понедельник, 16 июля 2012 г.

СОИБ. Анализ. Государственные информационные системы и информационные системы критически важных объектов (UPD)


13 июля ФСТЭК России опубликовал на своем сайте Проект федерального закона "О внесении изменений в Федеральный закон 149-ФЗ "Об информации, информационных технологиях и о защите информации"

Планируется придать 2 новых толчка обеспечению ИБ (в дополнение к активно развивающейся защите персональных данных и платежных систем):
·        Защита информации в государственных информационных системах (ГИС)
·        Защита информации в информационных системах критически важных объектов (ИСКВО)

1.           В направлении защиты ГИС добавляются следующие требования к необходимым мероприятиям:
·        анализ уязвимостей и угроз (типа аудита ИБ)
·        разработка и реализация системы защиты информации  (типа проектирования СЗИ)
·        оценка соответствия системы защиты информации  (типа аттестации)  
·        применение средств защиты информации прошедших процедуру оценку соответствия (типа сертификации)
·        назначение ответственных за ЗИ
·        разработка политики обеспечения ЗИ
·        анализ и реагирование на инциденты ИБ
·        резервирование
·        контроль выполнения требований
Требования должны выполняться на всех стадиях создания и эксплуатации систем. То есть владельцы уже действующих систем обязаны будут выполнять мероприятия.
Детализацию требований устанавливает ФСТЭК Р и ФСБ Р. (Частично требования для защиты информации в ГИС уже есть  - см. ниже., но можно ожидать дополнительных документов)

Защита информации в ГИС детализируется также следующими нормативными актами:

·        Указ Президента Российской Федерации от 17 марта 2008 года N 351 «О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена»

(подключение ГИС к сети интернет через шлюзы,  сертификация, оценка соответствия СрЗИ)

·        Постановление Правительства Российской Федерации от 18 мая 2009 г. N 424 "Об особенностях подключения федеральных государственных информационных систем к информационно-телекоммуникационным сетям”
(защита от НСД, от DDoS, обеспечение непрерывности, оценка соответствия СрЗИ)
·        Приказ Федеральной службы безопасности Российской Федерации, Федеральной службы по техническому и экспортному контролю от 31 августа 2010 г. N 416/489 "Об утверждении Требований о защите информации, содержащейся в информационных системах общего пользования"
·        Приказ ФСТЭК России от 6 декабря 2011 г. N 638  “Об утверждении Требования к системам обнаружения вторжений”
(ГИС – СОВ 4 класса защиты)
·        Приказ Минкомсвязи от 25 августа 2009 г. N 104 "Об утверждении Требований по обеспечению целостности, устойчивости функционирования и безопасности информационных систем общего пользования"
(Межсетевые экраны, ИБП, резервирование и т.п. по аналогии с двойственным приказом ФСБ/ФСТЭК 416/489)
·        Приказ Минкомсвязи "Об утверждении Требований к информационным системам электронного документооборота федеральных органов исполнительной власти, учитывающих, в том числе необходимость обработки посредством данных систем служебной информации ограниченного распространения"


Проблема 1. Непонятно, легитимны ли требования по ЗИ из 2-х приказов Минкомсвязи? Так как в 149-ФЗ утверждено, что требования к ЗИ в ГИС устанавливают ФСБ Р и ФСТЭК Р.
Часть требований по ЗИ в ГИС устанавливается так-же в постановлениях правительства РФ, касающихся данного типа ГИС. Например, система территориального планирования. В требованиях к которой напрямую говорится о сертификатах СрЗИ.


2.           В направлении защиты ИСКВО предъявляются только следующие требования:
·        защита от НСД
·        защита и резервирование технических средств
·        реагирование на инциденты
·        обеспечение непрерывности ИСКВО
Требования должны выполняться на всех стадиях создания и эксплуатации систем. То есть владельцы уже действующих систем обязаны будут выполнять мероприятия.
Порядок классификации устанавливает Правительство РФ.  (этот документ будем ждать)
Детализацию требований устанавливает ФСТЭК Р и ФСБ Р. (уже есть серия документов ФСТЭК от 18 мая 2007 года по КСИИ: базовая модель угроз, методика определения актуальных угроз и общие требования по обеспечению ИБ в КСИИ. Но они не опубликованы. Так что можно ожидать нового комплекта документов)


Проблема 2. В федеральном законе нет определения критически важного объекта. Да, определение есть в документе Совета безопасности, но какую он имеет силу. А определения информационной системы критически важного объекта нет ни в нем ни в 149-ФЗ. А вопрос важный. К каким из сотни информационных систем на объекте относятся данные требования?

Заметка по этой теме у Лукацкого

Комментариев нет: