ИБ. НПА. Изменения в 17 приказе по защите ГИС и согласования
Недавние изменения в 17 приказ
ФСТЭК России, были небольшими, но породили множество вопросов. По самым важным
я задал вопросы органу гос. контроля. Обещали подобную информацию, разместить в
информационном письме на сайте ФСТЭК России, но для самых нетерпеливых привожу
ответы здесь …
1. В соответствии с пунктом Требований 17.6 в случае, если
информационная система создается на базе центра обработки данных
уполномоченного лица, такой центр обработки данных должен быть аттестован по
классу защищенности не ниже класса защищенности, установленного для создаваемой
информационной системы.
Приходилось сталкиваться с ситуацией, когда создается центр обработки
данных (далее - ЦОД), в котором в дальнейшем предполагается размещения
компонентов информационных систем, но на момент создания и аттестации ЦОД, в
нем не размещается каких-либо ГИС.
На момент проведения испытаний ЦОД, в нем может быть развернута система
защиты общей инфраструктуры ЦОД, но отсутствует система защиты информации ГИС.
Например, могут быть развернуты средства межсетевого экранирования и
обнаружения вторжений, но отсутствовать средства защиты от НСД и средства
антивирусной защиты, так как отсутствуют серверы информационных систем, на
которые устанавливаются такие средства защиты.
На соответствие каким
требованиям необходимо проводить аттестацию такого ЦОД и какие испытания, из
перечня, приведенного в пункте 17.2 Требований, необходимо проводить во время
такой аттестации?
2. В соответствии с пунктом Требований 17 проведение аттестационных
испытаний информационной системы должностными лицами, осуществляющими
проектирование и (или) внедрение системы защиты информации информационной
системы, не допускается.
Допускается ли проведение аттестационных испытаний в случае если
внедрением системы защиты информации и аттестацией информационной системы
занимаются различные подразделения одного лицензиата ФСТЭК России (разные
физические лица, одно юридическое лицо)?
3. В соответствии с ч. 5 ст. 19 Федерального Закона от 27 июля 2006 г.
"О персональных данных" №152-ФЗ (далее - 152-ФЗ) Федеральные органы
исполнительной власти, осуществляющие функции по выработке государственной
политики и нормативно-правовому регулированию в установленной сфере
деятельности, органы государственной власти субъектов Российской Федерации,
Банк России, органы государственных внебюджетных фондов, иные государственные
органы в пределах своих полномочий принимают нормативные правовые акты, в
которых определяют угрозы безопасности персональных данных, актуальные при
обработке персональных данных в информационных системах персональных данных,
эксплуатируемых при осуществлении соответствующих видов деятельности, с учетом
содержания персональных данных, характера и способов их обработки (т. е. Модели
угроз).
В соответствии с ч. 7 ст. 19 152-ФЗ проекты нормативных правовых актов
(моделей угроз), указанных в ч. 5 ст. 19 152-ФЗ подлежат согласованию с
федеральным органом исполнительной власти, уполномоченным в области обеспечения
безопасности, и федеральным органом исполнительной власти, уполномоченным в
области противодействия техническим разведкам и технической защиты информации,
т.е. с ФСТЭК России.
Прошу уточнить, необходимо ли согласование с ФСТЭК России моделей
угроз, разрабатываемых Департаментом информационных технологий, Министерством
здравоохранения или иными гос. органами субъектов Российской Федерации и
пояснить порядок такого согласования.
В дополнение к 3-ему ответу,
сегодня на конференции Будни информационной безопасности в г. Кургане представитель
управления ФСТЭК России по УФО анонсировал новый приказ ФСТЭК России №105 от 05
июня 2017 г. в котором определен порядок рассмотрения и согласования моделей
угроз и технических заданий на создание ГИС, в частности указывающий отправлять
документы по федеральным ГИС в московский ФСТЭК, документы по региональным ГИС
и МИС в управления ФСТЭК по федеральным округам.
Устно представитель ФТСЭК
рекомендовал следующий оптимальный порядок согласования: после подготовки
документа созвонится с управлением по УФО, устно сообщить о желании
согласовать, далее выслать документы по электронной почте на предварительное
согласование, получить замечания или подтверждение что все ок и только после
этого везти документы в бумажной форме на подпись. Такой вариант будет наиболее
быстрым и позволит не возить бумагу много раз.
Комментарии