Приказы ФСТЭК (№17, №21, №239): меры защиты информации
ФСТЭК России (Федеральная служба по техническому и экспортному контролю) выпускает приказы, которые задают конкретные наборы организационных и технических мер защиты информации. Три из них встречаются в работе чаще всего: №17 — для государственных информационных систем, №21 — для систем обработки персональных данных, №239 — для значимых объектов критической информационной инфраструктуры. Ниже — практический разбор, чем они отличаются и как внедряются.
Все номера и даты редакций ниже стоит сверять с актуальной редакцией на официальном сайте ФСТЭК России — нормативная база периодически обновляется. Мы — IT-аутсорсер: внедряем и обслуживаем технические меры; юридическую квалификацию обязанностей оставляем юристу.
Что общего у этих приказов
Все три приказа построены по одной логике. Сначала система классифицируется (определяется класс защищённости или категория значимости), затем под этот класс подбирается базовый набор мер, который дальше адаптируется под конкретные условия с учётом модели угроз. Меры группируются по доменам: идентификация и аутентификация, управление доступом, защита от вредоносного кода, регистрация событий, контроль целостности, реагирование на инциденты и другие.
Иными словами, приказ не описывает «купите такую-то железку», а формулирует требования к функциям защиты. Чем эти функции реализовать — выбирает организация, опираясь на сертифицированные средства защиты информации там, где это требуется.
Приказ №17 — государственные информационные системы (ГИС)
Регулирует защиту информации, не составляющей государственную тайну, в государственных информационных системах. Под него попадают порталы госуслуг регионального уровня, ведомственные учётные системы, муниципальные ИС и подрядчики, которые такие системы строят и обслуживают.
Ключевая идея: для ГИС определяется класс защищённости (К1, К2, К3 — где К1 самый строгий). Класс зависит от уровня значимости информации и масштаба системы. Под класс подбирается базовый набор мер, обязательна аттестация системы по требованиям безопасности перед вводом в эксплуатацию.
Приказ №21 — персональные данные (ПДн)
Задаёт состав мер по обеспечению безопасности персональных данных при их обработке в информационных системах. Это самый «массовый» приказ — под обработку ПДн подпадает практически любой бизнес, у которого есть сотрудники и клиенты.
Здесь вместо класса защищённости определяется уровень защищённости ПДн (УЗ-1 … УЗ-4), который зависит от типа угроз, категории данных и количества субъектов. Под уровень — свой набор мер. Приказ №21 тесно связан с требованиями 152-ФЗ «О персональных данных»: закон устанавливает обязанность защищать ПДн, а приказ конкретизирует, как именно.
Приказ №239 — значимые объекты КИИ
Устанавливает требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры. Применяется к объектам, которые прошли категорирование КИИ и получили категорию значимости. Это системы субъектов из сфер, перечисленных в 187-ФЗ о безопасности КИИ: энергетика, связь, транспорт, финансы, здравоохранение и другие.
Для значимых объектов набор мер привязан к категории значимости (1, 2 или 3 — где 1 самая высокая). Помимо мер защиты, приказ №239 предполагает выстраивание процессов реагирования на инциденты и взаимодействия с ГосСОПКА.
Сравнение в одной таблице
| Приказ | На что распространяется | Что классифицируется |
|---|---|---|
| №17 | Государственные ИС | Класс защищённости (К1–К3) |
| №21 | Системы обработки ПДн | Уровень защищённости (УЗ-1…УЗ-4) |
| №239 | Значимые объекты КИИ | Категория значимости (1–3) |
Конкретные пункты, перечни мер и пороги стоит сверять с актуальной редакцией каждого приказа — формулировки уточняются.
Как это внедряется на практике
Типовой путь от «надо соответствовать» до работающей защиты выглядит так:
- Инвентаризация систем и данных — что у вас есть, что обрабатывается, где хранится
- Классификация — определение класса, уровня или категории по нужному приказу
- Разработка модели угроз и модели нарушителя — от неё зависит адаптация набора мер
- Подбор технических средств защиты (часто — сертифицированных) и их настройка
- Разработка организационных документов — политики, регламенты, инструкции
- Внедрение, проверка, при необходимости — аттестация или оценка соответствия
Понять текущее положение дел помогает аудит информационной безопасности — он показывает, какие меры уже закрыты, а где разрывы. Что именно проверяют на таком аудите, мы разбирали в статье «Аудит информационной безопасности: что проверяют».
Наша роль
«Кибер Авангард» — IT-аутсорсер. Мы помогаем привести инфраструктуру в соответствие с требованиями приказов на техническом уровне: проводим обследование, внедряем и настраиваем средства защиты, выстраиваем мониторинг и реагирование, готовим техническую документацию. Юридическую оценку обязанностей и рисков формирует ваш юрист — мы работаем в связке.
Связанные термины
- 187-ФЗ — безопасность критической информационной инфраструктуры — рамочный закон, под который написан приказ №239
- 152-ФЗ — закон о персональных данных — основа требований приказа №21
- Категорирование объектов КИИ — отнесение объектов к категориям значимости
- ГосСОПКА — система обнаружения и предупреждения компьютерных атак
- Модель угроз и модель нарушителя — документ, под который адаптируется набор мер
- Аудит информационной безопасности — оценка текущего уровня защиты
Нужно соответствовать требованиям ФСТЭК?
Проведём обследование инфраструктуры, покажем разрывы и предложим план внедрения мер защиты. Откройте калькулятор или запросите КП.
Открыть калькулятор Получить КП