Страницы

четверг, 24 декабря 2020 г.

Организация аттестационных испытаний ФСТЭК


   Опубликован для общественного обсуждения проект приказа ФСТЭК России «Об утверждении Порядка организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации, не составляющей государственную тайну». У нас есть возможность повлиять на формулировки приказа до 29 декабря 2020 года.

   Ранее я уже касался этого вопроса https://valerykomarov.blogspot.com/2020/03/blog-post_9.html

   Традиционно начнем с карточки документа.

    Ладно, что основной и дополнительный электронный адрес для отправки предложений одинаковый. Беден ФСТЭК на эл.ящики?

Адрес электронной почты для отправки предложений участниками обсуждений
otd22@fstec.ru


Дополнительный адрес электронной почты
otd22@fstec.ru

   Нет, это не так.

   Почему то  вместо обычного почтового адрес дан опять в формате электронного ящика?

Почтовый адрес для отправки предложений участниками обсуждения
otd25@fstec.ru

   Ну да ладно, хоть не @gmail  как в прошлый раз. Приступим к пояснительной записке:

   Проектом приказа ФСТЭК России определяется состав и содержание работ по аттестации объектов информатизации на соответствие требованиям о защите информации, не составляющей государственную тайну, а также требования к форме разрабатываемых при проведении таких работ документов.

  Я вот смотрю на приложение № 2 к приказу и спросить хочу у авторов проекта: вы действительно считаете, что акт классификации ГИС разрабатывается и оформляется на этапе аттестации? Я был уверен, что намного раньше. И почему тогда не представлены формы актов классификации АСУ ТП или акты категорирования ЗОКИИ? Эта типовая форма должна быть приложением к 17 приказу, но не к требованиям по аттестации.

  Теперь про сам приказ.

2. Установить, что указанный в пункте 1 настоящего приказа Порядок применяется для аттестации объектов информатизации с 1 июня 2021 г.

  Обычно пишется, что приказ вступает в силу с 01 июня 2021 года. Других пунктов в приказе вообще нет. С учетом традиционных задержек, надежнее писать - вступает в силу через 6 месяцев после публикации.

  Переходим к порядку.

  1. Пункт № 1 порядка отсылает нас к 149-ФЗ, нет никаких упоминаний про другие ФЗ. Тот же 187-ФЗ не упомянут. Встает вопрос обоснованности распространения требований данного порядка на множество других объектов информатизации:

К объектам информатизации, подлежащим аттестации в соответствии с настоящим Порядком, относятся государственные и муниципальные информационные системы, информационные системы управления производством, используемые организациями оборонно-промышленного комплекса, защищаемые помещения, а также значимые объекты критической информационной инфраструктуры и автоматизированные системы управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды, для которых при их создании установлены требования к оценке соответствия требованиям по защите информации в форме аттестации.

  В 239 приказе требования по обеспечению безопасности ЗОКИИ, а не по защите информации.

   2. Смотрим п.№3 "Аттестация объектов информатизации проводится на этапе создания объекта информатизации".  А как проводить аттестацию действующих объектов информатизации? Видимо забыли добавить "и модернизации".

   3. Пункт № 4 прекрасен. "Аттестация объектов информатизации проводится федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, органами местного самоуправления, организациями, которым на праве собственности или ином законном основании принадлежат объекты информатизации (далее – владельцы объектов информатизации).". Мало ФСТЭК испытала проблем с КИИ, где устанешь определять владельца ГИС. Но ведь это не бьется с 17 приказом - "Аттестация информационной системы организуется обладателем информации (заказчиком) или оператором". Вся централизация ИБ в органах власти исчезает бесследно. Ни заказчика, ни оператора ГИС. Зачем?

    4. Пункт №5 вызывает очередные вопросы по КИИ. "Для проведения аттестационных испытаний владелец объекта информатизации привлекает организацию, имеющую лицензию ТЗКИ", но вот не обязан лицензиат знать нормативку по КИИ. Не установила ФСТЭК для него такие требования. И как он будет проверять на соответствие  НПА, которых не знает?

   5. Пункт № 6 меня восхитил. ФСТЭК разрешил не выполнять требования Федерального закона от 04.05.2011 N 99-ФЗ "О лицензировании отдельных видов деятельности".

   6. Пункт 11. "в) модель угроз безопасности информации (только для информационных (автоматизированных) систем);" А что так? 239 приказ таких исключений не содержит. Для АСУ/ИТКС, если они ЗОКИИ, оформляются МУ.

   в пп "г" появилась "модернизация.

    7. Пункт № 13  "Программа и методики аттестационных испытаний может быть уточнена органом по аттестации по согласованию с владельцем объекта информатизации в ходе обследования объекта информатизации в условиях его эксплуатации.". Непонятно, ведь в п.10 прописано "Аттестация объекта информатизации проводится владельцем объекта информатизации до ввода объекта информатизации в эксплуатацию". 

    8. Пункт 17 "б) проверку наличия и согласования с ФСТЭК России модели угроз безопасности информации и технического задания". Вообще то, в ПП676 указано "и/или". 

    9. Пункт 17 "д). Непонятно, будет ли проверятся соответствие на 235 приказ, в части специалистов безопасности ЗОКИИ.

   10. Пункт 17 "е). Будут проверять именно "уровень знаний"? Экзамен проводить? а по какой программе и методике? Или речь про проверку квалификации по наличию "корочек"?

