哈Ha! 9月13日,司法部批准了一项修改第17号命令的
文件 。 这是关于状态信息系统(以下简称GIS)中信息保护的一种。 实际上,存在许多变化,其中一些变化是重大的。 对于GIS操作员来说,至少有一件非常令人愉快的事情。 细节剪下。
关于愉快
让我们从此开始,然后介绍其他所有内容。 对于运营商而言,最好的部分是GIS证书现在不受限制。 在第17.4段中,以前写过该证书的颁发期限为5年,现在则写为“在信息系统的整个生命周期中颁发了合格证书”。 诚然,当然,这并不能消除保持信息保护系统与证书相符的需求,正如在第17.4段中提到的那样。
关于云数据中心
根据我们的经验,越来越多的GIS运营商倾向于认为维护自己的服务器基础架构并迁移到云提供商的能力并不是很赚钱。 在先前版本的Order 17中,有两行专门针对这种情况,但现在他们决定更详细地描述它。 特别指出以下要求:
- 迁移到云数据中心的GIS类不应高于数据中心本身的类,这意味着数据中心本身必须通过分类(第17阶第14.2段中的新段落);
- 在已移至第三方数据中心的信息系统的威胁建模过程中,应考虑与数据中心本身相关的威胁。 特别是,这直接表明应该在数据中心和GIS上开发两个单独的威胁模型(第14.4段的新段落);
- 如果在数据中心已采取措施保护信息,那么在GIS本身的信息安全系统的设计文档中,我们可以在相关和必要的地方指出这些信息(第15.1段的新段落);
- GIS中的信息安全工具应彼此兼容(这是转身!),并且应与数据中心中使用的安全工具兼容。 从逻辑上讲,否则将一事无成(第16.1节的新段落);
- GIS移至的数据中心必须根据17项命令进行认证。 这对许多人来说已经很明显了,但是有人反对了(修改了第17.6段)。
- 如果数据中心采取的措施阻止了对GIS的所有安全威胁,则不需要采取其他措施来保护GIS中的信息(新段落-22.1)
其他琐事
在第17段中,已经写明保护系统的设计及其认证应由各种官员进行,将“雇员”添加到方括号中的“官员”中。 他们增加清晰度是件好事,因为有关“官员”的含义的辩论是认真的。
第17.2节增加了一段内容,即GIS本身的验收测试和信息安全系统的认证测试可以合并。 是的,总的来说,情况一直如此。
信息系统运行中的信息安全
在第18点中补充了新的强制性措施,必须在经过认证的GIS操作期间执行这些强制性措施。 在信息保护系统的管理,事件的检测和响应,系统配置的管理以及对确保信息安全水平的控制方面,增加了“信息保护措施的计划”,“安全威胁分析”和“信息系统的培训人员”。 在这里,第17阶中的最后一个在很长时间内肯定不够用。
此外,将更详细地公开所有这些处于第17阶的阶段,并且由于“事件计划”成为列表中的第一部分,因此“安全威胁分析”(第二部分)的子项目编号已更改。
在计划过程中(新的第18.1段),我们必须:
- 确定负责计划和监视信息保护活动的人员。 以前,无需任命此类人员,因此,应在所有GIS中以良好的方式发布关于此类人员任命的新命令;
- 确定负责识别和响应事件的人员。 此项不添加任何新内容。 在我们的内部文档指南中,我们已经描述了信息安全事件响应团队的目的。 他们是;
- 制定并批准保护信息的措施计划。 标准计划文件中早就存在这样的计划,这也已不是什么新鲜事了。
- 确定监测活动执行情况的程序 这可以用相同的方式完成。
根据威胁分析(新的第18.2段),一切都非常简洁。 有必要识别和消除漏洞,分析安全威胁的变化并评估实施威胁的可能后果。
人们经常被问到我们需要多久搜索一次漏洞并分析信息安全威胁。 在同一段落中,调节器表示频率由操作员确定。
信息安全系统的管理项目(旧版18.1和新版18.3)也已更改。 从此处删除了“向用户通知安全威胁...”,显然是因为现在我们有一个单独的部分,并且添加了“负责管理信息安全系统的人员的定义”。 但是,新项目没有什么特别新鲜的东西,这是我们倍受尊敬的安全管理员! 其余部分保留在原处,尽管有一些释义,但基本相同。
关于管理信息系统(旧的18.3,新的18.4)的配置的观点有所改写,但本质上并没有改变。 关于事件响应点也可以这样说(旧的18.2,新的18.5)。
关于员工培训的第18.6段是新内容,因此我们将在此进行更详细的介绍。 因此,我们应该教他们什么以及应该了解的信息:
- 关于信息安全的新紧急威胁;
- 关于信息系统安全运行的规则;
- 关于保护信息的要求(法规和内部文件);
- 关于个人信息保护工具的操作规则;
- 进行实践练习,以阻止对信息安全的威胁并响应事件;
- 监控员工对以上所有方面的意识。
培训的频率在操作员的内部文件中确定,但应至少两年一次。
员工培训的出现是一个好的开始,但是不幸的是,如果按照FSTEC批准的计划或足够的内部指导进行培训,则不再列出培训的形式和时间。 我们怀疑许多人将继续正式处理该问题,即期刊中“由……指示”,“听从指示”的标记而没有实际上课。
在关于确保信息安全级别的控制的段落中,增加了这种控制的频率。 对于GIS 1级-每年至少1次。 对于GIS 2和3类-两年至少一次。 您可以让被许可人参与此类事件,但是您可以自己进行。
关于对信息安全工具的信心水平
在第26段中,除了“补救措施类别”的概念外,还引入了“信任度”的概念。 对于GIS 1类,您至少需要4个信任级别,对于GIS 2 2类-至少5个信任级别,对于GIS 3 3类-至少6个信任级别。 FSTEC发布了有关这些信任级别的
信息消息 ,请勿将其与根据GOST R ISO / IEC 15408-3估算的信任级别混淆(顺便说一句,第五信任级别最高,第一信任级别最低)。
这是唯一不会立即进入更改的更改点,而是从2020年6月1日开始。 我们正在等待这个日期之前更新的信息保护工具符合性证书。 尚未更新证书的保护手段是否会变成南瓜仍然未知。 FSTEC可能会在X之前发布一些信息性消息,就像在2016年使用防火墙一样。
专业认证路由器
最后,我们通过引入第26.1段来结束:
“在设计可访问Internet电信网络的新建或现代化信息系统时,应选择经认证可满足信息安全要求的路由器(就其中实现的安全功能而言)。”
实际上,此段的介绍不是很清楚。 首先,所有防护设备必须经过认证。 其次,通常,在连接到Internet时,GIS使用经过认证的防火墙,包括路由器。 路由器没有单独的安全性配置文件(类似于ME的安全性配置文件),也许在不久的将来引入第26.1节会暗示路由器的外观(安全性配置文件)。