Обсудим проект приказа ФСБ России "Об утверждении Требований о защите информации, содержащейся в государственных информационных системах, с использованием средств криптографической защиты информации" https://regulation.gov.ru/projects?fbclid=IwAR0BTUKGRlUtwnVGnm0mgi8E6aKPWyhiCvzN7TgEeciyTRugnQjbhri1-DY#npa=110754
Общественное обсуждение продлится до 7 декабря 2020 года, призываю активно участвовать.
Чем важен этот приказ для операторов ГИС?
"2. Настоящий приказ вступает в силу по истечении шести месяцев со дня его официального опубликования."
Очень похоже на то, что для всех СКЗИ, используемых в ГИС, потребуется проводить определение класса СКЗИ по новым требованиям. И на это дается полгода, а потом проверка и штраф по ст.13.12 КоАП.
Собственно сам проект приказа примечателен продолжением традиции по "зоопарку" терминов в ИБ.
1. Есть привычный и много лет применяемый приказ ФСТЭК от 11 февраля 2013 г. N 17 "ОБ УТВЕРЖДЕНИИ ТРЕБОВАНИЙ О ЗАЩИТЕ ИНФОРМАЦИИ, НЕ СОСТАВЛЯЮЩЕЙ ГОСУДАРСТВЕННУЮ ТАЙНУ, СОДЕРЖАЩЕЙСЯ В ГОСУДАРСТВЕННЫХ ИНФОРМАЦИОННЫХ СИСТЕМАХ", в котором есть Приложение № 1."Определение класса защищенности информационной системы"
Сравним определения из действующего приказа ФСТЭК и проекта приказа ФСБ
ФСТЭК - Сегмент информационной системы— совокупность нескольких компонентов информационной системы, использующих общую (в том числе разделяемую) среду передачи и объединенных для единства решения функциональных задач.
ФСБ - Класс СКЗИ, подлежащих использованию для защиты информации, содержащейся в ГИС, определяется для каждой составной части ГИС, предназначенной для решения задач ГИС в пределах определенной территории или объекта (объектов) (далее – сегмент ГИС).
У ФСБ явно прописано, что сегмент ГИС определяется через территориальную отделенность частей ГИС. У ФСТЭК только решаемым функционалом.
ФСТЭК - федеральный масштаб, если она функционирует на территории Российской Федерации (в пределах федерального округа) и имеет сегменты в субъектах Российской Федерации, муниципальных образованиях и (или) организациях.
ФСБ - федеральный масштаб, если она предназначена для решения задач ГИС на всей территории Российской Федерации или в пределах двух и более субъектов Российской Федерации
ФСТЭК - региональный масштаб, если она функционирует на территории субъекта Российской Федерации и имеет сегменты в одном или нескольких муниципальных образованиях и (или) подведомственных и иных организациях
ФСБ - региональный масштаб, если она предназначена для решения задач ГИС в пределах одного субъекта Российской Федерации.
ФСТЭК - объектовый масштаб, если она функционирует на объектах одного федерального органа государственной власти, органа государственной власти субъекта Российской Федерации, муниципального образования и (или) организации и не имеет сегментов в территориальных органах, представительствах, филиалах, подведомственных и иных организациях.
ФСБ - объектовый масштаб, если она предназначена для решения задач ГИС в пределах объекта (объектов) одного государственного органа, муниципального образования и (или) организации.
Уровни значимости информации определяются одинаково.
Вопрос: зачем нужно вводить это разнообразие определений? Комиссия теперь должна определять масштаб ГИС по ФСТЭК для категорирования ГИС и масштаб ГИС по ФСБ для определения класса СКЗИ в этой ГИС? Что мешает просто сделать таблицу соответствия класса СКЗИ классам ГИС? И сегментация ГИС в проектных решениях по ФСТЭК и по ФСБ?
2. Проект приказа содержит избыточный текст в п.18-п.20. Особенно п.20, в котором абзац "Правило, указанное в абзаце первом настоящего пункта, применяется, если для защиты информации, содержащейся в ГИС (сегменте ГИС), в соответствии с таблицей, приведенной в приложении к настоящим Требованиям, необходимо использовать СКЗИ класса КС1, КС2 или КС3." просто не нужен, так как он не несет никакого практического смысла. При таком нарушителе используй класс СКЗИ -КВ и точка. (см.п.21 проекта Приказа).