   11. Пункт 18. Подразумевается пентест чужого ЦОДА? "При этом испытания должны предусматривать анализ и тестирование серверной части или информационно-телекоммуникационной инфраструктуры основного и резервного (при наличии) центра обработки данных, информационно-телекоммуникационной сети". 

  В документе очень много внимания уделено ЦОДам, это правильно. Только у нас документ по организации, а вот организации собственно проверки  ЦОД ничего не указано. Должен ли владелец ЦОД согласовать ПиМ аттестации при таких условиях? Я считаю, что это будет правильно.

   12. Пункт № 24. Яркий пример того, как не надо писать документы по организации работ. Много текста, но никакого смысла. Кто направляет, в какие сроки? Надо ли уведомлять владельца ЦОД? Полная мешанина и непонятно кто и что делает.

   13. Пунктом № 25 ФСТЭК вмешивается в гражданско-правовые отношения двух хозяйствующих субъектов. Аттестация ОИ проводится по договору. Теперь будем писать пункты в договор, что в случае спорных моментов при приемке работ - обращаемся в ФСТЭК. И решение ФСТЭК будет влиять на взыскивание денег с исполнителя. Мне нравится этот пункт, ФСТЭК готов взять на себя ответственность за результаты работы лицензиата. Похвальная инициатива.

   14. В пункте №29 в очередной раз пишут про передачу документов от заказчика исполнителю. Непонятная избыточность.

   15. Пункт №32. "В случае выявления по результатам проведенной оценки несоответствий представленных материалов требованиям настоящего Порядка, а также требованиям по защите информации, ФСТЭК России (территориальный орган ФСТЭК России) оформляет заключение, содержащее описание выявленных несоответствий и рекомендации по их устранению, и направляет его владельцу объекта информатизации и органу по аттестации. ". Направил и что дальше? Кто и в какие сроки должен это выполнять? Это обязанность или рекомендации?

   16. Пункт № 37. Будет интересно посмотреть как это ФСТЭК в жизнь воплотит "В случае приостановления действия аттестата соответствия владелец объекта информатизации прекращает эксплуатацию объекта информатизации". А вопрос в другом. Какое отношение этот пункт имеет к Порядку аттестации? Есть ПП676, в котором уже это запрещено  и т.д.

       ФСТЭК получила полномочия запрещать эксплуатацию ГИС?

   17. Пункт № 39. Вывели мы значит ГИС из эксплуатации, регион страдает. А ФСТЭК прописывает себе сроки и никуда не спешит - "в течение 5 рабочих дней со дня принятия решения направляет заказным почтовым отправлением с уведомлением". Не государственный подход заложен. 

        О возобновлении действия аттестата соответствия надо более оперативно сообщать, ГИС простаивает все это время.

      18. Приложение № 1. Почему техпаспорт только на ИС/АС, а как же АСУТП, а ИТКС/АСУ?

       19. Приложение № 3. Форма аттестации приведена только под ГИС. Нет ни упоминания категории значимости, ни соответствия требованиям безопасности ЗОКИИ. Только класс защищенности и требования по защите информации.

       20. Я не увидел упоминания по проверке выполнения приказов ФСБ. Если не брать СКЗИ, то все равно остается реагирование на компьютерные инциденты в ЗОКИИ. Приказ 239 прямо отсылает к нормативке ФСБ.

        P.S. Сложилось впечатление, что аттестация ЗОКИИ будет проводится только для ГИС  и только на соответствие 17 приказу.


* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.

** Все новости блога на публичном Telegram-канале  t.me/ruporsecurite

*** YouTube - канал блога

**** Яндекс.Дзен https://zen.yandex.ru/id/5c7b7864fa818600ae3856a1

***** Публичный ТамТам-канал https://tt.me/blog_ruporsecurite

10 комментариев:

  1. а почему Вас не смущает, что в тексте проекта упоминается один - орган по аттестации. это как бы стандартизированный термин и это не совсем лицензиат по ТЗКИ (ГОСТ Р 58189-2018 Защита информации. Требования к органам по аттестации объектов информатизации)

    ОтветитьУдалить
    Ответы
    1. перечисленное в заметке охватывает не все нюансы проекта.

      Удалить
  2. Интересно, что про ИСПДн ни слова, ни пол-слова. Как будто их и нет.

    Что до ЗОКИИ, то там аттестация добровольная (как и для ИСПДн, кстати), поэтому и на стали детализировать. Вряд ли ее будут проводить, учитывая, что аттестаторы сами толком не знают, как аттестовать АСУ/ИТКС.

    ОтветитьУдалить
  3. добрый день, а имеет ли право лицензиат выдать сертификат с отсроченным началом действия. Например проводим работы по аттестации в мае, а аттестат будет передан владельцу ОИ со сроком действия от какого-нибудь июля?

    ОтветитьУдалить
    Ответы
    1. * не сертификат, а аттестат

      Удалить
    2. добрый день. А в чем смысл такого действия? провели аттестационные испытания, оформили заключение что все в норме, выдаете аттестат заказчику и пишите, что он действовать начнет только через месяц?

      Удалить
    3. ну да, действие не совсем логичное, заключение от одной даты, а аттестат начинает свое действие только через месяц. Такой порядок же не запрещен положением по аттестации?

      Удалить
    4. скажем так, там порядок просто не регламентирован в этой части.

      Удалить