ФСТЭК России внес ряд существенных изменений в требования Приказа №17 по защите ГИС
При аттестации ГИС по требованиям безопасности информации теперь надо проверять уязвимости из банка данных ФСТЭК, проводить пентесты, а также аттестовывать заодно и ЦОД, в котором размещается ГИС. Должностным лицам, участвовавшим в проектировании и внедрении системы защиты информации ГИС, теперь запрещается участвовать в аттестационных испытаниях.
Приказ ФСТЭК России №27 от 15.02.2017 "О внесении изменений в Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах ... от 11 февраля 2013 г. № 17" определяет в числе прочего следующие важные положения:
По результатам анализа уязвимостей должно быть подтверждено, что в информационной системе отсутствуют уязвимости, содержащиеся в банке данных угроз безопасности информации ФСТЭК России, а также в иных источниках, или их использование (эксплуатация) нарушителем невозможно
При проведении аттестационных испытаний должны применяться следующие методы проверок (испытаний):
- экспертно-документальный метод, предусматривающий проверку соответствия системы защиты информации информационной системы установленным требованиям по защите информации, на основе оценки эксплуатационной документации, организационно-распорядительных документов по защите информации, а также условий функционирования информационной системы;
- анализ уязвимостей информационной системы, в том числе вызванных неправильной настройкой (конфигурированием) программного обеспечения и средств защиты информации;
- испытания системы защиты информации путем осуществления попыток несанкционированного доступа (воздействия) к информационной системе в обход ее системы защиты информации.