3. Пункты 16 и 17 написаны очень странно. Особенно п.17
17. Класс СКЗИ, подлежащих использованию для защиты информации во взаимодействующих между собой сегментах одной ГИС, определяется не ниже наименьшего класса СКЗИ, используемого для защиты информации в таких сегментах ГИС.
Я в каждом сегменте уже определил классы СКЗИ по требованиям приказа, откуда у меня появится класс СКЗИ " ниже наименьшего" для взаимодействующих сегментов?
Такое ощущение, что речь идет об использовании СКЗИ для организации защищенного канала связи между сегментами ГИС при их взаимодействии, а не для защиты информации в самих взаимодействующих сегментах.
4. Несколько удивляет "Таблица определения класса СКЗИ, подлежащих использованию для защиты информации, содержащейся в ГИС (сегменте ГИС)" в части регионального уровня: отсутствует КС2. Вполне возможно, что это обоснованно. Но как то странно.
* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.
*** YouTube - канал блога
**** Яндекс.Дзен https://zen.yandex.ru/id/5c7b7864fa818600ae3856a1
***** Публичный ТамТам-канал https://tt.me/blog_ruporsecurite
Валерий, добрый день!
ОтветитьУдалитьК сожалению, нет возможности оставить предложение на сайте regulation.gov.ru, потому что сайт не дает зарегистрироваться.
Поэтому прошу Вас прокомментировать и, при необходимости, оставить им сообщение.
В связи с привычной размытой терминологией возник вопрос, что ФСБ России будет считать сегментами ГИС впоследствии при согласовании документов? Нельзя ли сразу как-то конкретизировать это понятие?
Представим себе такой упрощенный случай: государственный заказчик в акте о создании ГИС укажет, что ГИС будут наполнять информацией все ИОГВ и ОМСУ региона.
Так, в 17-ом приказе ФСТЭК есть мера УПД.16, которая четко говорит заказчику, что подключать пользователей можно, если есть подтверждение о принятых мерах защиты на местах. Ведь пользователь, он же не в "поле" сидит, а в конкретном ведомстве, которое обязано принимать хотя бы орг. меры по защите информации...
А тут выйдет так, что в модели угроз госзаказчик напишет, что одним из сегментов ГИС будут рабочие места пользователей.
И таким образом в модели угроз выводы дойдут до того, что на рабочих местах нужно внедрять КС3, так как меры защиты там никакие не приняты, физический доступ не ограничен и т.д.
Покупать программно-аппаратные комплексы? Это неоправданно дорого будет...
Тогда программные СКЗИ с классом КС3? Ну допустим...
А что такое есть АРМ пользователя? Да все, что угодно! Windows, Linux и т.д... Лишь бы браузер был для web-доступа на соответствующие ресурсы ГИС.
И тут нас ждет пункт 8 Требований ФСБ... для какого ПО проводить оценку влияния? Да там зоопарк ПО! Выявлять типовые рабочие места? Да их тоже будет зоопарк мест!
Вот и хочется уточнить у регулятора, что такое сегмент ГИС?
про сегменты будет подано замечание, что сегментация "по ФСТЭК" не совпадает с сегментацией "по "ФСБ",в заметке про это есть.
Удалитьпри чтении приказа сложилось впечатление, что речь не про использование СКЗИ для защиты информации в процессе работы ГИС, а про использование СКЗИ для организации защиты каналов обмена информации между сегментами (территориально разделенными) ГИС и/или между ГИС.
ОтветитьУдалитьТак да!
ОтветитьУдалить"Информация, содержащаяся в ГИС, подлежит защите с использованием СКЗИ в случаях:
...
когда в ГИС осуществляется передача информации по каналам связи, проходящим за границей контролируемой зоны;"
Если у нас сегменты ГИС - это серверные компоненты, "живут" в разных ЦОДах и "общаются" по недоверенным каналам связи, то тут вопросов-то нет. Заказчик (или Оператор) ГИС самостоятельно или через уполномоченное лицо организует защиту канала связи.
А если у нас один из сегментов - АРМ пользователя, то тут-то и начинается темный лес...