Отличия 17 и 21 приказов ФСТЭК

В 2013 году ФСТЭК выпустила 2 документа:

• Приказ ФСТЭК России № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» от 11.02.2013.
• Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».

Оба приказа содержат требования к защите информации, оба упоминаются, когда речь заходит о защите информационных систем персональных данных и государственных информационных систем — в том числе, об их аттестации.

Разбираемся, в чём отличия.

Приказ ФСТЭК России № 17

1. Определяет требования о защите информации ограниченного доступа, не составляющей государственную тайну, содержащейся в государственных информационных системах, ГИС.
2. Регламентирует использование сертифицированных средств защиты информации и обязательную аттестацию ИС.
3. Имеет свой порядок классификации ИС. Класс защищенности ИС определяется в зависимости от уровня значимости информации (УЗ), обрабатываемой в этой информационной системе, и масштаба информационной системы. Вопрос, как определить класс защищённости и уровень значимости ИС — очень подробно разбирали тут.

Меры разделены на группы:

1. Идентификация и аутентификация субъектов доступа и объектов доступа (ИАФ);
2. Управление доступом субъектов доступа к объектам доступа (УПД);
3. Ограничение программной среды (ОПС);
4. Защита машинных носителей информации (ЗНИ);
5. Регистрация событий безопасности (РСБ);
6. Антивирусная защита (АВЗ);
7. Обнаружение вторжений (СОВ);
8. Контроль (анализ) защищенности информации (АНЗ);
9. Обеспечение целостности информационной системы и информации (ОЦЛ);
10. Обеспечение доступности информации (ОДТ);
11. Защита среды виртуализации (ЗСВ);
12. Защита технических средств (ЗТС);
13. Защита информационной системы, ее средств, систем связи и передачи данных (ЗИС).

Есть меры защиты, необходимые для ИС любого класса, например, «Идентификация и аутентификация пользователей, являющихся работниками оператора» (ИАФ 1). Некоторые меры требуются только для ИС 1 класса защищенности, например, «Ограничение числа параллельных сеансов доступа для каждой учетной записи пользователя информационной системы» (УПД 9).

Если в ГИС обрабатываются ПДн, то помимо требований Приказа ФСТЭК №17, необходимо выполнять также требования к защите ПДн при их обработке в ИСПДн, утвержденных постановлением Правительства РФ от 1 ноября 2012 г. № 1119.

Приказ ФСТЭК России № 21

Если речь идет о защите персональных данных в негосударственных ИС, требования определяются Постановлением Правительства от 01.11.2012 № 1119, упомянутым выше, и Приказом №21 ФСТЭК России от 18.02.2013 № 21.

В Приказе ФСТЭК №21 в отличие от №17 требования к системе защиты менее жёсткие. Например, разрешено использование СЗИ, прошедших процедуру оценки соответствия, а аттестация ИС заменена на проведение оценки эффективности защитных мер. По решению обладателя информации или оператора меры Приказа №17 могут применяться для негосударственных ИС в соответствии с п. 6 требований, утверждённых Приказом ФСТЭК России №17.

При этом:

Постановление Правительства №1119 вводит классификацию информационных систем персональных данных (ИСПДн).

В Приказе ФСТЭК №21 определены меры защиты информации, которые необходимо реализовать оператору в зависимости от уровня защищённости ИСПДн.

Уровень защищенности ИСПДн зависит от актуального типа угроз, типа обрабатываемых ПДн (специальные, биометрические, общедоступные, иные категории) и количества субъектов ПДн. Всего 4 уровня защищённости ПДн, где УЗ1 – самый высокий, УЗ4 – самый низкий. Подробно о том, как определить и выполнить требования к УЗ — рассказывали тут.

Меры защиты разделены на группы:

1. идентификация и аутентификация субъектов доступа и объектов доступа;
2. управление доступом субъектов доступа к объектам доступа;
3. ограничение программной среды;
4. защита машинных носителей информации, на которых хранятся и (или) обрабатываются персональные данные (далее — машинные носители персональных данных);
5. регистрация событий безопасности;
6. антивирусная защита;
7. обнаружение (предотвращение) вторжений;
8. контроль (анализ) защищенности персональных данных;
9. обеспечение целостности информационной системы и персональных данных;
10. обеспечение доступности персональных данных;
11. защита среды виртуализации;
12. защита технических средств;
13. защита информационной системы, ее средств, систем связи и передачи данных;
14. выявление инцидентов (одного события или группы событий), которые могут привести к сбоям или нарушению функционирования информационной системы и (или) к возникновению угроз безопасности персональных данных (далее — инциденты), и реагирование на них;
15. управление конфигурацией информационной системы и системы защиты персональных данных.

Всего 15 групп, включающих 109 защитных мер. С перечнем конкретных мер можно ознакомиться в тексте Приказа ФСТЭК №21.

Таблица в Excel по сравнению мер из 17 и 21 приказа ФСТЭК приложена ниже:

Все эти требования можно реализовать 2 способами:

1. Самостоятельно.
2. С помощью профильных компаний.

Например, Safe Cloud 152-ФЗ — это комплексное решение по реализации всех организационных и технологических требований законодательства по защите информации. В рамках сервиса «под ключ» компании получают возможность:

• Оформления полного пакета документов для выполнения 152-ФЗ
• Разделения ответственности за обработку ПДН
• Получения прямого доступа к экспертизе
• Легкой бесшовной миграции

Если у вас остались вопросы по выполнению требований законодательства, защите обработки персональных данных или Safe Cloud 152-ФЗ – просто напишите нам.