Geekly articles weekly

Tinjau perubahan dalam urutan 17 FSTEC



Halo, Habr! Pada 13 September, Departemen Kehakiman menyetujui dokumen yang mengubah urutan ke-17. Ini adalah salah satu yang tentang perlindungan informasi dalam sistem informasi negara (selanjutnya - GIS). Bahkan, ada banyak perubahan dan beberapa di antaranya signifikan. Setidaknya ada satu hal yang sangat menyenangkan bagi operator GIS. Detail di bawah potongan.

Tentang menyenangkan


Mari kita mulai dengan ini, dan kemudian tentang yang lainnya. Bagian terbaik untuk operator adalah bahwa sertifikat GIS sekarang tidak terbatas. Dalam paragraf 17.4, di mana sebelumnya ditulis bahwa sertifikat dikeluarkan selama 5 tahun, sekarang tertulis "Sertifikat kesesuaian dikeluarkan untuk seluruh umur sistem informasi." Benar, ini, tentu saja, tidak menghilangkan kebutuhan untuk menjaga kepatuhan sistem perlindungan informasi dengan sertifikat, sebagaimana disebutkan dalam paragraf 17.4 yang sama.

Tentang pusat data cloud


Dalam pengalaman kami, semakin banyak operator GIS cenderung meyakini bahwa tidak terlalu menguntungkan bagi mereka untuk memelihara infrastruktur server mereka sendiri dan bermigrasi ke kapasitas penyedia cloud. Beberapa baris dikhususkan untuk situasi seperti itu dalam edisi 17 Orde sebelumnya, tetapi sekarang mereka memutuskan untuk menggambarkannya secara lebih rinci. Secara khusus, persyaratan berikut ditunjukkan:

  • Kelas GIS yang pindah ke pusat data cloud tidak boleh lebih tinggi dari kelas pusat data itu sendiri, yang berarti bahwa pusat data itu sendiri harus lulus klasifikasi (paragraf baru dalam paragraf 14.2 dari urutan ke-17);
  • Dalam proses pemodelan ancaman untuk sistem informasi yang telah pindah ke pusat data pihak ketiga, ancaman yang relevan dengan pusat data itu sendiri harus dipertimbangkan. Secara khusus, ini secara langsung menunjukkan bahwa dua model ancaman yang terpisah harus dikembangkan di pusat data dan GIS (paragraf baru paragraf 14.4.);
  • Jika pusat data menerapkan langkah-langkah untuk melindungi informasi, maka dalam dokumentasi desain untuk sistem keamanan informasi GIS itu sendiri, kami dapat menunjukkannya di tempat yang relevan dan perlu (paragraf baru paragraf 15.1);
  • Alat keamanan informasi dalam GIS harus kompatibel satu sama lain (ini giliran!) Dan dengan alat keamanan yang digunakan di pusat data. Secara logis, jika tidak, tidak ada yang akan berhasil (paragraf 16.1) baru;
  • Pusat data tempat GIS bergerak harus disertifikasi menurut 17 pesanan. Ini sudah jelas bagi banyak orang, tetapi seseorang menolak (amandemen paragraf 17.6);
  • Jika tindakan yang diambil di pusat data memblokir semua ancaman keamanan terhadap GIS, maka tindakan tambahan untuk melindungi informasi dalam GIS tidak diperlukan (paragraf baru - 22.1)

Hal sepele lainnya


Dalam paragraf 17, di mana sudah tertulis bahwa desain sistem perlindungan dan sertifikasinya harus dilakukan oleh berbagai pejabat, "karyawan" ditambahkan ke "pejabat" dalam kurung. Bagus bahwa mereka menambahkan kejelasan, karena perdebatan tentang apa yang dimaksud dengan "pejabat" itu serius.

Klausul 17.2 dilengkapi dengan paragraf bahwa tes penerimaan GIS itu sendiri dan tes sertifikasi sistem keamanan informasi dapat digabungkan. Ya, secara umum, ini selalu terjadi.

Keamanan informasi selama pengoperasian sistem informasi


Poin 18 diisi kembali dengan langkah-langkah wajib baru yang harus dilakukan selama operasi GIS bersertifikat. Kepada manajemen sistem perlindungan informasi, deteksi dan respon insiden, manajemen konfigurasi sistem dan kontrol untuk memastikan tingkat keamanan informasi ditambahkan "perencanaan langkah-langkah untuk melindungi informasi", "analisis ancaman keamanan" dan "menginformasikan dan melatih personil sistem informasi". Di sini yang terakhir dalam urutan ke-17 sudah pasti hilang untuk waktu yang lama.

Lebih lanjut, semua tahapan dalam urutan ke-17 ini diungkapkan secara lebih rinci dan sejak “perencanaan acara” menjadi yang pertama dalam daftar, “analisis ancaman keamanan” - yang kedua, penomoran subtitle telah berubah.

Dalam proses perencanaan (paragraf baru 18.1) kita harus:

  • Identifikasi mereka yang bertanggung jawab untuk merencanakan dan memantau kegiatan perlindungan informasi. Sebelumnya, tidak perlu menunjuk orang-orang seperti itu, oleh karena itu, dengan cara yang baik, suatu tatanan baru tentang penunjukan orang-orang tersebut harus dikeluarkan dalam semua GIS;
  • Identifikasi mereka yang bertanggung jawab untuk mengidentifikasi dan menanggapi insiden. Item ini tidak menambahkan sesuatu yang baru. Dalam panduan dokumentasi internal kami , kami telah menggambarkan tujuan tim respons insiden keamanan informasi. Itu mereka;
  • Kembangkan dan setujui rencana tindakan untuk melindungi informasi. Tidak ada yang baru juga, rencana seperti itu telah lama ada dalam kumpulan dokumen standar ;
  • Tentukan prosedur untuk memantau pelaksanaan kegiatan. Ini bisa dilakukan dengan cara yang sama.

Menurut analisis ancaman (paragraf baru 18.2), semuanya cukup singkat. Penting untuk mengidentifikasi dan menghilangkan kerentanan, menganalisis perubahan dalam ancaman keamanan dan menilai konsekuensi yang mungkin timbul dari penerapan ancaman.

Kita sering ditanya seberapa sering kita perlu mencari kerentanan dan menganalisis ancaman keamanan informasi. Dalam paragraf yang sama, regulator mengatakan bahwa frekuensi ditentukan oleh operator.

Item untuk mengelola sistem keamanan informasi (yang sebelumnya 18.1 dan yang baru 18.3) juga telah berubah. Dari sini, "memberi tahu pengguna tentang ancaman keamanan ..." dihapus, tampaknya karena sekarang kami memiliki bagian terpisah dan "definisi orang yang bertanggung jawab untuk mengelola sistem keamanan informasi" telah ditambahkan. Namun, tidak ada yang khusus tentang item baru ini, ini adalah administrator keamanan kami yang terhormat! Sisanya di sini tetap di tempatnya, meski sedikit diparafrasekan, tetapi pada dasarnya sama.

Poin tentang mengelola konfigurasi sistem informasi (lama 18,3, baru 18,4) agak diulang, tetapi pada dasarnya tidak berubah. Hal yang sama dapat dikatakan tentang titik respons kejadian (lama 18.2, baru 18.5).

Paragraf 18.6 tentang pelatihan staf adalah hal baru, jadi kami akan membahasnya lebih terinci. Jadi, apa yang harus kita ajarkan kepada mereka dan apa yang harus diinformasikan:

  • tentang ancaman mendesak baru terhadap keamanan informasi;
  • tentang aturan untuk pengoperasian sistem informasi yang aman;
  • tentang persyaratan untuk perlindungan informasi (dokumen peraturan dan internal);
  • tentang aturan pengoperasian alat perlindungan informasi individu;
  • melakukan latihan praktis untuk memblokir ancaman terhadap keamanan informasi dan menanggapi insiden;
  • memantau kesadaran staf tentang semua hal di atas.

Frekuensi pelatihan ditetapkan dalam dokumen internal operator, tetapi harus setidaknya 1 kali dalam dua tahun.

Penampilan pelatihan staf merupakan awal yang baik, tetapi sayangnya, bentuk dan jam pelatihan tidak diindikasikan lagi, jika pelatihan tersebut dilaksanakan sesuai dengan program yang disetujui oleh FSTEC atau instruksi internal yang cukup. Kami menduga bahwa banyak orang akan terus mendekati masalah ini secara formal, yaitu, tanda-tanda dalam jurnal "diinstruksikan oleh", "mendengarkan diperintahkan" tanpa benar-benar melakukan kelas.

Dalam paragraf tentang kontrol untuk memastikan tingkat keamanan informasi, frekuensi kontrol tersebut telah ditambahkan. Untuk GIS kelas 1 - setidaknya 1 kali per tahun. Untuk kelas GIS 2 dan 3 - setidaknya 1 kali dalam dua tahun. Anda dapat melibatkan seorang penerima lisensi dalam acara-acara semacam itu, tetapi Anda dapat melakukannya sendiri.

Tentang tingkat kepercayaan pada alat keamanan informasi


Dalam paragraf 26, di samping konsep "kelas pemulihan", konsep "tingkat kepercayaan" diperkenalkan. Untuk GIS kelas 1, Anda membutuhkan setidaknya 4 tingkat kepercayaan, untuk kelas GIS 2 - 5 tingkat kepercayaan ke atas, untuk kelas GIS 3 - 6 tingkat kepercayaan dan di atasnya. FSTEC mengeluarkan pesan informasi tentang tingkat kepercayaan ini dan tidak boleh bingung dengan perkiraan tingkat kepercayaan sesuai dengan GOST R ISO / IEC 15408-3 (di sana, omong-omong, tingkat kepercayaan ke-5 adalah yang tertinggi, tingkat kepercayaan ke-1 adalah yang terendah).

Ini adalah satu-satunya titik perubahan yang tidak masuk dengan segera, tetapi mulai 1 Juni 2020. Kami sedang menunggu sertifikat kesesuaian alat perlindungan informasi yang diperbarui pada tanggal ini. Apakah sarana perlindungan yang tidak memperbarui sertifikat akan berubah menjadi labu masih belum diketahui. FSTEC yang lebih dekat dengan tanggal X dapat merilis beberapa jenis pesan informasi seperti halnya dengan firewall pada tahun 2016.

Router Pro Bersertifikat


Akhirnya, kita selesai dengan pengantar paragraf 26.1:

"Ketika merancang sistem informasi yang baru dibuat atau dimodernisasi dengan akses ke jaringan telekomunikasi Internet, router harus dipilih yang disertifikasi untuk memenuhi persyaratan keamanan informasi (dalam hal fungsi keamanan diterapkan di dalamnya)."

Sebenarnya, pengantar paragraf ini tidak terlalu jelas. Pertama, semua peralatan pelindung harus disertifikasi. Kedua, sebagai aturan, saat menghubungkan ke Internet, GIS menggunakan firewall bersertifikat, termasuk yang merupakan router. Tidak ada profil keamanan yang terpisah untuk router (dengan analogi dengan yang untuk ME), dan mungkin pengenalan klausa 26.1 mengisyaratkan penampilan mereka (profil keamanan) dalam waktu dekat.

Source: https://habr.com/ru/post/id467813/

More articles:


All Articles