe von Order 17 waren einige Zeilen solchen Situationen gewidmet, aber jetzt beschlossen sie, sie genauer zu beschreiben. Insbesondere sind folgende Anforderungen angegeben:
- Die GIS-Klasse, die in das Cloud-Rechenzentrum verschoben wird, sollte nicht höher sein als die Klasse des Rechenzentrums selbst. Dies bedeutet, dass das Rechenzentrum selbst die Klassifizierung bestehen muss (neuer Absatz in Absatz 14.2 der 17. Ordnung).
- Bei der Bedrohungsmodellierung für ein Informationssystem, das in ein Rechenzentrum eines Drittanbieters umgezogen ist, sollten Bedrohungen berücksichtigt werden, die für das Rechenzentrum selbst relevant sind. Dies weist insbesondere direkt darauf hin, dass im Rechenzentrum und im GIS zwei separate Bedrohungsmodelle entwickelt werden sollten (neuer Absatz in Absatz 14.4).
- Wenn im Rechenzentrum Maßnahmen zum Schutz von Informationen ergriffen wurden, können wir in der Konstruktionsdokumentation für das Informationssicherheitssystem des GIS selbst angeben, wo dies relevant und erforderlich ist (neuer Absatz in Absatz 15.1).
- Informationssicherheitstools in GIS sollten miteinander kompatibel sein (dies ist eine Wende!) Und mit den im Rechenzentrum verwendeten Sicherheitstools. Logischerweise funktioniert sonst doch nichts (ein neuer Absatz in Abschnitt 16.1);
- Das Rechenzentrum, in das das GIS verschoben wird, muss gemäß 17 Bestellungen zertifiziert sein. Dies war vielen bereits klar, aber jemand widersetzte sich (geänderter Absatz 17.6);
- Wenn die im Rechenzentrum ergriffenen Maßnahmen alle Sicherheitsbedrohungen für das GIS blockieren, sind keine zusätzlichen Maßnahmen zum Schutz von Informationen im GIS erforderlich (neuer Absatz - 22.1).
Andere Trivia
In Absatz 17, in dem bereits geschrieben wurde, dass die Gestaltung des Schutzsystems und seine Zertifizierung von verschiedenen Beamten durchgeführt werden sollten, wurden die „Mitarbeiter“ in Klammern zu den „Beamten“ hinzugefügt. Es ist gut, dass sie Klarheit geschaffen haben, denn die Debatte darüber, was unter "Beamten" zu verstehen ist, war ernst.
Abschnitt 17.2 wurde durch den Absatz ergänzt, dass Abnahmetests des GIS selbst und Zertifizierungstests des Informationssicherheitssystems kombiniert werden können. Ja, im Allgemeinen war dies immer der Fall.
Informationssicherheit während des Betriebs des Informationssystems
Punkt 18 wurde mit neuen verbindlichen Maßnahmen ergänzt, die während des Betriebs eines zertifizierten GIS durchgeführt werden müssen. Zur Verwaltung des Informationsschutzsystems, zur Erkennung und Reaktion von Vorfällen, zur Verwaltung der Systemkonfiguration und zur Kontrolle der Gewährleistung des Informationssicherheitsniveaus kommen die Planung von Maßnahmen zum Schutz von Informationen, die Analyse von Sicherheitsbedrohungen und die Information und Schulung des Personals des Informationssystems hinzu. Hier war der letzte in der 17. Ordnung definitiv lange nicht genug.
Darüber hinaus werden alle diese Phasen in der 17. Ordnung detaillierter beschrieben. Da die „Ereignisplanung“ die erste in der Liste war, hat sich die Nummerierung der Unterelemente geändert.
Im Laufe der Planung (neuer Absatz 18.1) müssen wir:
- Identifizieren Sie die Verantwortlichen für die Planung und Überwachung von Informationsschutzaktivitäten. Bisher war es nicht erforderlich, solche Personen zu ernennen, daher sollte in allen GIS in guter Weise eine neue Anordnung zur Ernennung solcher Personen erlassen werden.
- Identifizieren Sie die Verantwortlichen für die Identifizierung und Reaktion auf Vorfälle. Dieser Artikel fügt nichts Neues hinzu. In unserem internen Dokumentationshandbuch haben wir bereits den Zweck des Teams für die Reaktion auf Informationssicherheitsvorfälle beschrieben. Dass sie sind;
- Entwicklung und Genehmigung eines Maßnahmenplans zum Schutz von Informationen. Auch nichts Neues, ein solcher Plan ist seit langem in den Standarddokumenten enthalten .
- Bestimmen Sie das Verfahren zur Überwachung der Durchführung von Aktivitäten. Dies kann auf die gleiche Weise erfolgen.
Laut der Bedrohungsanalyse (neuer Absatz 18.2) ist alles recht präzise. Es ist notwendig, Schwachstellen zu identifizieren und zu beseitigen, Änderungen bei Sicherheitsbedrohungen zu analysieren und die möglichen Folgen der Implementierung von Bedrohungen zu bewerten.
Wir werden oft gefragt, wie oft wir nach Schwachstellen suchen und Bedrohungen der Informationssicherheit analysieren müssen. Im selben Absatz sagt der Regler, dass die Frequenz vom Bediener bestimmt wird.
