Приказ фстэк рф от 28.05.2019 n 106

Выполнение требований продуктами компании Индид

Ключевой особенностью мер из Приказов ФСТЭК России является вариативность их реализации с помощью комплекса организационных и технических мер. Причём, некоторые меры не обязательны, а некоторые могут быть выполнены только с помощью организационных мер.

Идентификация и аутентификация (ИАФ)

Также решения Индид позволяют реализовать основные задачи технического характера в своей области функционирования/развёртывания в следующих группах мер:

  • Регистрация событий безопасности (РСБ) / Аудит безопасности (АУД)
  • Управление доступом (УПД)

Дополнительно решения Индид позволяют реализовать существенную часть технических задач по следующим разделам в своей области функционирования/развёртывания:

  • Выявление инцидентов и реагирование на них (ИНЦ)
  • Управление конфигураций информационной системы и системы защиты (УКФ)

С точки зрения собственной работы, решения компании Индид поддерживают релизацию всех основных задач по следующим группам мер:

  • Обеспечение целостности (ОЦЛ)
  • Обеспечение доступности (ОДТ)

Более детальную информацию по выполнению мер требований Приказов ФСТЭК с помощью решений Индид можно запросить у нас в чате.

Ссылки на нормативно-правовые акты:

  • Федеральный закон от 27.07.2006 г. N 149-ФЗ “Об информации, информационных технологиях и о защите информации”
  • Федеральный закон от 27.07.2006 г. N 152-ФЗ “О персональных данных”
  • Федеральный закон от 26.07.2017 г. N 187-ФЗ “О безопасности критической информационной инфраструктуры российской федерации”
  • Федеральный закон от 21.12.1994 N 68-ФЗ (ред. от 01.04.2020) «О защите населения и территорий от чрезвычайных ситуаций природного и техногенного характера»
  • Приказ ФСТЭК России от 11.02.2013 г. N 17 “Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах”
  • Приказ ФСТЭК России от 18.02.2013 г. N 21 “Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных”
  • Приказ ФСТЭК России от 14.03.2014 г. N 31 “Об утверждении требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды”
  • Приказ ФСТЭК России от 25.12.2017 г. N 239 ”Об утверждении требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры российской федерации”
  • Методический документ. Утвержден ФСТЭК России 11.02.2014 г. Меры защиты информации в государственных информационных системах

Цель регулирования

Государство наделило ведомство правом определять стратегические направления в сфере информационной безопасности, разрабатывать концепции и методики, утверждать руководящие документы, обязательные для применения участниками процесса защиты информации. Организации, приступающие к проектированию информационных систем, берут за основу не только международные стандарты и ГОСТы, в первую очередь они ориентируются на методики ФСТЭК России и используют одобренные ведомством программные и технические средства. 

Такой подход позволяет решать задачи единообразия государственного регулирования в сфере защиты информации различных классов. Но рекомендации ведомства не всегда успевают за современными моделями угроз. Уровень атак растет быстрее, чем ведомство вносит изменения в руководящие документы, но минимальные требования оно все же устанавливает.   

Выполнение рекомендаций регулятора обязательно в случаях: 

  • получения лицензий на технические средства (ТЗКИ) и средства криптографической защиты (СКЗИ), разрешающих оказывать профессиональные услуги в сфере информационной безопасности;
  • получения лицензии на работу с государственной тайной;
  • работы с банковской тайной. В этом случае в первую очередь действуют требования регулятора, ЦБ РФ, опирающиеся на рекомендации ведомства; 
  • выполнения функций оператора персональных данных;
  • оказания телематических услуг (передача информации по Интернету). 

В каждом из этих случаев необходимо соблюдение требований ведомства. Отказ от этого приведет к проверкам, приостановке и отзыву лицензии, административным штрафам.

