ФСТЭК выпустила информационное сообщение от 15 июля 2013 г. N 240/22/2637 с разъяснением различных вопросов, касающихся 21 и 17 приказов ФСТЭК. В частности, даны разъяснения об указании уровня контроля отсутствия НДВ в сертификатах на СОВ/АВЗИ.
Краткое содержание данного информационного сообщения:
Краткое содержание данного информационного сообщения:
- 21 приказ ФСТЭК вступил в силу со 2 июня 2013 г., 17 приказ вступает в силу с 1 сентября 2013 года. Переаттестация ИС не нужна.
- При обработке ПДн в ГИС нужно руководствоваться 17 приказом, с учетом п. 27 этого приказа (соответствие мер по защите классов ГИС и уровней защищенности ПДн).
- Оценка эффективности принимаемых мер по защите производится оператором или привлеченным лицензиатом, методики составляются на своё усмотрение, можно проводить оценку эффективности в виде аттестации по ГОСТ РО 0043-003-2012. Для ГИС - в рамках обязательно аттестации, методики - по ГОСТ РО 0043-004-2013.
- Требования 17-го приказа распространяются на муниципальные ИС, если иное явно не предусмотрено законодательством.
- СТР-К и РД АС не отменяются 17 приказом и продолжают действовать. СТР-К применяется для реализации мер по защите технических средств (ЗТС.1), остальное из СТР-К применяется по решению операторов, если это не противоречит 17 приказу.
- В приказах ФСТЭК термин "информационная система" имеет то же значение, что и термин "автоматизированная система" (грубо говоря).
- В сертификатах на СОВ и СрЗИ уровень контроля НДВ не указывается, но в ИСПДн и ГИС используется, подразумевая его наличие. Подробнее в моей заметке об указании уровня контроля отсутствия НДВ в сертификатах на СОВ/АВЗИ.
- Дополнительные меры по нейтрализации 1 и 2 типов угроз выбираются оператором, но ФСТЭК планирует выпуск отдельных документов по вопросам тестирования на проникновение и защищенному программированию.
- ФСТЭК завершает разработку методических документов по описанию содержания мер защиты и порядку моделирования угроз в ИСПДн и ГИС. Ориентировочный срок утверждения документов – IV квартал 2013 г.
- ФСТЭК работает над методическими документами, определяющими порядок обновления ПО в аттестованных ИС, порядок выявления и устранения уязвимостей в
ИС, порядок реагирования на инциденты. - Разъяснений ПП-1119 по определению типов угроз ПДн и порядка определения
уровней защищенности от ФСТЭК не будет, разъяснить может только Правительство, у ФСТЭК нет полномочий.
Комментариев нет:
Отправить комментарий