Bonjour, Habr! Le 13 septembre, le ministère de la Justice a approuvé un
document modifiant la 17e ordonnance. C'est celui qui concerne la protection des informations dans les systèmes d'information de l'État (ci-après - SIG). En fait, il y a de nombreux changements et certains d'entre eux sont importants. Il y a au moins une chose très agréable pour les opérateurs SIG. Détails sous la coupe.
A propos agréable
Commençons par cela, puis par tout le reste. La meilleure partie pour les opérateurs est que le certificat SIG est désormais illimité. Au paragraphe 17.4, où il était précédemment écrit que le certificat est délivré pour 5 ans, il est désormais écrit "Le certificat de conformité est délivré pour toute la durée de vie du système d'information". Certes, cela n'élimine bien sûr pas la nécessité de maintenir la conformité du système de protection des informations avec le certificat, comme mentionné dans le même paragraphe 17.4.
À propos des centres de données cloud
D'après notre expérience, de plus en plus d'opérateurs SIG sont enclins à penser qu'il n'est pas très rentable pour eux de maintenir leur propre infrastructure de serveur et de migrer vers la capacité d'un fournisseur de cloud. Quelques lignes étaient consacrées à de telles situations dans l'édition précédente de l'Ordre 17, mais maintenant ils ont décidé de le décrire plus en détail. En particulier, les exigences suivantes sont indiquées:
- La classe de SIG qui se déplace vers le centre de données cloud ne doit pas être supérieure à la classe du centre de données lui-même, ce qui signifie que le centre de données lui-même doit passer la classification (nouveau paragraphe au paragraphe 14.2 du 17e ordre);
- Dans le processus de modélisation des menaces pour un système d'information qui a migré vers un centre de données tiers, les menaces pertinentes pour le centre de données lui-même doivent être prises en compte. Cela, en particulier, indique directement que deux modèles de menace distincts devraient être développés au niveau du centre de données et du SIG (nouveau paragraphe du paragraphe 14.4.);
- Si des mesures ont été prises dans le centre de données pour protéger les informations, alors dans la documentation de conception du système de sécurité de l'information du SIG lui-même, nous pouvons les indiquer où cela est pertinent et nécessaire (nouveau paragraphe du paragraphe 15.1);
- Les outils de sécurité de l'information dans les SIG doivent être compatibles entre eux (c'est un tour!) Et avec les outils de sécurité utilisés dans le centre de données. Logiquement, sinon rien ne fonctionnera après tout (un nouveau paragraphe de la clause 16.1);
- Le centre de données vers lequel le SIG se déplace doit être certifié conformément à 17 commandes. Cela était déjà évident pour beaucoup, mais quelqu'un a résisté (paragraphe 17.6 modifié);
- Si les mesures prises dans le centre de données bloquent toutes les menaces de sécurité contre le SIG, des mesures supplémentaires pour protéger les informations dans le SIG ne sont pas nécessaires (nouveau paragraphe - 22.1)
Autres anecdotes
Au paragraphe 17, où il était déjà écrit que la conception du système de protection et sa certification devaient être effectuées par divers fonctionnaires, les mots «travailleurs» étaient ajoutés aux «fonctionnaires» entre crochets. C'est bien qu'ils aient ajouté de la clarté, car le débat sur ce que l'on entend par «fonctionnaires» était sérieux.
La clause 17.2 a été complétée par le paragraphe selon lequel les tests d'acceptation du SIG lui-même et les tests de certification du système de sécurité de l'information peuvent être combinés. Oui, en général, cela a toujours été le cas.
Sécurité de l'information pendant le fonctionnement du système d'information
Le point 18 a été réapprovisionné par de nouvelles mesures obligatoires qui doivent être mises en œuvre lors de l'exploitation d'un SIG certifié. À la gestion du système de sécurité de l'information, la détection et la réponse des incidents, la gestion de la configuration du système et le contrôle de la garantie du niveau de sécurité de l'information sont ajoutés «planification des mesures de protection de l'information», «analyse des menaces de sécurité» et «information et formation du personnel du système d'information». Ici, le dernier dans le 17e ordre n'était définitivement pas suffisant pour longtemps.
De plus, toutes ces étapes dans le 17e ordre sont divulguées plus en détail et depuis que la «planification d'événements» est devenue la première de la liste, «l'analyse des menaces de sécurité» - la seconde, la numérotation des sous-éléments a changé.
Au cours de la planification (nouveau paragraphe 18.1), nous devons:
- Identifier les responsables de la planification et du suivi des activités de protection des informations. Auparavant, il n'était pas nécessaire de nommer ces personnes. Par conséquent, dans le bon sens, une nouvelle ordonnance sur la nomination de ces personnes devrait être émise dans tous les SIG;
- Identifier les responsables de l'identification et de la réponse aux incidents. Cet article n'ajoute rien de nouveau. Dans notre guide de documentation interne, nous avons déjà décrit l'objectif de l'équipe de réponse aux incidents de sécurité de l'information. Qu'ils le sont;
- Élaborer et approuver un plan de mesures pour protéger les informations. Rien de nouveau aussi, un tel plan fait depuis longtemps partie de l’ ensemble de documents standard ;
- Déterminer la procédure de suivi de la mise en œuvre des activités Cela peut être fait de la même manière.
