Руководящие документы ФСТЭК

ФСТЭК является основным государственными ведомством, ведающим вопросами защиты информации, разработки методик и стратегий такой работы и закреплением данных механизмов и критериев на законодательном уровне. Именно постановления, приказы и руководящие документы ФСТЭК берутся за основу при проектировании и исполнении информационных систем, защищённых от НСД на различных уровнях.

Соответствие требованиям ФСТЭК

РД ФСТЭК России используются не только для оценки механизма защиты автоматизированных систем на техническом уровне. Ряд документов служит в качестве ориентира, рекомендации для проектирования и создания АС в защищённом исполнении даже в тех случаях, когда по закону такой защиты не требуется.

При разработке проектов защиты ИС от стороннего доступа на объекте следует учитывать, что некоторые руководящие документы ФСТЭК по защите информации разрабатывались давно и уже не соответствуют реалиям. Хакеры разрабатывают свои методы и приёмы быстрее, чем на них успевает среагировать ФСТЭК очередными поправками и изменениями. Тем не менее, при получении лицензии ФСТЭК на ТЗКИ и СЗКИ, оформлении лицензий на работу с секретными и конфиденциальными сведениями, для оказания ряда телематических услуг компания обязана привести систему защиты информации в соответствие приказам и рекомендациям ФСТЭК.

Перечень основных руководящих документов ФСТЭК

Доступен бесплатно на официальном сайте ФСТЭК по ссылке: https://fstec.ru/component/tags/tag/rukovodyashchij-dokument. Сюда вошли все РД Гостехкомиссии (предшественника ФСТЭК), начиная с 1992 года. Некоторые по-прежнему актуальны, часть из них морально устарела, однако все они являются обязательными для исполнения.

РД ФСТЭК определяют классификацию АС по различным критериям, предписывают использование тех или иных средств и принципов защиты информации исходя из степени конфиденциальности и важности информации и её обработки на предприятии и т. д. Часть руководящих документов используется в ходе оценки защищённости ИС от несанкционированного доступа, в том числе, в ходе сетевой работы и при взаимодействии в сети Интернет.

Помимо непосредственно РД ФСТЭК специалисты по защите информации руководствуются приказами, положениями и требованиями ФСТЭК, регламентирующими работу в сфере защиты данных. Их вы найдёте в разделе «Документы» на сайте ведомства.

Наибольшее значение имеют следующие НПА:

• Приказ ФСТЭК России от 31 августа 2010 г. № 489 — устанавливает требования к защите информации, обрабатываемой в ИС общего пользования;
• Приказ ФСТЭК России от 11 февраля 2013 г. № 17 — содержит требования об обработке и защите информации, не являющейся гостайной, в ГИС;
• Приказ ФСТЭК России от 18 февраля 2013 г. № 21 — регламентирует защиту персональных данных при обработке их в ИС: устанавливает перечень мер безопасности и раскрывает их содержание;
• Приказ ФСТЭК России от 14 марта 2014 г. № 31 — регламентирует работу по защите информации в АС, управляющими опасными производственными и технологическими процессами на важных и потенциально опасных объектах.

Все нормативные документы ФСТЭК: приказы, решения, требования по защите информации доступны для скачивания в форматах PDF и RTF.

Обновления

Как и прочее законодательство, документы ФСТЭК отстаёт от реалий в сфере кибербезопасности, однако специалисты по ТЗКИ должны не просто руководствоваться РД, но и выполнять ряд других рекомендаций ФСТЭК. С развитием сетевых технологий, интеграцией работы в Интернет и расширением обработки информации развиваются и вредоносные методы и каналы НСД. Для борьбы с киберугрозами и реальной помощи в сфере защиты информации ФСТЭК создала и поддерживает базу уязвимостей, также готовится проект нового руководящего документа о защите конфиденциальных данных с учётом современного уровня хакерских атак и способов хищения данных.

Кроме того, вносятся новые рекомендации о проведении таких мероприятий, как аттестация и сертификация ПО и оборудования, совершенствуются методики их проведения. Отследить такие изменения можно, следя за появлением новых документов на сайте ФСТЭК.