среда, 15 ноября 2017 г.

ИБ. Классификация для пользователей ГИС

С учетом тенденции по централизации информационных систем, в региональных государственных и муниципальных органах, в региональных гос. учреждениях отсутствуют собственные ГИСы, но есть большое количество клиентских подключений к ГИС.

Очевидно, что такие рабочие места необходимо защищать. Но по каким требованиям? То с чем я сталкивался – полный разброд и шатание. Одни защищают такие АРМ как собственную ИСПДн. Другие классифицируют как ГИС причем с уровнем защищенности от К1 до К3. Давайте разберемся какой порядок работы всё-таки правильный и какие сейчас есть сложности с ним.

Во-первых, кто может и должен классифицировать клиентские места ГИС? В соответствии с пунктом 14 приказа ФСТЭК №17 классификацию ГИС осуществляет обладатель информации в ГИС (заказчик ГИС –орган который создает или заказывает ГИС по гос. контракту). Учреждение с клиентским местом не создает ГИС и соответственно не может проводить классификацию.

Во-вторых, может быть клиентские места ГИС вообще не нужно защищать? Нужно. В соответствии с пунктом 4 приказа ФСТЭК №17 “Лицо, обрабатывающее информацию, являющуюся государственным информационным ресурсом, по поручению обладателя информации (заказчика) или оператора .... (далее - уполномоченное лицо), обеспечивает защиту информации в соответствии с законодательством Российской Федерации …”
Как как, как правило разработаны документы (ФЗ, положения, приказы о работе системы) которые предусматривают различных пользователей системы, их обязанности и функции в системе. По сути эти документы и являются поручением.  Но в соответствии с какими требованиями обеспечивать безопасность? В 90% случаев, документация на ГИС, которая передается пользователю не содержит требований по защите информации.   

В-третьих, пункт 4 приказа ФСТЭК №17 и пункт 9 статьи 14 №149-ФЗ говорят, что именно Заказчики ГИС (обладатели информации в ГИС) несут ответственность за защиту информации и именно они должны устанавливать требования по защите информации для уполномоченных лиц.  
Так получается всем пользователям надо запрашивать перечень класс ГИС и требования к защите с владельцев ГИС (готовы к шквалу запросов)? Запрашивали выборочно. Пока что широкий диапазон “мы вообще не включали клиентские места в область защиты” до “у нас для всей системы включая клиентские места один класс – К1”.  Бывает так что предусмотрена классификация для федеральных и региональных серверных сегментов, но про пользовательские места опять забыли.  

В-четвертых, а имеет вообще смысл “парится”? Могут ли у клиентских мест быть классы ГИС отличные от ГИС в целом? Могут. В соответствии с пунктом 14.2 приказа ФСТЭК №17 класс защищенности может определятся для отдельных сегментов (составных частей) ГИС. И это вполне логично, так как значимость информации на отдельном клиентском месте существенно меньше чем на серверах в ЦОД где эти данные консолидированы. Отдельный большой вопрос как определять масштаб для составной части ГИС?

Итого приходим к следующему единственно правильному сценарию:
1.       Владелец ГИС при создании системы предусматривает классификацию сегментов пользователей ГИС
2.       Владелец ГИС разрабатывает (это его обязанность) требования по защите информации для пользователей ГИС
3.       Пользователю ГИС до момента его подключения к системе доводятся требования по защите информации
4.       До подключения, после подключения или периодически во время работы пользователя с ГИС, владелец ГИС запрашивает с пользователя свидетельства того, что требования по защите информации выполняются (так как обеспечения защиты информации - это в первую очередь обязанность владельца ГИС)


Пока по нему не работают ни старые ГИС типа zakupki.gov.ru, ГИС ГМП ни новые, такие как cabinets.fss.ru

20 комментариев:

Константин комментирует...

2 Сергей

Так всё просто же. По документам они внешние пользователи-сторонние ис. И тогда их защита это их дело.

Сергей Борисов комментирует...

А на стороне пользователей ничего не просто. Они получаются явные пользователи именно ГИС, а не какой то сторонней ИС. И на проверках попадают за то что рабочие места, работающие в ГИС не защитили...

Константин комментирует...

2 Сергей

Так если относительно ГИС вы внешний пользователь-сторонняя ИС, то тогда только вы (внешний пользователь-сторонняя ИС) можете сказать есть угрозы или нет. Говорите нет и не защищайте. ИСПДн не является для вас, если только ваши данные видите. Ни под какой закон не подпадаете..

