Новые требования к защите ГИС от ФСБ России

 

23 ноября 2020 на общественное обсуждение был выложен проект приказа ФСБ России "Об утверждении Требований о защите информации, содержащейся в государственных информационных системах, с использованием средств криптографической защиты информации".

7 декабря закончились обсуждения и вряд ли предвидятся серьезные изменения данного документа. У Валерия Комарова видел замечания только к терминологии и мелочам.

Я подготовил для вас видео обзор основных положений данного документа:

https://youtu.be/gdlwzo5-ors

Но здесь хочу обсудить несколько моментов которые не попали в видео:

·        В пункте 5 приказа ФСБ России №378 говорится об использовании использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации, но в пунктах 18, 21, 26 говорится о том, что для выполнения этого требования необходимо использовать СКЗИ класса КС1 и выше (то есть сертифицированные).

·        Хотя явных требований к оценке влияния среды функционирования не было в самом приказе №378, по эти требования были прописаны в документации на все СКЗИ, поэтому нельзя сказать что в новом приказе появились эти новые требования – скорее они теперь дублируются.

·        Ранее в ответах ФСБ России на вопросы по применению криптографии в ИСПДн получал аналогичную информацию о возможности определения угроз/нарушителей/класса СКЗИ для отдельных сегментов системы.

·        Сравнение правил выбора классов лишний раз показывает, что для ИСПДн были установлены слишком суровые классы криптозащиты. Фактически операторы случайно определившие у себя угрозы 1 и 2 типа автоматически ставили крест на своих ИСПДн. Для ГИС-ов минимальные классы сделали помягче.

·        Очевидно, что требование использовать максимальный класс СКЗИ при взаимодействии двух ИС приведет к тому, что когда все ИС будут соединены хотя бы в дерево (СМЭВ, ЕСИА, ЕБС, другие шины), то во всех таких системах должен будет применяться максимальный класс КА (при наличие хотя бы одной системы с КА).

·        Уже 6 лет прошло с момента утверждения приказа ФСБ России №378. Хорошо бы его привести к единому виду с новым приказом, для избежания двойных/несогласованных требований в случае когда ГИС – ИСПДн

 

 

Комментарии

Отправить комментарий

Популярные сообщения из этого блога

СКЗИ. НПА. Некоторые вопросы применения криптографии

Изображение
Как показывает практика, немногие организации помнят и руководствуются приказом ФАПСИ (правопреемником которой является ФСБ России) от 13 июня 2001 г. N 152 "Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну ". А ведь Инструкция является обязательной при использовании сертифицированных СКЗИ для обеспечения безопасности информации ограниченного доступа (подлежащей защите в соответствии с законодательством РФ).     А это ПДн, все виды тайн, ГИСы, НПСы, будущие КИИ. С 2008 по 2012 год для ПДн действовало послабление в виде “Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обесп
Далее...

КИИ. ОКВЭД vs 187-ФЗ

Все ещё одним из наиболее часто задаваемых вопросов про КИИ является: попадаем ли мы в сферы 187-ФЗ?   Например, если мы школа или учреждение соц. защиты. Чтобы ответить на этот вопрос в первую очередь рекомендуется посмотреть на коды ОКВЭД вашей организации и сравнить с кодами ОКВЭД в которые попадают сферы и отрасли из 187-ФЗ. Если по каким -то причинам вам это было сложно сделать, то специально в честь наступающего праздника я сделал это за Вас. Пользуйтесь :     Также табличка может быть полезна регуляторам чтобы оценить объем организаций подпадающих под законодательство 187-ФЗ.
Далее...

Модель угроз безопасности клиента финансовой организации

Изображение
  Уже более 2 месяцев как вступил в силу методический документ ФСТЭК по моделированию угроз, а ни одного публичного примера модели угроз информационной безопасности сообществом не было опубликовано. Как мы обсуждали на межблогерском вебинаре по моделированию угроз ИБ , такой пример мог бы сильно помочь ответственным лицам, обязанным руководствоваться данной методикой. Пример модели угроз обещал сделать Алексей Лукацкий, но пока у него получилась серия публикаций про проблемы моделирования и примера ещё нет. В УЦСБ в рамках услуг по моделированию угроз, коллеги уже провели необходимую аналитику и подготовили внутренние средства автоматизации для разработки МУ, что уже говорит о возможности моделирования угроз по новой Методике.  К последнему межблогерскому вебинару по безопасности клиентов финансовых организаций я решил проверить насколько адекватной получится модель угроз для типового сегмента клиента ФО (а для данной статьи ещё и обновил графическое оформление). Давайте посмот
Далее...