Selon l'analyse des menaces (nouveau paragraphe 18.2), tout est assez concis. Il est nécessaire d'identifier et d'éliminer les vulnérabilités, d'analyser les changements dans les menaces de sécurité et d'évaluer les conséquences possibles de la mise en œuvre des menaces.
On nous demande souvent à quelle fréquence nous devons rechercher les vulnérabilités et analyser les menaces à la sécurité des informations. Dans le même paragraphe, le régulateur dit que la fréquence est déterminée par l'opérateur.
Le poste de gestion du système de sécurité de l'information (l'ancien 18.1 et le nouveau 18.3) a également changé. À partir d'ici, «informer les utilisateurs des menaces de sécurité ...» a été supprimé, apparemment parce que nous avons maintenant une section distincte et la «définition des personnes responsables de la gestion du système de sécurité de l'information» a été ajoutée. Cependant, le nouvel élément n'a rien de particulièrement nouveau, c'est notre administrateur de sécurité très respecté! Le reste est resté en place, bien qu'un peu paraphrasé, mais essentiellement le même.
Le point concernant la gestion de la configuration du système d'information (ancien 18.3, nouveau 18.4) est quelque peu reformulé, mais n'a essentiellement pas changé. On peut en dire autant du point de réponse aux incidents (ancien 18.2, nouveau 18.5).
Le paragraphe 18.6 sur la formation du personnel est nouveau, nous allons donc nous y attarder plus en détail. Alors, que devons-nous leur enseigner et sur quoi informer:
- sur les nouvelles menaces urgentes à la sécurité de l'information;
- sur les règles de fonctionnement du système d'information en toute sécurité;
- sur les exigences de protection des informations (documents réglementaires et internes);
- sur les règles de fonctionnement des différents outils de protection des informations;
- mener des exercices pratiques pour bloquer les menaces à la sécurité de l'information et répondre aux incidents;
- surveiller la sensibilisation du personnel à tout ce qui précède.
La fréquence de la formation est établie dans les documents internes de l'opérateur, mais devrait être d'au moins 1 fois en deux ans.
L'apparition de la formation du personnel est un bon début, mais malheureusement, les formes et les heures de formation ne sont pas indiquées à nouveau, si une telle formation est effectuée selon les programmes approuvés par le FSTEC ou suffisamment d'instruction interne. Nous soupçonnons que beaucoup continueront à aborder la question de manière formelle, à savoir, les notes dans le journal «instruit par», «écouté instruit» sans donner de cours.
Dans le paragraphe sur le contrôle de la garantie du niveau de sécurité de l'information, la fréquence de ce contrôle a été ajoutée. Pour le GIS grade 1 - au moins 1 fois par an. Pour les classes SIG 2 et 3 - au moins 1 fois en deux ans. Vous pouvez engager un titulaire de licence dans de tels événements, mais vous pouvez le faire vous-même.
À propos des niveaux de confiance dans les outils de sécurité de l'information
Au paragraphe 26, outre le concept de «classe de recours», le concept de «niveau de confiance» est introduit. Pour la classe SIG 1, vous avez besoin d'au moins 4 niveaux de confiance, pour les classes SIG 2 - 5 niveaux de confiance et plus, pour les classes SIG 3 - 6 niveaux de confiance et plus. Le FSTEC a émis un
message d'information sur ces niveaux de confiance et ne doit pas être confondu avec le niveau de confiance estimé conformément à GOST R ISO / IEC 15408-3 (là, soit dit en passant, le 5ème niveau de confiance est le plus élevé, le 1er niveau de confiance est le plus bas).
C'est le seul point de changement qui n'entre pas immédiatement, mais à partir du 1er juin 2020. Nous attendons les certificats de conformité des outils de protection des informations mis à jour d'ici cette date. On ignore encore si les moyens de protection qui n'ont pas renouvelé le certificat se transformeront en citrouille. Le FSTEC plus proche de X peut publier une sorte de message d'information comme c'était le cas avec les pare-feu en 2016.
Routeurs certifiés Pro
Enfin, nous terminons par l'introduction du paragraphe 26.1:
«Lors de la conception de systèmes d'information nouvellement créés ou mis à niveau avec accès au réseau de télécommunications Internet, il convient de sélectionner des routeurs certifiés conformes aux exigences de sécurité de l'information (en termes de fonctions de sécurité mises en œuvre).»
En fait, l'introduction de ce paragraphe n'est pas très claire. Tout d'abord, tous les équipements de protection doivent être certifiés. Deuxièmement, en règle générale, lors de la connexion à Internet, le SIG utilise des pare-feu certifiés, y compris ceux qui sont des routeurs. Il n'y a pas de profils de sécurité distincts pour les routeurs (par analogie avec ceux des ME), et l'introduction de la clause 26.1 suggère peut-être leur apparence (profils de sécurité) dans un avenir proche.