Если же для ГИС вы пользователь, то тогда выполняйте требования если они есть. На нет и суда нет.

А пример попадания на проверках можно?

Константин комментирует...

И вообще не понятно, как проверка может обвинить, что пользователи не защищаются. Где написано вообще, что пользователь, даже допустим если гос. учреждения, должен защищаться при подключении к ГИС?

ЗВД комментирует...

Коллеги, согласно методическому документу ФСТЭК России:
В качестве внутренних пользователей дополнительно рассматриваются должностные лица обладателя информации, заказчика, уполномоченного лица и (или) оператора иной информационной системы, а также лица, привлекаемые на договорной основе для обеспечения функционирования информационной системы (ремонт, гарантийное обслуживание, регламентные и иные работы) в соответствии с организационно-распорядительными документами оператора и которым в информационной системе также присвоены учетные записи.

Так что тут еще вопрос в каком случае можно считать себя внешним пользователям или пользователем свой ИС, сторонней по отношению к ГИС... На мой взгляд внешними пользователями выступают граждане посещающие "публичные" ГИС: портал госуслуг, официальные сайты ОИВ и т.д. Т.е. внешние пользователи, это пользователи пусть и с присвоенной учетной записью (путем саморегистрации, сопоставления с профилем соцсети и т.д.) но их круг не ограничен.

Константин комментирует...
Этот комментарий был удален автором.
Константин комментирует...

2 ЗВД

Там всё довольно однозначно, достаточно взглянуть на наименование меры.
"ИАФ.1 Идентификация и аутентификация пользователей, являющихся РАБОТНИКАМИ ОПЕРАТОРА"
дальше можно не читать. Но если вдруг прочитали, то есть меры ИАФ.6
в ней тоже достаточно наименования
"ИАФ.6 Идентификация и аутентификация пользователей, НЕ ЯВЛЯЮЩИХСЯ РАБОТНИКАМИ ОПЕРАТОРА (ВНЕШНИХ ПОЛЬЗОВАТЕЛЕЙ)

Сергей, этим постом просто жути нагоняет. Видимо интегратор решений.. Вот и пугает людей.
Любое замечание контроля должно иметь основания. Здесь их нет.

ЗВД комментирует...
Этот комментарий был удален автором.
ЗВД комментирует...

2 Константин
Про "дальше можно не читать" не согласен. Даже если остановится на наименовании меры ИАФ.6 читается так: идентификация и аутентификация пользователей, не являющихся работниками оператора и(или) идентификация и аутентификация внешних пользователей.
Скобки здесь не означают отождествление внешних пользователей с "неработниками", а поясняют множественность выбора. Ведь в формулировке "14. Формирование требований к защите информации, содержащейся в информационной системе, осуществляется обладателем информации (заказчиком)" скобки не означают что "обладатель информации" равно "заказчик".

Я думаю наименовании меры ИАФ.1 просто не хватает слов в конце "(внутренних пользователей)", и ФСТЭК вышел из этой ситуации написав конкретику в методическом документе.
Иначе по вашей трактовке (если читать только наименования мер) получается - все кто не работники оператора = внешние пользователи. А по факту у ОИВ зачастую куча работников подведомственных учреждений работает с ИС, администраторы/разработчики - подрядчики сторонней организации. И ним в соответствии с методическим документом должны применяться меры ИАФ.1.

Про ИАФ.6 читаем:
К пользователям, не являющимся работникам оператора (внешним пользователям), относятся все пользователи информационной системы, не указанные в ИАФ.1 в качестве внутренних пользователей.

Константин комментирует...

2 ЗВД

Вы как-то странно трактуете скобки)) Не надо додумывать, надо читать то, что есть. А вы занимаетесь додумыванием.

Saches комментирует...

Полностью согласен со статьей и выводами. Кроме того, считаю, что такой же бардак происходит и в аналогичных зонах ответственности операторов платежных систем и операторов ПДн.

ЗВД комментирует...

2 Константин, так я лишь додумываю соответствие названий мер ИАФ.1 и ИАФ.6 с тем что написано про них в Методическом документе ФСТЭК :) а Вы говорите что достаточно прочтения названий и дальше можно не углубляться (не принимать во внимание их описание в Методическом документе)

Константин комментирует...

2 ЗВД Пусть будет так)

Сергей Борисов комментирует...