Обзор документа

  • Документ предназначен для:
    • организаций, осуществляющих в соответствии с законодательством РФ работы по созданию программных, программно-технических средств технической защиты информации, средств обеспечения безопасности информационных технологий, включая защищённые средства обработки информации (далее — средства),
    • заявителей на осуществление сертификации,
    • испытательных лабораторий и органов по сертификации, выполняющих работы по сертификации средств на соответствие обязательным требованиям по безопасности информации.
  • Данный приказ отменяет Приказ ФСТЭК России №131 от 30.07.2018 «Об утверждении Требований по безопасности информации, устанавливающих уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий» с 01 января 2021 года.

  • Частично приказ вступает в силу позже:
    • с 1 января 2022: седьмой абзац пункта 12.2 и девятый абзац пункта 12.4;
    • с 1 января 2024: пятый абзац пункта 12.5;
    • с 1 января 2028: пятый абзац пункта 12.3.
  • Изготовителям средств, сертифицированных по схеме сертификации для серийного производства, необходимо привести средства в соответствие Требованиям и проинформировать об этом ФСТЭК России в целях переоформления сертификатов соответствия.

  • Выполнение Требований является обязательным при проведении работ по оценке соответствия (включая работы по сертификации) средств, организуемых ФСТЭК России в пределах своих полномочий.

  • Для дифференциации требований по безопасности информации к средствам устанавливается 6 уровней доверия. Самый низкий уровень – шестой, самый высокий – первый.
    • Средства, соответствующие 6 уровню доверия, применяются
      • ЗО КИИ 3: в значимых объектах критической информационной инфраструктуры 3 категории,
      • ГИС 3: в государственных информационных системах 3 класса защищенности,
      • АСУПиТП 3: в автоматизированных системах управления производственными и технологическими процессами 3 класса защищенности,
      • ИСПДн 3,4: в информационных системах персональных данных при необходимости обеспечения 3 и 4 уровня защищенности персональных данных.
    • Средства, соответствующие 5 уровню доверия, применяются
      • ЗО КИИ 2: в значимых объектах критической информационной инфраструктуры 2 категории,
      • ГИС 2: в государственных информационных системах 2 класса защищенности,
      • АСУПиТП 2:в автоматизированных системах управления производственными и технологическими процессами 2 класса защищенности,
      • ИСПДн 2: в информационных системах персональных данных при необходимости обеспечения 2 уровня защищенности персональных данных.
    • Средства, соответствующие 4 уровню доверия, применяются
      • ЗО КИИ 1: в значимых объектах критической информационной инфраструктуры 1 категории,
      • ГИС 1: в государственных информационных системах 1 класса защищенности,
      • АСУПиТП 1:в автоматизированных системах управления производственными и технологическими процессами 1 класса защищенности,
      • ИСПДн 1: в информационных системах персональных данных при необходимости обеспечения 1 уровня защищенности персональных данных, в информационных системах общего пользования II класса.
    • Средства, соответствующие 1, 2 и 3 уровням доверия, применяются в информационных (автоматизированных) системах, в которых обрабатывается информация, содержащая сведения, составляющие государственную тайну.
  • Для дифференциации требований к исследованиям программного обеспечения средств по выявлению уязвимостей и недекларированных возможностей устанавливается 6 уровней контроля. Самый низкий уровень – шестой, самый высокий – первый. В соответствии с Требованиями средства должны проходить исследования по выявлению уязвимостей и недекларированных возможностей по уровню контроля, соответствующему уровню доверия:
    • Средства, соответствующие 6 уровню доверия, должны проходить исследования по 6 уровню контроля,
    • 5 уровню доверия – по 5 уровню контроля,
    • 4 уровню доверия – по 4 уровню контроля,
    • 3 уровню доверия – по 3 уровню контроля,
    • 2 уровню доверия – по 2 уровню контроля,
    • 1 уровню доверия – по 1 уровню контроля.

Тэги

ссылки

интересное

Mikrotik

security

routeros

links

MS

books

link

обучение

ИБ

linux

Книги

cisco

windows

Автоматизация

D-Link

MTCNA

VPN

OSPF

ubuntu

безопасность

Active Directory

The Dude

firewall

script

сеть

скрипт

AD

FreeBSD

Linux Server

MTCRE

RDP

failover

monitoring

mum

routing

Сертификация

#Sysadminka

Asterisk

Certification

DDoS

DHCP

HDD

Hyper-V

IP-телефония

MTU

Microsoft

PowerShell

RAID

SNMP

SSL

Wi-Fi

WiFi

debian

hardware

internet

presentation

routerboard

server

webmin

Линукс

Челябинск

виртуализация

для чайников

жизнь

закон

коммутатор

коммутация

настройка

BGP

CureIt

DNS

DPI

Dr.Web

KeePass

L2

Linux Firewalls

MPLS

MSS

MVA

MidnightCommander

O’Reilly

PPTP

QoS

SDN

SNMPv3

about

bandwidth

best practice

cmd

eoip

groups

hack

iptables

open source

password

python

ssh

terminal

Антивирус Касперского

ИСПДн

Интернет

Информационная безопасность

ПДн

СКЗИ

ЦОД

блог

группы

курсы

оптимизация

официальные документы

пароль

полезное

приказ

производительность

профессионализм

работа

скорость

туризм

юзвери

70-640

70-642

8.8.4.4

8.8.8.8

802.11

802.1Q

APC

ARP

Arduino

AutoIt

Azure

Benchmarks

Bridging

CEPH

CIS

CactiEZ

CentOS

ConfigServer Services

Consultant

DFL-260e

DFS

DNS Failure

DoS

ERPS

EVE-NG

EXOS

Excel

Extreme Networks

FS

FTP

FastNetMon

Fortigate

Fortinet

Forwarding

GNU

GPL

GRUB2

IDA

IDE

IIS

IPAM

ISO

ISO/OSI

ISP

IT

Introduction

KAV

KIS

Kaspersky Internet Security

KeePassX

LACP

LAPS

LVM

Lab

Lastpass

Local Admin

MAC-Port

MC

MCITP

MCTS

MPBGP

MS12-020

MTCTCE

MTCWE

MiTM

Mikrotik-trainigs

NAT

NFS

Netwrix AD change auditor

OSI

OpenSource

Option 82

PDU

PHD VI

PHPIPAM

PRTG

Pentium-I

RAT

RFC

RTT

Remote Administration Tool

SJPhone

SMART

SMS

STP

Sysinternals

System Center

TCP

TCP/IP

TLS

Telegram

TrixBox

UTM

Ubuntu 10.10

Uptime Robot

VPS

VRDP

VRF

Veeam Endpoint Backup

Virtual Address Mapping

VirtualBox

VoIP

WPAD

Window Size

Windows 2000

Windows 8

Windows server 2008R2

X Window System

XFCE

aggregation

ansible

apache

apple

autonegotiate

aws

backdoor

balance

bash

bat

batch

beeline

blog

bonding

bug

cacti

ccna

ccnp

ciseg

cjdns

cloud

collision

configuration management

courses

crc

csv

delay-threshold

design

devnet

docker

duplex

dynamic MAC

error

exploit

fedora

firewalls

fly

free

free software

functions

geany

gentoo

google public dns

grafana

greenshot

grep

hajime

highload

highload++

hotspot

html

https

i2p

install

inux

ios

ios10

iot

iperf

iphone

ipsec

iptest

kubernetes

l2tp

l7-filter

layer2

loader

manual

mdt 2013

mf710m

nDPI

network

ntop

openstack

openvpn

ostinato

ovpn

oxidized

packages

papercut

pascal

performance

pidgin

ping

ports

price

printer

prometheus

proxy

putty

qlproxy

queues

radmin

rb951ui-2hnd

regexp

remote display

rsc

segmentation

sipnet.ru

snmp_exporter

spiceworks

tag

teamviewer

texet

theory

time-management

tools

tor

tox

trojan

troubleshooting

tutotial

twister

utilites

video

vlan

vpls

wireshark

wlan

xplico

zabbix

zte

Аракуль

Башкирия

Белорецк

Белый ключ

Гремучий ключ

Двуглавая сопка

Ланит

Митькины скалы

Мраткино

Перья

СКС

Таганай

Том Лимончелли

Управление IP адресами

ФСБ

ФСТЭК

Хакер

анонимность

антивирусы

аппаратный файерволл

аудио

балансировка

большой брат

будущее

видео

вирусы

горнолыжка

горы

группы по умолчанию

двойной NAT

диагностика

дизайн

домен

доступ

заметка

запрет

запретили google

защита

зима

иксы

инструменты

интервью

карьера

китайцы

коллизии

командная строка

консоль

конференция

масштабируемость

менеджер паролей

мероприятие

неайтишное

облака

общие папки

объекты идентификации

оглавление

оповещения

отдых

отпуск

отрубить руки

