Страницы

четверг, 26 ноября 2020 г.

СКЗИ в ГИС. Проект приказа ФСБ.



   Обсудим проект приказа ФСБ России "Об утверждении Требований о защите информации, содержащейся в государственных информационных системах, с использованием средств криптографической защиты информации" https://regulation.gov.ru/projects?fbclid=IwAR0BTUKGRlUtwnVGnm0mgi8E6aKPWyhiCvzN7TgEeciyTRugnQjbhri1-DY#npa=110754

  Общественное обсуждение продлится до 7 декабря 2020 года, призываю активно участвовать.

  Чем важен этот приказ для операторов ГИС? 

"2. Настоящий приказ вступает в силу по истечении шести месяцев со дня его официального опубликования."

   Очень похоже на то, что для всех СКЗИ, используемых в ГИС, потребуется проводить определение класса СКЗИ по новым требованиям. И на это дается полгода, а потом проверка и штраф по ст.13.12 КоАП.

   Собственно сам проект приказа примечателен продолжением традиции по "зоопарку" терминов в ИБ.

   1. Есть привычный и много лет применяемый приказ ФСТЭК от 11 февраля 2013 г. N 17 "ОБ УТВЕРЖДЕНИИ ТРЕБОВАНИЙ О ЗАЩИТЕ ИНФОРМАЦИИ, НЕ СОСТАВЛЯЮЩЕЙ ГОСУДАРСТВЕННУЮ ТАЙНУ, СОДЕРЖАЩЕЙСЯ В ГОСУДАРСТВЕННЫХ ИНФОРМАЦИОННЫХ СИСТЕМАХ", в котором есть Приложение № 1."Определение класса защищенности информационной системы"

Сравним определения из действующего приказа ФСТЭК и проекта приказа ФСБ

ФСТЭК - Сегмент информационной системы— совокупность нескольких компонентов информационной системы, использующих общую (в том числе разделяемую) среду передачи и объединенных для единства решения функциональных задач.

ФСБ - Класс СКЗИ, подлежащих использованию для защиты информации, содержащейся в ГИС, определяется для каждой составной части ГИС, предназначенной для решения задач ГИС в пределах определенной территории или объекта (объектов) (далее – сегмент ГИС).  

    У ФСБ явно прописано, что сегмент ГИС определяется через территориальную отделенность частей ГИС. У ФСТЭК только решаемым функционалом. 

ФСТЭКфедеральный масштаб, если она функционирует на территории Российской Федерации (в пределах федерального округа) и имеет сегменты в субъектах Российской Федерации, муниципальных образованиях и (или) организациях.

 ФСБ  - федеральный масштаб, если она предназначена для решения задач ГИС на всей территории Российской Федерации или в пределах двух и более субъектов Российской Федерации

ФСТЭК - региональный масштаб, если она функционирует на территории субъекта Российской Федерации и имеет сегменты в одном или нескольких муниципальных образованиях и (или) подведомственных и иных организациях

ФСБ - региональный масштаб, если она предназначена для решения задач ГИС в пределах одного субъекта Российской Федерации.

ФСТЭК - объектовый масштаб, если она функционирует на объектах одного федерального органа государственной власти, органа государственной власти субъекта Российской Федерации, муниципального образования и (или) организации и не имеет сегментов в территориальных органах, представительствах, филиалах, подведомственных и иных организациях.

ФСБ - объектовый масштаб, если она предназначена для решения задач ГИС в пределах объекта (объектов) одного государственного органа, муниципального образования и (или) организации.

   Уровни значимости информации определяются одинаково. 

  Вопрос: зачем нужно вводить это разнообразие определений? Комиссия теперь должна определять масштаб ГИС по ФСТЭК для категорирования ГИС и масштаб ГИС по ФСБ для определения класса СКЗИ в этой ГИС? Что мешает просто сделать таблицу соответствия класса СКЗИ классам ГИС? И сегментация ГИС в проектных решениях по ФСТЭК и по ФСБ?

    2. Проект приказа содержит избыточный текст в п.18-п.20. Особенно п.20, в котором абзац "Правило, указанное в абзаце первом настоящего пункта, применяется, если для защиты информации, содержащейся в ГИС (сегменте ГИС), в соответствии с таблицей, приведенной в приложении к настоящим Требованиям, необходимо использовать СКЗИ класса КС1, КС2 или КС3." просто не нужен, так как он не несет никакого практического смысла. При таком нарушителе используй класс СКЗИ -КВ и точка. (см.п.21 проекта Приказа).

