Приказ №117 ФСТЭК: что меняется в защите информационных систем госсектора

Речь идет не только о системах, обеспечивающих государственные функции или предоставление государственных услуг. Под действие новых требований могут попадать и внутренние прикладные решения госсектора — например, 1С-бухгалтерия в государственном учреждении. Если раньше такая система могла не классифицироваться как ГИС и не рассматриваться через требования приказа №17, то теперь ее нужно учитывать при анализе общего ландшафта информационных систем.

Для владельцев и операторов это означает более масштабную подготовительную работу. Недостаточно смотреть только на отдельные системы, уже признанные государственными. Необходимо сформировать полный перечень информационных систем и объектов информатизации, определить их статус, применимые требования и текущий уровень защищенности.

Внимание к внутренним регламентам

Классический порядок работ по защите информации остается знакомым: классификация или категорирование, модель угроз и нарушителя, техническое задание, проектирование и внедрение системы защиты, аттестация или оценка эффективности, сопровождение. Приказ №117 добавляет к этому обязательный управленческий слой. В центре внимания оказываются внутренние документы организации: политика защиты информации, внутренние стандарты и внутренние регламенты.

Политика фиксирует область действия, цели, принципы, объекты защиты, структуру управления и общую организацию работ. Внутренние стандарты описывают требования к применению мер защиты информации. Регламенты задают порядок выполнения конкретных мероприятий: кто отвечает за действия при инцидентах, как организуется взаимодействие с подрядчиками, куда передаются уведомления, как проводится контроль защищенности.

Практическая реализация требований теперь во многом опирается на внутреннюю нормативную базу самого владельца или оператора. Организация должна не только выполнить внешние требования, но и описать собственный порядок их применения.

Отдельная сложность – совмещение нескольких регуляторных контуров. Одна и та же система может быть ГИС, информационной системой персональных данных и значимым объектом критической информационной инфраструктуры. Приказ №117 не отменяет требования по защите персональных данных и объектов КИИ, поэтому по каждой системе необходимо определить весь набор применимых требований, а затем сформировать итоговый перечень мер защиты.

Этот перечень может включать меры из приказа №117, приказа №21, приказа №239 и других документов. После этого он уточняется с учетом модели угроз, используемых технологий и особенностей конкретной системы. Разные классы и уровни защищенности не обязательно приводить к одному формальному значению. Система может иметь один класс как ГИС и другой уровень как ИСПДн. Практическую роль играет итоговый набор мер, который должен быть реализован и включен в техническое задание на создание или модернизацию системы защиты информации.

Расширение технических мер

В приказе №117 заметно расширен перечень технических направлений. Отдельно выделены виртуализация, облачные вычисления, контейнерные среды, оркестрация, электронная почта, веб-технологии, API, конечные и мобильные устройства, интернет вещей, беспроводной доступ, удаленный доступ и привилегированные пользователи.

Это приближает требования к фактическому устройству инфраструктуры госсектора. В защищаемом контуре могут быть виртуальные среды, удаленные рабочие места, подрядчики, веб-приложения, мобильные устройства, внешние интеграции и сервисы, взаимодействующие через API.

Заметное место занимает сегментация. Защита только внешнего периметра не закрывает риски развития атаки внутри инфраструктуры. Поэтому потребуется выделять сегменты, контролировать взаимодействие между ними и ограничивать доступ по принципу минимально необходимых прав.

В ряде случаев потребуется микросегментация – разграничение взаимодействия не только между крупными сетевыми зонами, но и между отдельными компонентами приложений или виртуальными машинами. Такая архитектура снижает вероятность свободного перемещения злоумышленника внутри инфраструктуры после компрометации одного узла.

Удаленный доступ также требует отдельной архитектуры. Для него нужны защищенные каналы связи, строгая аутентификация, контроль конфигурации подключаемого устройства, ограничение доступа к ресурсам и мониторинг событий безопасности. Пользователь не должен получать доступ ко всей внутренней сети, когда для выполнения задач ему нужны только отдельные приложения или сервисы. Чем точнее определены права доступа, тем меньше площадь атаки.

