Бессрочный аттестат и другие нововведения ФСТЭК

В пятницу 13 сентября 2019 года ФСТЭК России сделал подарок операторам персональных данных, отменив срок действия аттестатов соответствия. Теперь они бессрочные.

Подарок ли это, и какие еще изменения произошли, мы опишем в этой заметке.

Обновленные требования вносят довольно логичную детализацию в отдельные положения Приказа 17 и, дополнительно, корректируют процедуры защиты и аттестации ГИС, как стороны операторов, так и со стороны интеграторов.

Но на некоторых моментах хотелось бы остановиться подробнее.


Аттестованный ЦОД

Довольно большой пласт детализации касается вопроса размещения государственных информационных систем (ГИС) в центрах обработки данных:

  • При моделировании угроз ГИС должны учитываться актуальные угрозы для инфраструктуры ЦОД. Поскольку оператор ГИС и/или интегратор досконально инфраструктуру ЦОД не знают, 100% корректно определить такие актуальные угрозы они не смогут. Кроме того, ЦОД, для размещения в нем ГИС, должен иметь аттестат соответствия. Т.е., логично предположить, что и собственный перечень актуальных угроз, оформленный в виде соответствующей модели угроз, у него тоже имеется. Таким образом, идеальный вариант – иметь под рукой этот самый перечень актуальных угроз от ЦОД.
  • Во всех новых пунктах про ЦОД говорится об аттестации и защите «информационно-телекоммуникационной инфраструктуры центра обработки данных». При этом нигде детализируется, что под эти понимается – отдельный хост виртуализации, стойка с серверам, полностью вся инфраструктура ЦОД. В устных разъяснениях регулятор дает комментарий:

Защите и аттестации должен подлежит минимальный набор компонент, технических средств и программного обеспечения, необходимый для размещения аттестуемой ГИС. Если для размещения аттестованных ГИС в ЦОДе выделяются отдельные сетевые сегменты и оборудование – аттестуются только они (с учетом требований по разграничению доступа, установке на границе сети сертифицированных средств защиты и т.п.).


Разделение должностных лиц (работников)

Пункт 17, по поводу которого спорили еще в прошлой редакции Приказа 17 (что же такое «должностное лицо» и как их разделять?), дополнился еще и «работниками». Это породило закономерный вопрос – если уже и работники и должностные лица должны быть разные на этапах внедрения системы защиты и аттестации, получается, и разные организации должны такие работы проводить? Регулятор разъясняет, что нет, в пределах одного юридического лица можно выделить часть сотрудников, которые будут проектировать и внедрять систему защиты, а также других сотрудников, которые будут заниматься только аттестацией. Привлекать субподрядчиков или дробить договоры на работы не обязательно.


Бессрочный аттестат

Бальзам на душу операторов – бессрочный аттестат (точнее, аттестат, действующий в период эксплуатации ГИС). Здесь ФСТЭК России рекомендует не учитывать положения ГОСТ РО 0043-003-2012, где сказано, что аттестат на объект информатизации не может действовать дольше трех лет. Также старательно в обновленных требованиях вырезаны различные упоминания про дополнительные аттестационные испытания и переаттестацию. Складывается впечатление, что оператору можно один раз напрячь все силы, пройти аттестацию и забыть про эту процедуру, как про страшный сон.

Нужно только выполнять регламентные мероприятия по сопровождению из п.18 обновленного Приказа 17 (планирование мероприятий по защите информации, анализ угроз безопасности, администрирование и управление конфигурацией системы защиты, реагирование на инциденты, обучение персонала, контроль обеспечения уровня защищенности информации).

Однако, все не совсем так. Во-первых, остаются еще ситуации, которые явно могут потребовать проведения переаттестации – например, изменение класса защиты ГИС. Во-вторых, вновь введенный пункт 18.7 обязует оператора проводить не только периодический контроль обеспечения уровня защищенности информации, но и принимать решения о модернизации системы защиты. Такая модернизация должна находить отражение в проектной и аттестационной документации. То есть, если не переаттестация, то актуализация аттестата соответствия должна быть проведена. Причем, оператор сам это вряд ли сделает.

Верхнеуровневый порядок действий оператора, при обеспечении безопасности ГИС по обновленному Приказу 17, должен выглядеть следующим образом:

  1. Проектирование и внедрение системы защиты, аттестация ГИС, ввод ГИС в эксплуатацию.
  2. Эксплуатация ГИС, выполнение регламентных мероприятий в части системы защиты, включая регулярный контроль обеспечения уровня защищенности информации. Данный контроль должен проводиться раз в год или раз в два года, в зависимости от класса ГИС. Проводить такой контроль может оператор самостоятельно или с привлечением лицензиата ФСТЭК.
  3. Принятие решения о внесении изменений в систему защиты с корректировкой проектной и аттестационной документации.

Вывод

Не смотря на то, что изменения Приказа 17 внесли рад позитивных уточнений и облегчили жизнь операторам ГИС, ключевые неудобные моменты оценки соответствия остались прежними: нужно иметь аттестат, фиксирующий состояние объект защиты в некий момент времени. Меняем объект защиты = обновляем аттестат в рамках регулярного контроля защищенности (и так до бесконечности, так как все системы живые).

Остается только стремиться к максимальному упрощению процедуры регулярного контроля защищенности и принятия решения о необходимости актуализации аттестата. Здесь может помочь автоматизация процесса оценки соответствия, например, с опорой на развивающийся проект OSCAL. Либо, путем применения уже готовых технических решений по автоматизированной оценке соответствия. В вопросах такой автоматизации мы с радостью готовы помочь!

Compliance, ПДн

© VolgaBlob, 2007-2022. Все права защищены.