среда, 7 июня 2017 г.

Изменения в 17 Приказе ФСТЭК

Добрый день, дорогие читатели! Сегодня хочу поделиться с вами шпаргалкой по изменениям в 17 Приказе ФСТЭК (Приказ ФСТЭК России от 15.02.2017 N 27 "О внесении изменений в Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденные приказом Федеральной службы по техническому и экспортному контролю от 11 февраля 2013 г. N 17").
1. Действие 17 Приказа теперь не распространяется на Высший Арбитражный Суд Российской Федерации.
2. Защита информации осуществляется не только в процессе эксплуатации, но и при выводе из эксплуатации.
3. Вместо 4 классов информационных систем - 3.
4. Угрозы берутся из bdu.fstec.ru.
5. Добавлены новые пункты в частное техническое задание:
  • стадии работ;
  • требования к поставляемым техническим средствам, программному обеспечению, средствам защиты информации;
  • функции заказчика и оператора по обеспечению ЗИ в ИС;
  • требования к защите средств и систем.
6. Для определения требований к системе защиты информации ИС учитываются положения политик обеспечения ИБ только если политики разработаны по ГОСТ Р ИСО/МЭК 27001 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования».
7. При проектировании системы защиты информации - вместо параметров настройки указываются требования к параметрам.
8. При макетировании и тестировании системы защиты информации исключена корректировка проектной и эксплуатационной документации.
9. По результатам анализа нужно подтвердить, что уязвимости отсутствуют или их использование невозможно.
10. Должностные лица, которые проектировали и внедряли систему защиты информации, не могут ее аттестовывать.
11. Перечислены методы аттестационных испытаний:
  • экспертно-документальный;
  • анализ уязвимостей системы;
  • осуществление попыток НСД.
12. Срок действия аттестата не может превышать 5 лет.
13.  ИС, функционирующие на базе общей инфраструктуры, подлежат аттестации в составе указанной инфраструктуры. Если ИС создана на базе ЦОД, класс ЦОД должен быть не ниже класса ИС.
14. Формулировку "Нейтрализация и блокирование" заменили на "защиту".
15. 
Было:

1 класс
2 класс
3 класс
4 класс
СВТ
Не ниже 5 класса
СОВ
Не ниже 4 класса
1. С Интернетом – не ниже 4 класса
Не ниже 5 класса
2. Без Интернета – не ниже 5 класса
САВЗ
Не ниже 4 класса
1. С Интернетом – не ниже 4 класса
Не ниже 5 класса

2. Без Интернета – не ниже 5 класса
МЭ
1. С Интернетом – не ниже 3 класса
Не ниже 4 класса
2. Без Интернета – не ниже 4 класса
НДВ
Не ниже 4 уровня
-

Стало:

1 класс
2 класс
3 класс
СЗИ
Не ниже 4 класса
Не ниже 5 класса
Не ниже 6 класса
СВТ
Не ниже 5 класса
НДВ
Не ниже 4 уровня
-

16. Состав мер защиты информации. Изменены меры УПД3 и ЗСВ10.
Было:
УПД3
4
3
2
1
-
-
+
+

Стало:
УПД3
3
2
1
+
+
+

Было:
ЗСВ10:
4
3
2
1
-
-
+
+

Стало:
ЗСВ10:
3
2
1
+
+
+
О. Ренуар. Дворец Дожей. Источник
https://vk.com/kshudrova - ссылки на свежие посты и интересные материалы других авторов. Присоединяйтесь!