СОИБ. Анализ. Предложения по совершенствованию Требований ФСТЭК России


В соответствии с информационным сообщением ФСТЭК России “о проекте Требований о защите информа-ции, не составляющей государственную тайну, содержащейся в государственных информационных системах” от 12 октября 2012 г. № 240/22/4140 провел экспертизу проекта приказа ФСТЭК России “Об утверждении Требований о защите ин-формации, не составляющей государственную тайну, содержащейся в государственных информационных системах”.

Из основного могу отметить:
В документ отсутствует раздел с терминами и определениями. Есть ссылки на ряд внешних документов, но каким именно документом руководствоваться для конкретных определений – непонятно. Учитывая несогласованность разных уже существующих документов – это может стать проблемой.
Для примера: есть требования о сертификации всех средств защиты информации, но нет определения средства защиты информации. В своем блоге я уже поднимал эту тему и приводил к каким сложностям приводит неоднозначность  в этом определении.
Так-же в документе есть несогласованность с законодательством в области защиты ПДн.  Так например применительно к ИСПДн используется класс (К) ИСПДн и уровень защищенности (УЗ).  В рассматриваемых Требованиях вводится класс защищенности (К) и уровень значимости (УЗ). Это приведет к большой путанице при пересечении ИСПДн и ГИС.

В остальном документ приличный.  Если будет гибкая методика определения контрмер в зависимости от актуальности угроз то документ можно будет использовать для построения эффективных систем обеспечения информационной безопасности.

Существенным новшеством является требование аттестовать  только часть типовых сегментов ГИС, если обеспечивается их соответствие друг другу.

Получившиеся в итоге замечания и предложения отправлены в ФСТЭК России в соответствии с информационным сообщением.

Просьба при использовании материалов делать ссылку на источник и/или указывать соавторство.

Комментарии

Популярные сообщения из этого блога

СКЗИ. НПА. Некоторые вопросы применения криптографии

Модель угроз безопасности клиента финансовой организации

КИИ. Категорирование объектов, часть 3