2 Константин: в данной статье я не трогаю публичных пользователей - физ.лиц.
Речь идет о легальных внутренних пользователях, которые находятся в других гос. органах и учреждениях.

Возьмем например ГИСы федерального казначейства: кроме сотрудников оператора ГИС в этих системах также обязаны работать все гос. органы и учреждения. соотношение этих пользователей 5% / 95%. Как можно защитив эти 5% говорить о том что защищена вся ГИС в целом?

Сергей Борисов комментирует...

2 Константин: Вы спрашиваете, где написано что пользователи/ рабочие места пользователей ГИС должны быть защищены?

149-ФЗ, статья 14 пункт 8:
"8. Технические средства, предназначенные для обработки информации, содержащейся в государственных информационных системах, в том числе программно-технические средства и средства защиты информации, должны соответствовать требованиям законодательства Российской Федерации о техническом регулировании."

А также частично к этому относится пункт 4 приказа ФСТЭК №17
"Лицо, обрабатывающее информацию, являющуюся государственным информационным ресурсом, по поручению обладателя информации (заказчика) или оператора ... (далее - уполномоченное лицо), обеспечивает защиту информации в соответствии с законодательством Российской Федерации об информации, информационных технологиях и о защите информации."
Проблема в том что поручение часто есть (в виде ФЗ, ПП, приказа), но требований по ЗИ в нем нет, либо они недостаточно подробные (недостаточные для классификации сегмента ГИС)

Ronin комментирует...

АРМ подразделений и т.д., имеющие доступ к ГИС - это не сама ГИС. Это пользователи этой системы, на которых распространяются не требования 17 Приказа, а все останое, например 21 Приказ, если они обрабатывают ПДн в рамках доступа к этой ГИС, ну и т.д.
Как пример: есть ГИС ЕМИАС. А есть куча госов и тех же поликлинник, которые имеют к ней доступ. Никто не требует защиту АРМ в поликлиниках и т.д. по требованиям ГИС. А вот как ИСПДн - требуется. Посмотрите положения о ГИС, ТЗ на них, госконтракты на создание.
Уточнение про лицо, обрабатывающее информацию, являющуюся государственным информационным ресурсом, по поручению обладателя информации (заказчика) или оператора и (или) предоставляющее им вычислительные ресурсы (мощности) для обработки информации.... сделано для случаев аренды ЦОДов, сопровождение системы подрядной организацией, а также вариантов, когда оператор или владелец - это орган власти какой-то, а реальное управление осуществляется сторонним лицом по договору. Как пример - те же Платон, системы ГИБДД

Ronin комментирует...

Как дополнительный кейс и информацию к размышлению - сравните варианты для АИС "Налог-3":
1. Бухгалтер ООО и отчетность в ФНС
2. Василий Пупкин и его личный кабинет в ФНС
3. Налоговый инспектор 666 ИФНС по г. Москва
4. Бухгалтер 666 ИФНС по г. Москва
5. Админ ФЦОД ФНС России
6. Админ ЦОД Минфина России

Можно посмотреть Положение об этой ГИС также - https://www.nalog.ru/rn77/about_fts/gos_inf/4045827/
Там определены пользователи АИС, а также требования к ним, в том числе по ИБ. А также есть упоминание про централизованные и децентрализованные компоненты - это общий сегмент с БД в ЦОД и пока не подключенные к нему некоторые территориальные - они в плане перевода в общий ЦОД.

Сергей Борисов комментирует...

2 Ronin: хороший пример.
Опять же в положении приводятся некоторые требования ИБ и меры ИБ, но конкретики для классификации и защиты на стороне пользователей не хватает.

Ronin комментирует...

Сергей, вы не услышали то, что я хотел сказать :)
Сторона пользователей - это не ГИС, к ней требований по 17 Приказу и она не классифицируется как ГИС. Поэтому там и нет конкретики для классификации.
А сами они уже должны классифицировать и защищать эти рабочие места как ИСПДн, в соответствии с законом.

Сергей Борисов комментирует...

Но это в той же степени и не ИСПДн.
По крайне мере, наша организация не является оператором этой ИС. Так как оператор ПДн "определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными"
а для этой сторонней ИС мы пользователи.

И я всётакие не вижу оснований или доказательств, почему пользователи ГИС - это не ГИС?
Особенно в примере с АИС Налог никак этого не объясняет