    3. Пункты 16 и 17 написаны очень странно. Особенно п.17

17. Класс СКЗИ, подлежащих использованию для защиты информации во взаимодействующих между собой сегментах одной ГИС, определяется не ниже наименьшего класса СКЗИ, используемого для защиты информации в таких сегментах ГИС. 

   Я в каждом сегменте уже определил классы СКЗИ по требованиям приказа, откуда у меня появится класс СКЗИ " ниже наименьшего" для взаимодействующих сегментов?

   Такое ощущение, что речь идет об использовании СКЗИ для организации защищенного канала связи между сегментами ГИС при их взаимодействии, а не для защиты информации в самих взаимодействующих сегментах.

   4. Несколько удивляет "Таблица определения класса СКЗИ, подлежащих использованию для защиты информации, содержащейся в ГИС (сегменте ГИС)" в части регионального уровня: отсутствует КС2. Вполне возможно, что это обоснованно. Но как то странно.



 * Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.

** Все новости блога на публичном Telegram-канале  t.me/ruporsecurite

*** YouTube - канал блога

**** Яндекс.Дзен https://zen.yandex.ru/id/5c7b7864fa818600ae3856a1

***** Публичный ТамТам-канал https://tt.me/blog_ruporsecurite

4 комментария:

  1. Валерий, добрый день!
    К сожалению, нет возможности оставить предложение на сайте regulation.gov.ru, потому что сайт не дает зарегистрироваться.
    Поэтому прошу Вас прокомментировать и, при необходимости, оставить им сообщение.
    В связи с привычной размытой терминологией возник вопрос, что ФСБ России будет считать сегментами ГИС впоследствии при согласовании документов? Нельзя ли сразу как-то конкретизировать это понятие?
    Представим себе такой упрощенный случай: государственный заказчик в акте о создании ГИС укажет, что ГИС будут наполнять информацией все ИОГВ и ОМСУ региона.
    Так, в 17-ом приказе ФСТЭК есть мера УПД.16, которая четко говорит заказчику, что подключать пользователей можно, если есть подтверждение о принятых мерах защиты на местах. Ведь пользователь, он же не в "поле" сидит, а в конкретном ведомстве, которое обязано принимать хотя бы орг. меры по защите информации...
    А тут выйдет так, что в модели угроз госзаказчик напишет, что одним из сегментов ГИС будут рабочие места пользователей.
    И таким образом в модели угроз выводы дойдут до того, что на рабочих местах нужно внедрять КС3, так как меры защиты там никакие не приняты, физический доступ не ограничен и т.д.
    Покупать программно-аппаратные комплексы? Это неоправданно дорого будет...
    Тогда программные СКЗИ с классом КС3? Ну допустим...
    А что такое есть АРМ пользователя? Да все, что угодно! Windows, Linux и т.д... Лишь бы браузер был для web-доступа на соответствующие ресурсы ГИС.
    И тут нас ждет пункт 8 Требований ФСБ... для какого ПО проводить оценку влияния? Да там зоопарк ПО! Выявлять типовые рабочие места? Да их тоже будет зоопарк мест!

    Вот и хочется уточнить у регулятора, что такое сегмент ГИС?

    ОтветитьУдалить
    Ответы
    1. про сегменты будет подано замечание, что сегментация "по ФСТЭК" не совпадает с сегментацией "по "ФСБ",в заметке про это есть.

      Удалить
  2. при чтении приказа сложилось впечатление, что речь не про использование СКЗИ для защиты информации в процессе работы ГИС, а про использование СКЗИ для организации защиты каналов обмена информации между сегментами (территориально разделенными) ГИС и/или между ГИС.

    ОтветитьУдалить
  3. Так да!

    "Информация, содержащаяся в ГИС, подлежит защите с использованием СКЗИ в случаях:
    ...
    когда в ГИС осуществляется передача информации по каналам связи, проходящим за границей контролируемой зоны;"

    Если у нас сегменты ГИС - это серверные компоненты, "живут" в разных ЦОДах и "общаются" по недоверенным каналам связи, то тут вопросов-то нет. Заказчик (или Оператор) ГИС самостоятельно или через уполномоченное лицо организует защиту канала связи.

    А если у нас один из сегментов - АРМ пользователя, то тут-то и начинается темный лес...

    ОтветитьУдалить