Добрый день, дорогие читатели! Сегодня хочу поделиться с вами шпаргалкой по изменениям в 17 Приказе ФСТЭК (Приказ ФСТЭК России от 15.02.2017 N 27 "О внесении
изменений в Требования о защите информации, не составляющей государственную
тайну, содержащейся в государственных информационных системах, утвержденные
приказом Федеральной службы по техническому и экспортному контролю от 11
февраля 2013 г. N 17").
1. Действие 17 Приказа теперь не распространяется на Высший Арбитражный Суд Российской Федерации.
2. Защита информации осуществляется не только в процессе эксплуатации, но и при выводе из эксплуатации.
3. Вместо 4 классов информационных систем - 3.
4. Угрозы берутся из bdu.fstec.ru.
5. Добавлены новые пункты в частное техническое задание:
- стадии работ;
- требования к поставляемым техническим средствам, программному обеспечению, средствам защиты информации;
- функции заказчика и оператора по обеспечению ЗИ в ИС;
- требования к защите средств и систем.
6. Для определения требований к системе защиты информации ИС учитываются положения политик обеспечения ИБ только если политики разработаны по ГОСТ Р ИСО/МЭК 27001 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования».
7. При проектировании системы защиты информации - вместо параметров настройки указываются требования к параметрам.
8. При макетировании и тестировании системы защиты информации исключена корректировка проектной и эксплуатационной документации.
9. По результатам анализа нужно подтвердить, что уязвимости отсутствуют или их использование невозможно.
10. Должностные лица, которые проектировали и внедряли систему защиты информации, не могут ее аттестовывать.
11. Перечислены методы аттестационных испытаний:
- экспертно-документальный;
- анализ уязвимостей системы;
- осуществление попыток НСД.
12. Срок действия аттестата не может превышать 5 лет.
13. ИС, функционирующие на базе общей инфраструктуры, подлежат аттестации в составе указанной инфраструктуры. Если ИС создана на базе ЦОД, класс ЦОД должен быть не ниже класса ИС.
14. Формулировку "Нейтрализация и блокирование" заменили на "защиту".
15.
Было:
1 класс
|
2 класс
|
3 класс
|
4 класс
|
|
СВТ
|
Не ниже 5 класса
|
|||
СОВ
|
Не ниже 4 класса
|
1. С Интернетом – не ниже 4 класса
|
Не ниже 5 класса
|
|
2. Без Интернета – не ниже 5 класса
|
||||
САВЗ
|
Не ниже 4 класса
|
1. С Интернетом – не ниже 4 класса
|
Не ниже 5 класса
|
|
2. Без Интернета – не ниже 5 класса
|
||||
МЭ
|
1. С Интернетом – не ниже 3 класса
|
Не ниже 4 класса
|
||
2. Без Интернета – не ниже 4 класса
|
||||
НДВ
|
Не ниже 4 уровня
|
-
|
||
Стало:
1 класс
|
2 класс
|
3 класс
|
|
СЗИ
|
Не ниже 4 класса
|
Не ниже 5 класса
|
Не ниже 6 класса
|
СВТ
|
Не ниже 5 класса
|
||
НДВ
|
Не ниже 4 уровня
|
-
|
|
16. Состав мер защиты информации. Изменены меры УПД3 и ЗСВ10.
Было:
УПД3
4
|
3
|
2
|
1
|
-
|
-
|
+
|
+
|
Стало:
УПД3
3
|
2
|
1
|
+
|
+
|
+
|
Было:
ЗСВ10:
4
|
3
|
2
|
1
|
-
|
-
|
+
|
+
|
Стало:
ЗСВ10:
3
|
2
|
1
|
+
|
+
|
+
|
 |
| О. Ренуар. Дворец Дожей. Источник |
https://vk.com/kshudrova - ссылки на свежие посты и интересные материалы других авторов. Присоединяйтесь!
Комментариев нет:
Отправить комментарий