СОИБ. Анализ. Государственные информационные системы и информационные системы критически важных объектов (UPD)


13 июля ФСТЭК России опубликовал на своем сайте Проект федерального закона "О внесении изменений в Федеральный закон 149-ФЗ "Об информации, информационных технологиях и о защите информации"

Планируется придать 2 новых толчка обеспечению ИБ (в дополнение к активно развивающейся защите персональных данных и платежных систем):
·        Защита информации в государственных информационных системах (ГИС)
·        Защита информации в информационных системах критически важных объектов (ИСКВО)

1.           В направлении защиты ГИС добавляются следующие требования к необходимым мероприятиям:
·        анализ уязвимостей и угроз (типа аудита ИБ)
·        разработка и реализация системы защиты информации  (типа проектирования СЗИ)
·        оценка соответствия системы защиты информации  (типа аттестации)  
·        применение средств защиты информации прошедших процедуру оценку соответствия (типа сертификации)
·        назначение ответственных за ЗИ
·        разработка политики обеспечения ЗИ
·        анализ и реагирование на инциденты ИБ
·        резервирование
·        контроль выполнения требований
Требования должны выполняться на всех стадиях создания и эксплуатации систем. То есть владельцы уже действующих систем обязаны будут выполнять мероприятия.
Детализацию требований устанавливает ФСТЭК Р и ФСБ Р. (Частично требования для защиты информации в ГИС уже есть  - см. ниже., но можно ожидать дополнительных документов)

Защита информации в ГИС детализируется также следующими нормативными актами:

·        Указ Президента Российской Федерации от 17 марта 2008 года N 351 «О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена»

(подключение ГИС к сети интернет через шлюзы,  сертификация, оценка соответствия СрЗИ)

·        Постановление Правительства Российской Федерации от 18 мая 2009 г. N 424 "Об особенностях подключения федеральных государственных информационных систем к информационно-телекоммуникационным сетям”
(защита от НСД, от DDoS, обеспечение непрерывности, оценка соответствия СрЗИ)
·        Приказ Федеральной службы безопасности Российской Федерации, Федеральной службы по техническому и экспортному контролю от 31 августа 2010 г. N 416/489 "Об утверждении Требований о защите информации, содержащейся в информационных системах общего пользования"
(9 подсистем и 6 мероприятий)
·        Приказ ФСТЭК России от 6 декабря 2011 г. N 638  “Об утверждении Требования к системам обнаружения вторжений”
(ГИС – СОВ 4 класса защиты)
·        Приказ Минкомсвязи от 25 августа 2009 г. N 104 "Об утверждении Требований по обеспечению целостности, устойчивости функционирования и безопасности информационных систем общего пользования"
(Межсетевые экраны, ИБП, резервирование и т.п. по аналогии с двойственным приказом ФСБ/ФСТЭК 416/489)
·        Приказ Минкомсвязи "Об утверждении Требований к информационным системам электронного документооборота федеральных органов исполнительной власти, учитывающих, в том числе необходимость обработки посредством данных систем служебной информации ограниченного распространения"
(4 подсистемы и 4 мероприятия)


Проблема 1. Непонятно, легитимны ли требования по ЗИ из 2-х приказов Минкомсвязи? Так как в 149-ФЗ утверждено, что требования к ЗИ в ГИС устанавливают ФСБ Р и ФСТЭК Р.
Часть требований по ЗИ в ГИС устанавливается так-же в постановлениях правительства РФ, касающихся данного типа ГИС. Например, система территориального планирования. В требованиях к которой напрямую говорится о сертификатах СрЗИ.


2.           В направлении защиты ИСКВО предъявляются только следующие требования:
·        защита от НСД
·        защита и резервирование технических средств
·        реагирование на инциденты
·        обеспечение непрерывности ИСКВО
Требования должны выполняться на всех стадиях создания и эксплуатации систем. То есть владельцы уже действующих систем обязаны будут выполнять мероприятия.
Порядок классификации устанавливает Правительство РФ.  (этот документ будем ждать)
Детализацию требований устанавливает ФСТЭК Р и ФСБ Р. (уже есть серия документов ФСТЭК от 18 мая 2007 года по КСИИ: базовая модель угроз, методика определения актуальных угроз и общие требования по обеспечению ИБ в КСИИ. Но они не опубликованы. Так что можно ожидать нового комплекта документов)


Проблема 2. В федеральном законе нет определения критически важного объекта. Да, определение есть в документе Совета безопасности, но какую он имеет силу. А определения информационной системы критически важного объекта нет ни в нем ни в 149-ФЗ. А вопрос важный. К каким из сотни информационных систем на объекте относятся данные требования?

Заметка по этой теме у Лукацкого

Комментарии

Отправить комментарий

Популярные сообщения из этого блога

СКЗИ. НПА. Некоторые вопросы применения криптографии

Изображение
Как показывает практика, немногие организации помнят и руководствуются приказом ФАПСИ (правопреемником которой является ФСБ России) от 13 июня 2001 г. N 152 "Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну ". А ведь Инструкция является обязательной при использовании сертифицированных СКЗИ для обеспечения безопасности информации ограниченного доступа (подлежащей защите в соответствии с законодательством РФ).     А это ПДн, все виды тайн, ГИСы, НПСы, будущие КИИ. С 2008 по 2012 год для ПДн действовало послабление в виде “Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обесп
Далее...

КИИ. ОКВЭД vs 187-ФЗ

Все ещё одним из наиболее часто задаваемых вопросов про КИИ является: попадаем ли мы в сферы 187-ФЗ?   Например, если мы школа или учреждение соц. защиты. Чтобы ответить на этот вопрос в первую очередь рекомендуется посмотреть на коды ОКВЭД вашей организации и сравнить с кодами ОКВЭД в которые попадают сферы и отрасли из 187-ФЗ. Если по каким -то причинам вам это было сложно сделать, то специально в честь наступающего праздника я сделал это за Вас. Пользуйтесь :     Также табличка может быть полезна регуляторам чтобы оценить объем организаций подпадающих под законодательство 187-ФЗ.
Далее...

Модель угроз безопасности клиента финансовой организации

Изображение
  Уже более 2 месяцев как вступил в силу методический документ ФСТЭК по моделированию угроз, а ни одного публичного примера модели угроз информационной безопасности сообществом не было опубликовано. Как мы обсуждали на межблогерском вебинаре по моделированию угроз ИБ , такой пример мог бы сильно помочь ответственным лицам, обязанным руководствоваться данной методикой. Пример модели угроз обещал сделать Алексей Лукацкий, но пока у него получилась серия публикаций про проблемы моделирования и примера ещё нет. В УЦСБ в рамках услуг по моделированию угроз, коллеги уже провели необходимую аналитику и подготовили внутренние средства автоматизации для разработки МУ, что уже говорит о возможности моделирования угроз по новой Методике.  К последнему межблогерскому вебинару по безопасности клиентов финансовых организаций я решил проверить насколько адекватной получится модель угроз для типового сегмента клиента ФО (а для данной статьи ещё и обновил графическое оформление). Давайте посмот
Далее...