Отличия 17 и 21 приказов ФСТЭК
В 2013 году ФСТЭК выпустила 2 документа:
- Приказ ФСТЭК России № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» от 11.02.2013.
- Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
Оба приказа содержат требования к защите информации, оба упоминаются, когда речь заходит о защите информационных систем персональных данных и государственных информационных систем — в том числе, об их аттестации.
Разбираемся, в чём отличия.
Приказ ФСТЭК России № 17
- Определяет требования о защите информации ограниченного доступа, не составляющей государственную тайну, содержащейся в государственных информационных системах, ГИС.
- Регламентирует использование сертифицированных средств защиты информации и обязательную аттестацию ИС.
- Имеет свой порядок классификации ИС. Класс защищенности ИС определяется в зависимости от уровня значимости информации (УЗ), обрабатываемой в этой информационной системе, и масштаба информационной системы. Вопрос, как определить класс защищённости и уровень значимости ИС — очень подробно разбирали тут.
От класса защищенности информационной системы зависит состав мер защиты, которые необходимо реализовать. Наименьший набор мер у третьего класса, наибольший — у первого:
Меры разделены на группы:
- Идентификация и аутентификация субъектов доступа и объектов доступа (ИАФ);
- Управление доступом субъектов доступа к объектам доступа (УПД);
- Ограничение программной среды (ОПС);
- Защита машинных носителей информации (ЗНИ);
- Регистрация событий безопасности (РСБ);
- Антивирусная защита (АВЗ);
- Обнаружение вторжений (СОВ);
- Контроль (анализ) защищенности информации (АНЗ);
- Обеспечение целостности информационной системы и информации (ОЦЛ);
- Обеспечение доступности информации (ОДТ);
- Защита среды виртуализации (ЗСВ);
- Защита технических средств (ЗТС);
- Защита информационной системы, ее средств, систем связи и передачи данных (ЗИС).
Есть меры защиты, необходимые для ИС любого класса, например, «Идентификация и аутентификация пользователей, являющихся работниками оператора» (ИАФ 1). Некоторые меры требуются только для ИС 1 класса защищенности, например, «Ограничение числа параллельных сеансов доступа для каждой учетной записи пользователя информационной системы» (УПД 9).
Если в ГИС обрабатываются ПДн, то помимо требований Приказа ФСТЭК №17, необходимо выполнять также требования к защите ПДн при их обработке в ИСПДн, утвержденных постановлением Правительства РФ от 1 ноября 2012 г. № 1119.
Приказ ФСТЭК России № 21
Если речь идет о защите персональных данных в негосударственных ИС, требования определяются Постановлением Правительства от 01.11.2012 № 1119, упомянутым выше, и Приказом №21 ФСТЭК России от 18.02.2013 № 21.
В Приказе ФСТЭК №21 в отличие от №17 требования к системе защиты менее жёсткие. Например, разрешено использование СЗИ, прошедших процедуру оценки соответствия, а аттестация ИС заменена на проведение оценки эффективности защитных мер. По решению обладателя информации или оператора меры Приказа №17 могут применяться для негосударственных ИС в соответствии с п. 6 требований, утверждённых Приказом ФСТЭК России №17.
При этом:
Постановление Правительства №1119 вводит классификацию информационных систем персональных данных (ИСПДн).
В Приказе ФСТЭК №21 определены меры защиты информации, которые необходимо реализовать оператору в зависимости от уровня защищённости ИСПДн.
Уровень защищенности ИСПДн зависит от актуального типа угроз, типа обрабатываемых ПДн (специальные, биометрические, общедоступные, иные категории) и количества субъектов ПДн. Всего 4 уровня защищённости ПДн, где УЗ1 – самый высокий, УЗ4 – самый низкий. Подробно о том, как определить и выполнить требования к УЗ — рассказывали тут.
Меры защиты разделены на группы:
- идентификация и аутентификация субъектов доступа и объектов доступа;
- управление доступом субъектов доступа к объектам доступа;
- ограничение программной среды;
- защита машинных носителей информации, на которых хранятся и (или) обрабатываются персональные данные (далее — машинные носители персональных данных);
- регистрация событий безопасности;
- антивирусная защита;
- обнаружение (предотвращение) вторжений;
- контроль (анализ) защищенности персональных данных;
- обеспечение целостности информационной системы и персональных данных;
- обеспечение доступности персональных данных;
- защита среды виртуализации;
- защита технических средств;
- защита информационной системы, ее средств, систем связи и передачи данных;
- выявление инцидентов (одного события или группы событий), которые могут привести к сбоям или нарушению функционирования информационной системы и (или) к возникновению угроз безопасности персональных данных (далее — инциденты), и реагирование на них;
- управление конфигурацией информационной системы и системы защиты персональных данных.
Всего 15 групп, включающих 109 защитных мер. С перечнем конкретных мер можно ознакомиться в тексте Приказа ФСТЭК №21.
Таблица в Excel по сравнению мер из 17 и 21 приказа ФСТЭК приложена ниже:
Все эти требования можно реализовать 2 способами:
- Самостоятельно.
- С помощью профильных компаний.
Например, Safe Cloud 152-ФЗ — это комплексное решение по реализации всех организационных и технологических требований законодательства по защите информации. В рамках сервиса «под ключ» компании получают возможность:
- Оформления полного пакета документов для выполнения 152-ФЗ
- Разделения ответственности за обработку ПДН
- Получения прямого доступа к экспертизе
- Легкой бесшовной миграции
Если у вас остались вопросы по выполнению требований законодательства, защите обработки персональных данных или Safe Cloud 152-ФЗ – просто напишите нам.