СОИБ. Анализ. Порядок обеспечения безопасности ИСПДн, ГИС и АСУ

Хочу всех поздравить с тем, что наконец закончилась долгоиграющая разработка методического документа ФСТЭК России по защите ГИС. Он подписан и опубликован. Так-же недавно был выложен на рассмотрение проект требований по защите АСУ, во многом схожий с по порядку выполнения работ и составу мер защиты с приказами № 21 и №17.

На недавней конференции "Актуальные вопросы защиты информации" представители ФСБ России так-же отметили что существенных изменений в проект приказа по защите ПДн они вносить не будут и опубликуют его в ближайшее время.

Это дает основания полагать что в ближайшие год-два ничего существенного в порядках защиты ИСПДн, ГИС не поменяется. Поэтому хватить совершенствовать законодательство и выжидать – пора размораживать проекты и реализовывать систему защиты.

Методический документ по защите ГИС, может так-же использоваться в процессе создания СЗПДн. Я считаю разумным применение методического документа  для большинства ИСПДн в тех частях, где это не создает дополнительных затрат и не увеличивает сроков создания СЗПДн.

С учетом методического документа и новых требований по защите АСУ  обновил схемы порядков создания систем защиты (не включая эксплуатацию и вывод из действия)  и состав основных документов, получаемых в результате.

Для ГИС








Для АСУ

Для ИСПДн




Для обработки ПДн по поручению



Так-же рекомендую использовать общий каталог мер защиты, пример которого выложил Андрей Прозоров


В ходе составления схем вылезла ещё одна ошибка в документах.
Приказ №17
“Требования к системе защиты информации информационной системы включаются в техническое задание на создание информационной системы и (или) техническое задание (частное техническое задание) на создание системы защиты информации информационной системы, разрабатываемые с учетом ГОСТ 34.602, ГОСТ Р 51583 и ГОСТ Р 51624, и должны в том числе содержать:
·       
·        требования к мерам и средствам защиты информации, применяемым в информационной системе;…”
Исполняя этот пункт мы должны определить перечень мер и даже СЗИ до разработки ТЗ и включить их в ТЗ.

Но тот же Приказ №17 говорит нам:
15.1. При проектировании системы защиты информации информационной системы:
·       
·        выбираются меры защиты информации, подлежащие реализации в системе защиты информации информационной системы;…”
Методический документ  по защите:
·        “Выбор мер защиты информации для их реализации в информационной системе осуществляется в ходе проектирования системы защиты информации информационной системы в соответствии с техническим заданием на создание информационной системы и (или) техническим заданием (частным техническим заданием) на создание системы защиты информации информационной системы.”
На этапе проектирования опять выбираются меры? Но разве они не были выбраны на этапе разработки ТЗ?

Тут, я думаю, ФСТЭК Р попал в ловушку своей терминологии. Скорее всего под “Выбор мер …для их реализации ” имеется в виду что на этапе проектирования мы выбираем “конкретные способы реализации мер”.


PS: Так-же можно почитать отзыв о недавних документах ФСТЭК от Ригеля







Комментарии

Александр Германович написал(а)…
1."для АСУ" аттестация не обязательна. Надо бы добавить приемочные испытания.

2. "для обработки по поручению" не совсем понятно, как Оператор сможет разработать модель угроз, не зная ни условий обработки, ни структуры ИС Уполномоченного лица. Исходя из каких данных он должен моделировать угрозы? Или он перед тем, как заключить договор, заявится к Уполномоченному лицу и проведет у него обследование?

3. "требования к мерам и средствам защиты информации, применяемым в информационной системе". Все-таки, требования к СЗИ и выбор конкретных СЗИ - это не одно и то же. Требованиями к СЗИ могут быть, например, требования к применению сертифицированных СЗИ, ограничения по стоимости, назначение и функционал СЗИ. А выбор конкретных версий СЗИ будет сделан с учетом этих требований в ходе проектирования.
22 февраля 2014 г. в 00:15
Сергей Борисов написал(а)…
Спасибо за комментарии.

1. На схеме у меня показан выбор, а в отчетных документах действительно надо поправить - поправлю.

2. По закону - обязанность оператора моделировать угрозы и устанавливать обработчику требования по защите ПДн. И я считаю, что если речь о типовых обработчиках, то о них оператор имеет достаточно информации для моделирования угроз.
Если какая-то уникальная ситуация и оператор не знает ничего кому и в какие условия он передает ПДн тогда в требованиях может включить и моделирование угроз.
Я рассмотрел минимальный типовой вариант.

