Revisão das mudanças na 17ª ordem do FSTEC



Olá Habr! Em 13 de setembro, o Ministério da Justiça aprovou um documento que altera a 17ª ordem. É o que trata da proteção das informações nos sistemas de informações estaduais (doravante - SIG). De fato, existem muitas mudanças e algumas delas são significativas. Há pelo menos uma coisa muito agradável para os operadores de GIS. Detalhes sob o corte.

Sobre agradável


Vamos começar com isso e depois sobre todo o resto. A melhor parte para os operadores é que o certificado GIS agora é ilimitado. No parágrafo 17.4, onde foi escrito anteriormente que o certificado é emitido por 5 anos, agora está escrito "O certificado de conformidade é emitido por toda a vida útil do sistema de informação". É verdade que, é claro, isso não elimina a necessidade de manter a conformidade do sistema de proteção de informações com o certificado, conforme mencionado no mesmo parágrafo 17.4.

Sobre os datacenters em nuvem


De acordo com nossa experiência, cada vez mais operadores de GIS tendem a acreditar que não é muito lucrativo para eles manter sua própria infraestrutura de servidor e migrar para a capacidade de um provedor de nuvem. Algumas linhas foram dedicadas a essas situações na edição anterior da Ordem 17, mas agora eles decidiram descrevê-la com mais detalhes. Em particular, são indicados os seguintes requisitos:

  • A classe GIS que se move para o datacenter em nuvem não deve ser maior que a classe do datacenter em si, o que significa que o datacenter em si deve passar na classificação (novo parágrafo no parágrafo 14.2 da 17ª ordem);
  • No processo de modelagem de ameaças para um sistema de informações que foi movido para um data center de terceiros, as ameaças relevantes ao próprio data center devem ser levadas em consideração. Isso, em particular, indica diretamente que dois modelos de ameaças separados devem ser desenvolvidos no data center e no GIS (novo parágrafo do parágrafo 14.4.);
  • Se medidas foram tomadas no datacenter para proteger as informações, na documentação do projeto do sistema de segurança da informação do próprio SIG, podemos indicá-las onde é relevante e necessário (novo parágrafo do parágrafo 15.1);
  • As ferramentas de segurança da informação no GIS devem ser compatíveis entre si (é a vez!) E com as ferramentas de segurança usadas no datacenter. Logicamente, caso contrário, nada funcionará, afinal (um novo parágrafo da cláusula 16.1);
  • O data center para o qual o GIS se move deve ser certificado de acordo com 17 pedidos. Isso já era óbvio para muitos, mas alguém resistiu (parágrafo 17.6 alterado);
  • Se as medidas tomadas no data center bloquearem todas as ameaças à segurança do SIG, não serão necessárias medidas adicionais para proteger as informações no SIG (novo parágrafo - 22.1)

Outras curiosidades


No parágrafo 17, onde já estava escrito que o design do sistema de proteção e sua certificação deveriam ser executados por vários funcionários, os “funcionários” foram adicionados aos “funcionários” entre parênteses. É bom que eles tenham acrescentado clareza, porque o debate sobre o que quer dizer com "funcionários" foi sério.

A cláusula 17.2 foi complementada com o parágrafo de que os testes de aceitação do próprio SIG e os testes de certificação do sistema de segurança da informação podem ser combinados. Sim, em geral, esse sempre foi o caso.

Segurança da informação durante a operação do sistema de informação


O ponto 18 foi reabastecido com novas medidas obrigatórias que devem ser executadas durante a operação de um SIG certificado. Ao gerenciamento do sistema de segurança da informação, à detecção e resposta de incidentes, ao gerenciamento da configuração do sistema e ao controle sobre a garantia do nível de segurança da informação são adicionados "planejamento de medidas para proteger as informações", "análise de ameaças à segurança" e "informação e treinamento de pessoal do sistema de informação". Aqui, o último da 17ª ordem definitivamente não foi suficiente por um longo tempo.

Além disso, todos esses estágios na 17ª ordem são divulgados com mais detalhes e, desde que o “planejamento de eventos” se tornou o primeiro da lista, “análise de ameaças à segurança” - o segundo, a numeração dos subitens.

No decorrer do planejamento (novo parágrafo 18.1), devemos:

  • Identifique os responsáveis ​​pelo planejamento e monitoramento das atividades de proteção de informações. Anteriormente, não havia necessidade de nomear essas pessoas; portanto, de uma maneira positiva, uma nova ordem de nomeação dessas pessoas deveria ser emitida em todos os SIG;
  • Identifique os responsáveis ​​pela identificação e resposta a incidentes. Este item não adiciona nada de novo. Em nosso guia de documentação interno, já descrevemos o objetivo da equipe de resposta a incidentes de segurança da informação. Que eles são;
  • Desenvolva e aprove um plano de medidas para proteger as informações. Nada de novo também, esse plano já existe há muito tempo no conjunto padrão de documentos ;
  • Determinar o procedimento para monitorar a implementação de atividades Isso pode ser feito da mesma maneira.

