понедельник, 22 июня 2020 г.

ГИС не ГИС, а защищать надо



   В декабре 2016 года ФСБ/ФСТЭК внесли на рассмотрение в Госдуму не только будущий 187-ФЗ, но и законопроект по изменению 149-ФЗ.
   И, если КИИ у нас появилось в 2017 году, то распространить требования 17 приказа на иные (не ГИС) информационные системы в госучреждениях не получилось.
   20 июня 2020 года Правительство отозвало законопроект по изменению 149-ФЗ.

   13 декабря 2016 года ФСТЭК озвучило важную проблему - "Законом № 149-ФЗ не определена необходимость прохождения какой-либо процедуры для отнесения информационной системы к государственным информационным системам". Совершенно верно отмечено, что "значительные объемы данных о гражданах, сведения в экономической, социальной, политической, правоохранительной и других областях деятельности государства, подлежащих защите, обрабатываются указанными государственными органами с
использованием информационных систем, не отнесенных к государственным информационным системам и не включенных в реестр федеральных информационных систем и реестры субъектов Российской Федерации.
   Кроме того, органы государственной власти поручают обработку информации, обладателями которой они являются, на основании договоров или иных законных основаниях подведомственным организациям, информационные системы которых не относятся к государственным
информационным системам. Широкое распространение получает практика обработки информации, обладателями которой являются государственные органы, в центрах обработки данных, информационные системы которых также не относятся к государственными информационным системам."
  При проверках на местах это приводит к таким вот эксцессам - https://valerykomarov.blogspot.com/2018/07/blog-post_30.html

   Но вместо предложения конкретизировать объекты защиты и упорядочить процедуры отнесения информационных систем к ГИС, предложено "посыпать все мелом" защищать все.
   "Операторы государственных информационных систем, а также иных информационных систем, в которых на основании договоров или иных законных основаниях обрабатывается информация, обладателями которой являются государственные органы, создают системы защиты информации и обеспечивают их функционирование в соответствии с требованиями о защите информации, предусмотренными частью 5 настоящей статьи".
   И традиционное финансово-экономическое обоснование - "не потребует дополнительных расходов из федерального бюджета и не повлечет финансовых обязательств государства."
   А вот по требованию ФСБ появился пункт об информировании о компьютерных инцидентах ФСТЭК/ФСБ.
Операторы государственных информационных систем, а также иных информационных систем, в которых на основании договоров или иных законных основаниях обрабатывается информация, обладателями которой являются государственные органы, информируют ФСБ и
ФСТЭК, в пределах их полномочий о компьютерных инцидентах в порядке, установленном указанными федеральными органами исполнительной власти. При этом к компьютерным инцидентам относятся события, в результате которых нарушено функционирование
информационной системы и (или) нарушена безопасность обрабатываемой в информационной системе информации.". 
   Предлагалось выпустить 2 приказа 
- приказ ФСТЭК России "О внесении изменений в Требования о защите информации,
не составляющей государственную тайну, содержащейся в
государственных информационных системах, утвержденных приказом ФСТЭК России от 11 февраля 2013 г. № 17;
приказ ФСТЭК России и ФСБ России "О порядке информирования о компьютерных инцидентах". 
   Таким образом, на момент внесения 187-ФЗ, не все информационные системы органов государственной власти относились авторами к объектам КИИ автоматически.
  ГосСОПКА вообще не упоминается, хотя неделей раньше она прямо указана для КИИ в проекте 187-ФЗ.
   Интересно, но определение компьютерного инцидента различаются в двух законопроектах.
187-ФЗ (дата  - 06.12.2016)
компьютерный инцидент - факт нарушения или прекращения функционирования объекта критической информационной инфраструктуры и (или) нарушения безопасности обрабатываемой таким объектом информации, в том числе вызванный компьютерной атакой. Сравните с определением выше.
Но не срослось.

  Итог: проблема идентификации ГИС осталась, единого реестра ГИС так и нет, информировать о компьютерных инцидентах обязан только субъект КИИ. Самый очевидный путь - внесение изменений в 187-ФЗ по отнесению всех информационных систем государственных учреждений к ЗОКИИ. На наведение порядка в ГИСах силами Минкомсвязи никаких предпосылок не видно, то есть - через 149-ФЗ порядок не навести с защитой информации, принадлежащей государственным органам.
   


* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.

** Все новости блога на публичном Telegram-канале  t.me/ruporsecurite

*** YouTube - канал блога

**** Яндекс.Дзен https://zen.yandex.ru/id/5c7b7864fa818600ae3856a1

***** Публичный ТамТам-канал https://tt.me/blog_ruporsecurite

9 комментариев:

  1. «Самый очевидный путь - внесение изменений в 187-ФЗ по отнесению всех информационных систем государственных учреждений к ЗОКИИ». Чего уж мелочиться! Сразу в ЗОКИИ, без категорирования!

    ОтветитьУдалить
  2. Да, так и написано. Сразу в ЗОКИИ. Иначе смысла нет. Для незначимых ОКИИ нет требований безопасности и они не попадают под госконтроль ФСТЭК.

    ОтветитьУдалить
  3. А ЗОКИИ какой категории?
    Если некие ИС будут относиться к ЗОКИИ на основании некоего Закона, но не по результатам категориования, то смысла нет в этой процедуре. Уж по мне, если такая петрушка пошла, то лучше наделить ФСТЭК обязанностью определять и присваивать категорию ИС.
    P.S.: вот утверждение, что для НОКИИ нет требований по безопасности, на мой взгляд, также немного неверно. Да, требований по обеспечению безопасности НОКИИ в рамках 187-ФЗ нет, но такие системы или сети защищаются в соответсвии с иными НПА, т.е. если, например, ИС оказалась НОКИИ, то это не значит, что она осталась беззащитной.

    ОтветитьУдалить
    Ответы
    1. 1. Конкретную категорию присвоит комиссия субъекта КИИ, а ФСТЭК проверит правильность присвоения в рамках действующего законодательства. Здесь нет никаких проблем.
      2. В заметке четко указана проблема и ее причина. Отнесение к ЗОКИИ решает эту проблему на корню.

      Удалить
  4. Вполне возможна коллизия, что, предположим, Вашим словам внемлют, но что получится, если Закон гласит, что ЗОКИИ, а по ПП-127 оказывается, что НОКИИ. Как быть?

    ОтветитьУдалить
    Ответы
    1. нет коллизии. Просто 3 категория минимум и все.

      Удалить
    2. А как же тогда 17 приказ? Если начинаем считать, что все ГИС - ЗОКИИ 3 категории, то смысла в 17 приказе нет, что и есть еще одной коллизией.

      Удалить
    3. Дополняют требования друг друга. Для ГИС все жестче - обязательная сертификация и аттестация

      Удалить
  5. Это они сейчас дополняют, когда есть ГИС, есть ЗОКИИ, может быть ГИС, отнесённая к ЗОКИИ. А если все ГИС станут ЗОКИИ?
    Сейчас же есть разделение, что ЗОКИИ АСУ ТП - 239, а просто АСУ ТП - 31.
    Я это все к тому, что отнесение ГИС сразу к ЗОКИИ может убить ГИС. Поэтому логично, что есть ГИС, могут быть ГИС ЗОКИИ.

    ОтветитьУдалить