Der Punkt für die Verwaltung des Informationssicherheitssystems (der frühere 18.1 und der neue 18.3) wurde ebenfalls geändert. Von hier aus wurde "Benutzer über Sicherheitsbedrohungen informieren ..." entfernt, anscheinend, weil wir jetzt einen separaten Abschnitt haben und die "Definition der Personen, die für die Verwaltung des Informationssicherheitssystems verantwortlich sind" hinzugefügt wurde. Das neue Produkt ist jedoch nicht besonders neu. Dies ist unser hoch angesehener Sicherheitsadministrator! Der Rest hier blieb an Ort und Stelle, obwohl ein wenig umschrieben, aber im Wesentlichen gleich.
Der Punkt zum Verwalten der Konfiguration des Informationssystems (altes 18.3, neues 18.4) ist etwas umformuliert, hat sich aber im Wesentlichen nicht geändert. Gleiches gilt für den Incident Response Point (alt 18.2, neu 18.5).
Ziffer 18.6 über die Schulung des Personals ist neu, daher werden wir näher darauf eingehen. Also, was sollen wir ihnen beibringen und worüber wir informieren sollen:
- über neue dringende Bedrohungen der Informationssicherheit;
- über die Regeln für den sicheren Betrieb des Informationssystems;
- zu Anforderungen an den Schutz von Informationen (behördliche und interne Dokumente);
- zu den Regeln für den Betrieb einzelner Informationsschutzinstrumente;
- praktische Übungen durchführen, um Bedrohungen der Informationssicherheit zu blockieren und auf Vorfälle zu reagieren;
- Überwachung des Bewusstseins der Mitarbeiter für all das oben Genannte.
Die Häufigkeit der Schulungen ist in den internen Dokumenten des Bedieners festgelegt, sollte jedoch in zwei Jahren mindestens einmal betragen.
Das Auftreten einer Schulung des Personals ist ein guter Anfang, aber leider werden die Formen und Stunden der Schulung nicht erneut angegeben, falls eine solche Schulung gemäß den vom FSTEC genehmigten Programmen oder einer ausreichenden internen Unterweisung durchgeführt wird. Wir vermuten, dass sich viele weiterhin formell mit dem Thema befassen werden, nämlich mit den Noten in der Zeitschrift „instruiert von“, „angehört“, ohne tatsächlich Unterricht zu geben.
In dem Absatz über die Kontrolle der Gewährleistung der Informationssicherheit wurde die Häufigkeit dieser Kontrolle hinzugefügt. Für GIS Klasse 1 - mindestens 1 Mal pro Jahr. Für GIS 2 und 3 Klassen - mindestens 1 Mal in zwei Jahren. Sie können einen Lizenznehmer an solchen Veranstaltungen beteiligen, diese jedoch selbst durchführen.
Informationen zum Vertrauensniveau in Informationssicherheitstools
In Paragraph 26 wird zusätzlich zum Konzept der „Klasse der Mittel“ das Konzept des „Vertrauensniveaus“ eingeführt. Für GIS-Klasse 1 benötigen Sie mindestens 4 Vertrauensstufen, für GIS 2-Klassen - 5 Vertrauensstufen und höher, für GIS 3-Klassen - 6 Vertrauensstufen und höher. FSTEC hat eine
Informationsnachricht über diese Vertrauensstufen ausgegeben und sollte nicht mit der geschätzten Vertrauensstufe gemäß GOST R ISO / IEC 15408-3 verwechselt werden (dort ist übrigens die 5. Vertrauensstufe die höchste, die 1. Vertrauensstufe die niedrigste).
Dies ist der einzige Änderungspunkt, der nicht sofort, sondern ab dem 1. Juni 2020 eintritt. Wir warten bis zu diesem Datum auf aktualisierte Konformitätszertifikate der Informationsschutz-Tools. Ob die Schutzmittel, die das Zertifikat nicht erneuert haben, sich in einen Kürbis verwandeln, ist noch unbekannt. FSTEC, das näher an Datum X liegt, veröffentlicht möglicherweise eine Art Informationsnachricht, wie dies 2016 bei Firewalls der Fall war.
Pro zertifizierte Router
Abschließend wird die Einführung von Absatz 26.1 abgeschlossen:
„Beim Entwurf neu erstellter oder aktualisierter Informationssysteme mit Zugang zum Internet-Telekommunikationsnetz sollten Router ausgewählt werden, die für die Einhaltung der Anforderungen an die Informationssicherheit zertifiziert sind (im Hinblick auf die darin implementierten Sicherheitsfunktionen).“
Tatsächlich ist die Einleitung dieses Absatzes nicht sehr klar. Erstens müssen alle Schutzausrüstungen zertifiziert sein. Zweitens verwendet GIS beim Herstellen einer Verbindung zum Internet in der Regel zertifizierte Firewalls, einschließlich solcher, die Router sind. Es gibt keine separaten Sicherheitsprofile für Router (analog zu denen für MEs), und möglicherweise weist die Einführung von Abschnitt 26.1 auf deren Erscheinungsbild (Sicherheitsprofile) in naher Zukunft hin.