De acordo com a análise de ameaças (novo parágrafo 18.2), tudo é bastante conciso. É necessário identificar e eliminar vulnerabilidades, analisar mudanças nas ameaças à segurança e avaliar as possíveis conseqüências da implementação das ameaças.

Muitas vezes nos perguntam quantas vezes precisamos procurar vulnerabilidades e analisar ameaças à segurança da informação. No mesmo parágrafo, o regulador diz que a frequência é determinada pelo operador.

O item para gerenciar o sistema de segurança da informação (o antigo 18.1 e o novo 18.3) também foi alterado. A partir daqui, "informar os usuários sobre ameaças à segurança ..." foi removido, aparentemente porque agora temos uma seção separada e a "definição de pessoas responsáveis ​​pelo gerenciamento do sistema de segurança da informação" foi adicionada. No entanto, não há nada de particularmente novo no novo item, este é o nosso respeitado administrador de segurança! O resto aqui permaneceu no lugar, embora um pouco parafraseado, mas essencialmente o mesmo.

O ponto sobre o gerenciamento da configuração do sistema de informações (antigo 18.3, novo 18.4) é um pouco reformulado, mas essencialmente não mudou. O mesmo pode ser dito sobre o ponto de resposta a incidentes (antigo 18.2, novo 18.5).

O parágrafo 18.6, sobre treinamento de pessoal, é novo, por isso, vamos nos aprofundar mais detalhadamente. Então, o que devemos ensiná-los e o que informar sobre:

  • sobre novas ameaças urgentes à segurança da informação;
  • sobre as regras para o funcionamento seguro do sistema de informação;
  • sobre requisitos para a proteção de informações (documentos normativos e internos);
  • sobre as regras para o funcionamento de ferramentas individuais de proteção de informações;
  • realizar exercícios práticos para bloquear ameaças à segurança da informação e responder a incidentes;
  • monitorar a conscientização da equipe sobre todos os itens acima.

A frequência do treinamento é estabelecida nos documentos internos do operador, mas deve ser pelo menos uma vez em dois anos.

A aparência do treinamento da equipe é um bom começo, mas, infelizmente, as formas e as horas do treinamento não são indicadas novamente, caso esse treinamento seja realizado de acordo com os programas aprovados pelo FSTEC ou com instruções internas suficientes. Suspeitamos que muitos continuarão abordando a questão formalmente, a saber, as marcas no periódico “instruídas por”, “ouvidas por instruídas” sem realmente ministrar aulas.

No parágrafo sobre controle para garantir o nível de segurança da informação, a frequência desse controle foi adicionada. Para GIS grau 1 - pelo menos 1 vez por ano. Para GIS 2 e 3 classes - pelo menos 1 vez em dois anos. Você pode contratar um licenciado em tais eventos, mas pode conduzi-lo você mesmo.

Sobre os níveis de confiança nas ferramentas de segurança da informação


No parágrafo 26, além do conceito de "classe de remédio", é introduzido o conceito de "nível de confiança". Para GIS classe 1, você precisa de pelo menos 4 níveis de confiança, para GIS 2 classes - 5 níveis de confiança e acima, para GIS 3 classes - 6 níveis de confiança e acima. O FSTEC emitiu uma mensagem informativa sobre esses níveis de confiança e não deve ser confundida com o nível estimado de confiança de acordo com GOST R ISO / IEC 15408-3 (aliás, a propósito, o 5º nível de confiança é o mais alto, o 1º nível de confiança é o mais baixo).

Este é o único ponto de mudança que não entra imediatamente, mas a partir de 1º de junho de 2020. Estamos aguardando certificados atualizados de conformidade das ferramentas de proteção de informações até essa data. Ainda não se sabe se os meios de proteção que não renovaram o certificado se transformarão em abóbora. O FSTEC mais próximo da data X pode liberar algum tipo de mensagem informativa, como ocorreu com os firewalls em 2016.

Roteadores Certificados Pro


Finalmente, terminamos com a introdução do parágrafo 26.1:

“Ao projetar sistemas de informação recém-criados ou atualizados com acesso à rede de telecomunicações da Internet, devem ser selecionados os roteadores certificados para conformidade com os requisitos de segurança da informação (em termos das funções de segurança implementadas neles).”

De fato, a introdução deste parágrafo não é muito clara. Em primeiro lugar, todos os equipamentos de proteção devem ser certificados. Em segundo lugar, como regra, ao conectar-se à Internet, o GIS usa firewalls certificados, incluindo aqueles que são roteadores. Não há perfis de segurança separados para roteadores (por analogia com os de MEs), e talvez a introdução da cláusula 26.1 indique sua aparência (perfis de segurança) em um futuro próximo.

Source: https://habr.com/ru/post/pt467813/


All Articles