3. А вот я считаю что переписывание требований к сертификации нельзя назвать требованиями к СЗИ.

про требования к функционалу - мы не можем их предьявить пока не осуществили выбор мер защиты в соответствии с методикой (дополненный уточненный адаптированный базовый набор)

Этот выбор мы должны делать либо на этапе ТЗ либо на этапе проектирования.
Два раза делать одну работу - бессмысленно.
22 февраля 2014 г. в 08:39
Александр Германович написал(а)…
2. По закону как раз: "Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных ...". А вот по приказу почему-то нет. По закону 152-ФЗ оператор вовсе не обязательно должен сам строить МУ, он должен сделать так, чтобы она была построена. Чаще всего, Оператор не знает, какие технич. средства есть у Уполномоченного лица, какое ПО, какие СЗИ, какие уязвимости, какие приняты оргмеры и т.д. Да и не должен знать. Более того: у Оператора зачастую нет специалистов, способных построить МУ. Он должен обеспечить конфиденциальность и безопасность ПДн. Всё.

3. В приказе 17 хватает и юридических, и логических ошибок. Думаю, что практика сложится так, что в ТЗ будут указывать общие требования по защите, а проектной документации - СЗИ, при помощи которых эти меры и будут реализованы.
22 февраля 2014 г. в 09:36
Сергей Борисов написал(а)…
2. Свои соображения по этому поводу напишу в следующей статье. Для комментариев - это слишком
24 февраля 2014 г. в 01:24
Отправить комментарий

Популярные сообщения из этого блога

СКЗИ. НПА. Некоторые вопросы применения криптографии

Изображение
Как показывает практика, немногие организации помнят и руководствуются приказом ФАПСИ (правопреемником которой является ФСБ России) от 13 июня 2001 г. N 152 "Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну ". А ведь Инструкция является обязательной при использовании сертифицированных СКЗИ для обеспечения безопасности информации ограниченного доступа (подлежащей защите в соответствии с законодательством РФ).     А это ПДн, все виды тайн, ГИСы, НПСы, будущие КИИ. С 2008 по 2012 год для ПДн действовало послабление в виде “Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обесп
Далее...

Модель угроз безопасности клиента финансовой организации

Изображение
  Уже более 2 месяцев как вступил в силу методический документ ФСТЭК по моделированию угроз, а ни одного публичного примера модели угроз информационной безопасности сообществом не было опубликовано. Как мы обсуждали на межблогерском вебинаре по моделированию угроз ИБ , такой пример мог бы сильно помочь ответственным лицам, обязанным руководствоваться данной методикой. Пример модели угроз обещал сделать Алексей Лукацкий, но пока у него получилась серия публикаций про проблемы моделирования и примера ещё нет. В УЦСБ в рамках услуг по моделированию угроз, коллеги уже провели необходимую аналитику и подготовили внутренние средства автоматизации для разработки МУ, что уже говорит о возможности моделирования угроз по новой Методике.  К последнему межблогерскому вебинару по безопасности клиентов финансовых организаций я решил проверить насколько адекватной получится модель угроз для типового сегмента клиента ФО (а для данной статьи ещё и обновил графическое оформление). Давайте посмот
Далее...

КИИ. Категорирование объектов, часть 3

Изображение
Продолжаем проводить категорирование объекта КИИ на примере организации сферы здравоохранения. На предыдущем этапе мы выявили критические процессы организации. Теперь определяем объекты КИИ и отправляем их на согласование (этап простой и очевидный, но постараюсь добавить несколько полезных моментов) 3. Определение объектов КИИ Продолжаем начатое на прошлых этапах (а можно и совместить 1-3) общение с руководителями подразделений. Спрашиваем какие ИС или АСУ обрабатывают информацию, необходимую для обеспечения выявленных критических процессов, и (или) осуществляют управление, контроль или мониторинг критических процессов. Отдельно в ИТ подразделении получаем полный перечень ИС (он должен был готовится в рамках мероприятий по ПДн) и АСУ, совместно с ИТ выкидываем из перечня ИС, не связанные с критическими процессами (как правило, кадровые, бухгалтерские, отчетность, банк-клиенты). В результате, того, что данные об ИС и АСУ получены не из одного источника, гарантируется его
Далее...