пакеты

пароли

переезд

перенос профиля

пересекающиеся адреса

печать

пиздец

письмо

пользователи

порты

права доступа

приветствие

пропаганда

пропускная способность

радиолюбитель

раритет

резервирование

рекомендации

русификация

свободное ПО

сегментация

сертификаты

сноуборд

советы

софтфон

сравнение

стандарты

старое железо

стена позора

таблица

тайм-менеджмент

тайм-менеджмент для системных администраторов

терминал

технологии

удаление

удаленный доступ

ускорение

установка

установка программ

уязвимость

файловая система

форум

хомячки

хранение паролей

цены

чертов MS

шифрование

яндекс

№17

№378

Нормативно-правовая база

Федеральный орган исполнительной власти опирается на Конституцию РФ и федеральные законы, регулирующие защиту информации. Ведомство действует на основании Указа Президента № 1085, определяющего его полномочия. Служба издает собственные нормативно-правовые акты, имеющие как обязательный, так и рекомендательный характер. Найти весь перечень нормативных актов, действующих, и утративших силу, можно на официальном сайте.

Полномочия ведомства распространяются на частные и государственные организации. Приказ № 17 устанавливает требования к защите информации, находящейся в государственных информационных системах (ИС), если она не содержит государственную тайну. Методика определения актуальных угроз безопасности персональных данных, предложенная ведомством, и Рекомендации по защите ПД (Приказ № 21) распространяются на операторов ПД. Некоторые документы имеют гриф «Для служебного пользования», но с большинства он снят. Гриф «ДСП» традиционно сохраняется на документах, регламентирующих требования к программным и аппаратным средствам, которые предназначены для систем с повышенным классом безопасности. Это связано с тем, что информация о том, каким способом защищаются особо важные сведения, может быть доступна только лицензированным организациям.

Нормы ФСТЭК в целом регламентируют:

  • классификацию программных и технических средств защиты информации по разным критериям;
  • использование определенных защитных схем данных исходя из существенности угроз;
  • критерии оценки работы организаций и персонала;
  • условия получения лицензий на деятельность и сертификатов на ПО.

Некоторые документы вызывают недопонимание в профессиональном сообществе, так как вынуждают изменить защитные схемы и расходовать большие бюджеты на новые программные и технические средства. В большинстве случаев в ходе обсуждения достигается консенсус. Так, в результате взаимодействия с бизнесом ведомство инициировало внесение изменений в Постановление Правительства № 127, касающееся защиты объектов критической информационной инфраструктуры.

Актуальные вопросы защиты информации

Общественность интересует, насколько эффективно ведомство выполняет свои функции. Отчитываясь о результатах реализации требований в сфере защиты информации, ФСТЭК применительно к разработчикам ПО, критически важным объектам инфраструктуры и частично к операторам ПД отмечает:

  • в 2018 году продлен срок сертификации ПО, теперь операторы не обязаны самостоятельно продлять сертификации;
  • изменилось формирование модели угроз, сейчас она опирается на архитектуру системы;
  • предложена модель защиты прав оператора, если он установил несертифицированное ПО. Если ранее ему требовалась инсталляция нового, теперь он сам, а не разработчик, вправе подать заявку на сертификацию;
  • в связи с изменением информационной среды разработаны требования к новым средствам защиты информации, в том числе в облачной среде;
  • изменена методика выявления уязвимостей в ПО;
  • создан и поддерживается банк данных угроз безопасности информации. Базовое описание предлагает до 700 типов уязвимостей.

Деятельность ФСТЭК РФ показывает ее готовность успевать за требованиями времени и предлагать рынку новые инструменты защиты информации.