Top.Mail.Ru
/ Приказ ФСТЭК России № 159: обзор изменений

Приказ ФСТЭК России № 159: обзор изменений

приказ фстэк 159.png

5 ноября вступили в силу изменения в 17 и 239 приказах ФСТЭК России для государственных информационных систем (ГИС) и значимых объектов критической информационной инфраструктуры (ЗО КИИ).

Главным изменением в приказах является добавлением мер по защите от атак, направленных на отказ в обслуживании.

Ознакомиться с ними можно самостоятельно в п. 20.14 и п. 25 приказа № 17 ФСТЭК России. Для 239 приказа требования аналогичные, за исключением нумерации.


Когда и у кого появляется необходимость в реализации новых мер?

На первом этапе необходимо определиться, нужно ли рассматривать выполнение новых мер или нет.

Меры необходимо рассматривать в случае:

1.     создания новой системы (подсистемы) защиты информации;

2.     модернизации текущей системы защиты информации, то есть в случае внесения в нее каких-либо изменений.

Изменения и нововведения подтверждаются новой аттестацией, повторной аттестацией (п.33 77 приказа).

Меры не рассматриваются в случае:

1.     Модернизации системы защиты, при которой критических изменений нет (например, добавлены или исключены аналогичные технические средства). В этом случае проводятся дополнительные аттестационные испытания.

2.     Контроля системы защиты информации (в системе защиты не было никаких изменений).


Определение актуальности мер

Если на первом этапе выяснили, что ваша информационная система подпадает под новые требования приказа, далее на втором этапе необходимо определиться, какие именно требования нужно выполнять.

Определение актуальности мер проводится на этапе аудита до составления технического задания на создание/модернизацию системы защиты.

Меры актуальны и подлежат реализации, если:

­- в информационной системе были выявлены публичные сервисы и/или ресурсы, публичные сетевые адреса и/или доменные имена.

В данном случае меры учитываются в техническом задании на создание/модернизацию системы защиты, и их реализация описывается в техническом проекте на создание/модернизацию системы защиты.

Меры неактуальны и не требуют реализации, если:

­- в информационной системе не были выявлены публичные сервисы и/или ресурсы, публичные сетевые адреса и/или доменные имена.

В этом случае в техническом задании необходимо сделать пояснение, что публичные информационные ресурсы в рамках функционирования информационной системы не используются.


Практическая реализация мер

Эксперты команды КСБ-СОФТ проанализировали практическую сторону новых требований и на текущий момент разработали последовательность выполнения мер:

1.     Разработка документа «Матрица коммуникаций с сетью Интернет».

В данном документе описываются:

­- публичные сетевые адреса, зарегистрированные за оператором;

­- доменные имена, используемые для обеспечения функционирования информационной системы и их назначения;

­- перечень ресурсов сети «Интернет», с которыми может взаимодействовать информационная система;

­- входящие/исходящие сетевые потоки, их характеристики, протоколы;

­- сетевые адреса, с которыми должно быть обеспечено сетевое взаимодействие информационной системы;

­- список разрешенных сетевых адресов.

2.     Применение межсетевых экранов на сетевом (L3) и прикладном (L7) уровнях.

3.     Защита от атак, направленных на отказ в обслуживании. Предпочтительно реализовать на уровне договорных отношений с провайдером.

4.     Регламентация мер в организационно-распорядительной документации.

5.     Остальные пункты приказа закрываются по индивидуальной схеме для каждого клиента.

20 декабря 2024
Поделиться
Кейсистемс-Безопасность Контакты:
Адрес: пр. М. Горького, д. 18Б 428000 Чебоксары,
Телефон:88003333872, Электронная почта: support@ksb-soft.ru
Регистрация