Требования могут распространяться и на личные устройства, если через них осуществляется доступ к информационным системам госсектора. В таком случае организация вправе устанавливать требования к конфигурации, антивирусной защите, обновлениям, средствам контроля и передаче событий безопасности.

Подрядчики также становятся частью модели защиты. Если подрядная организация участвует в эксплуатации, сопровождении, разработке или обслуживании информационной системы, требования по защите информации должны быть закреплены в договоре или соглашении. Оператор определяет, что именно требуется от подрядчика: защита каналов связи, соблюдение внутренних процедур, выполнение требований к безопасной разработке, наличие собственных процессов контроля, аттестация отдельного сегмента или другие меры. Конкретный набор зависит от характера взаимодействия, уровня доступа и рисков.

Аттестация и практические шаги

Аттестаты, выданные по приказу №17, продолжают действовать. Для уже аттестованных систем периодический контроль защищенности проводится в соответствии с программой и методиками аттестационных испытаний. Если в этих документах описан порядок контроля, именно он остается основой дальнейшей работы.

Для новых аттестаций нужно ориентироваться на приказ №117 и новые методические документы. При этом аттестация обязательна не для всех систем госсектора. Государственные информационные системы по-прежнему подлежат аттестации. Иные информационные системы могут проходить аттестацию по решению владельца или оператора.

Отдельного внимания требует вопрос сертифицированных операционных систем и наложенных средств защиты. Часть функций может реализовываться средствами ОС, часть – наложенными средствами, часть – на прикладном уровне. Например, разграничение доступа может выполняться не только при входе в операционную систему, но и внутри конкретного сервиса.

Наличие сертифицированной ОС не отменяет необходимости в антивирусной защите, контроле съемных носителей, межсетевом экранировании на уровне хоста, обнаружении вторжений, EDR, контроле целостности и доверенной загрузке. Компенсирующие меры остаются допустимым инструментом, но требуют аргументированного обоснования. Если сертифицированную операционную систему невозможно использовать по объективным причинам, это должно быть отражено в документации и подтверждено перед аттестатором.

Работу по выполнению требований приказа №117 логично начинать с инвентаризации. Организации нужно сформировать перечень всех информационных систем и объектов информатизации. Далее по каждой системе необходимо определить применимые требования: относится ли она к ГИС, обрабатывает ли персональные данные, является ли объектом КИИ, подпадает ли под другие специальные требования.

После этого разрабатываются или актуализируются модели угроз и нарушителей, формируется перечень мер защиты, готовится техническое задание на создание или модернизацию системы защиты информации. Параллельно требуется подготовить основной комплект внутренних документов: политику защиты информации, внутренние стандарты и внутренние регламенты. Затем — актуализировать организационно-распорядительную, проектную, рабочую и эксплуатационную документацию.

Еще один обязательный блок – регулярная деятельность по защите информации: мониторинг, реагирование на инциденты, контроль защищенности, управление уязвимостями, взаимодействие с подрядчиками и обновление внутренних документов при изменении нормативной базы.

Что осталось за рамками статьи

Приказ №117 затрагивает не только перечень защищаемых систем, но и множество практических вопросов: применение новых методических документов, соотношение старых и новых подходов при аттестации, реализацию технических мер, защиту удаленного доступа, работу с подрядчиками, использование сертифицированных ОС и наложенных средств защиты.

Эти темы подробно разобрали эксперты на совместном вебинаре компаний «Информзащита» и «Код Безопасности» – «Комплексный анализ приказа №117 ФСТЭК: нормативные нюансы и технические решения».

В обсуждении приняли участие Александр Клемин, советник генерального директора по стратегическим проектам компании «Информзащита», и Павел Коростелев, руководитель отдела продвижения продуктов компании «Код Безопасности».

В полной записи вебинара вы увидите разбор спорных ситуаций, ответы на вопросы участников и технические комментарии по реализации мер защиты.