Информационная безопасность

Здесь Вы найдете только нужную информацию.

Проект новой редакции 17 Приказа ФСТЭК

Предложенный проект предусматривает внесение изменений в Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах. В данном посте я приведу наиболее интересные изменения, которые свидетельствует о "тихом" смене курса, которого долгое время придерживался ФСТЭК.

Данный подход это верный путь к системе менеджмента иформационной безопасности.

 

17.4. Повторная аттестация информационной системы осуществляется по окончании срока действия аттестата соответствия, который не может превышать 5 лет, или повышения класса защищенности информационной системы. При увеличении состава угроз безопасности информации или изменения проектных решений, реализованных при создании системы защиты информации информационной системы, проводятся дополнительные аттестационные испытания в рамках действующего аттестата соответствия.

 

17.4. Аттестат соответствия выдается на весь срок эксплуатации информационной системы. Оператор (обладатель информации) в ходе эксплуатации информационной системы обеспечивает поддержку соответствия системы защиты информации аттестату соответствия в рамках реализации мероприятий, предусмотренных пунктом 18 настоящих Требований.

 

Указанный вывод подтверждается и предложенной редакцией пункта 18.

 

18. Обеспечение защиты информации в ходе эксплуатации аттестованной ИС осуществляется оператором .... и в том числе включает:

18. Обеспечение защиты информации в ходе эксплуатации ИС осуществляется оператором .... и должно включать реализацию следующих мероприятий:

-

планирование мероприятий по защите информации в информационной системе;

-

анализ угроз безопасности информации в информационной системе в ходе ее эксплуатации;

управление (администрирование) системой защиты информации ИС;

управление (администрирование) системой защиты информации информационной системы;

выявление инцидентов и реагирование на них;

реагирование на инциденты в ходе эксплуатации информационной системы;

управление конфигурацией аттестованной ИС и ее системы защиты информации;

управление конфигурацией информационной системы и ее системой защиты информации;

-

информирование и обучение персонала информационной системы;

контроль (мониторинг) за обеспечением уровня защищенности информации, содержащейся в информационной системе.

контроль за обеспечением уровня защищенности информации, содержащейся в информационной системе.

Подчеркну, что описанный документ является лишь проектам Приказа, который проходит стадию общественного обсуждения. Подробный анализ новой редакции 17 Приказа ФСТЭК будет сделан после его официального принятия.