среда, 17 марта 2021 г.

СКЗИ в ГИС. Проект приказа ФСБ. Итог обсуждения.

 


Завершился этап общественных обсуждений проекта Приказа ФСБ "Об утверждении Требований о защите информации, содержащейся в государственных информационных системах, с использованием средств криптографической защиты информации". Проект разбирал  - https://valerykomarov.blogspot.com/2020/11/blog-post_26.htm

Позиция ФСБ озвучена емко и кратко - "ФСБ России и ФСТЭК России в пределах своих полномочий предъявлены самостоятельные требования о защите информации, содержащейся в государственных информационных системах. В этой связи полагаем, что наличие схожих положений в указанных документах допускается для целей регулирования соответствующих правоотношений.". 

Учтенных замечаний нет.

Проект Требований согласован со ФСТЭК России. Предложений и замечаний от ФСТЭК России в ходе согласования не поступило.

Сводка предложений по итогам общественного обсуждения проекта приказа ФСБ России «Об утверждении Требований о защите информации, содержащейся в государственных информационных системах, с использованием средств криптографической защиты информации»

Наименования проекта: Об утверждении Требований о защите информации, содержащейся в государственных информационных системах, с использованием средств криптографической защиты информации

ID проекта: 01/02/11-20/00110754

Даты проведения общественного обсуждения: с 23 ноября 2020 года по 7 декабря 2020 года.

Предложение Участника обсуждения

Позиция разработчика

1.      По пункту 4 проекта Требований о защите информации, содержащейся в государственных информационных системах, с использованием средств криптографической защиты информации, утверждаемых приказом ФСБ России – требование по защите информации, содержащейся в ГИС, при передаче по каналам связи, выходящим за пределы контролируемой зоны, независимо от характера такой информации и актуальных угроз безопасности, является избыточным по отношению к совместному приказу
ФСБ России и ФСТЭК России от 31.08.2010 
№ 489 «Об утверждении Требований о защите информации, содержащейся в информационных системах общего пользования» (согласно п.1 приказа, ИСОП - это вид ГИСов). Дополнительно, в соответствии с требованиями, установленными Федеральным законом
от 09.02.2009 № 8-ФЗ и принятыми в соответствии с ним иными нормативными правовыми актами, положения об официальных сайтах и порталах открытых данных Правительства РФ, федеральных ОИГВ, ОИГВ субъектов РФ содержат требования «Для просмотра сайта не должна предусматриваться установка на компьютере пользователей специально созданных с этой целью технологических и программных средств».

2.      По пункту 11 проекта Требований - понятие сегмента ГИС исключает варианты балансировки нагрузки между равнозначными серверами с синхронизированными базами данных или конфигурации с основным и резервным сервером (master-slave). Предлагается использовать понятие «составная часть ГИС, реализующая полную технологию обработки информации».

3.      По пункту 14 проекта Требований - критерии оценки масштаба ГИС (федеральный, региональный, объектовый) отличны от критериев, установленных приказом ФСТЭК России от 11.02.2013 № 17 - могут возникнуть случаи, когда для одной ГИС в зависимости от методики будут определены разные классы. В таком случае могут возникнуть несоответствия при разработке модели угроз и создании системы защиты информации ГИС в целом.

1.      Не учтено.

В соответствии с частью 2.3 статьи 13 Федерального закона от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (далее – Федеральный закон), государственные органы, органы местного самоуправления, государственные и муниципальные унитарные предприятия, государственные и муниципальные учреждения при осуществлении взаимодействия в электронной форме, в том числе с гражданами (физическими лицами) и организациями, обязаны обеспечивать возможность осуществления такого взаимодействия в соответствии с правилами и принципами, установленными национальными стандартами Российской Федерации в области криптографической защиты информации, утвержденными в соответствии с Федеральным законом от 29 июня 2015 года № 162-ФЗ
«О стандартизации в Российской Федерации».

Установление требования по защите информации, содержащейся в ГИС, при ее передаче по каналам связи, выходящим за пределы контролируемой зоны связанно с необходимостью реализации указанного положения Федерального закона и не является избыточным.

Кроме того, проектом Требований не предусмотрена установка на компьютере пользователей, специально созданных с этой целью технологических и программных средств, для просмотра официальных сайтов государственных органов или органов местного самоуправления.

2.      Не учтено.

Предлагаемый термин «составная часть ГИС, реализующая полную технологию обработки информации» законодательно не определен.

3.      Не учтено.

Проект Требований не противоречит приказу ФСТЭК России от 11 февраля 2013 г. № 17
«Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах».

В связи с этим полагаем, что риск возникновения несоответствий при разработке модели угроз и создании системы защиты информации ГИС отсутствует.

1.      По пункту 11 проекта Требований. В действующем приказе ФСТЭК России от 11 февраля 2013 г. № 17 уже используется другое определение сегмента ГИС. Предлагается использовать иной термин для обозначение составной части ГИС, предназначенной для решения задач ГИС в пределах определенной территории или объекта (объектов).

Предлагаемая редакция пункта 11 проекта Требований: «Класс СКЗИ, подлежащих использованию для защиты информации, содержащейся в ГИС, определяется для каждой составной части ГИС, предназначенной для решения задач ГИС в пределах определенной территории или объекта (объектов) (далее – сектор ГИС).».

2.      По пункту 14 проекта Требований. В действующем приказе № 17 ФСТЭК России уже используется другое определение масштаба ГИС. Предлагается использовать единую терминологию при классификации ГИС, в том числе и для определения класса СКЗИ. Предлагаемая редакция пункта 14 проекта требований:

«Информационная система имеет федеральный масштаб, если она функционирует на территории Российской Федерации (в пределах федерального округа) и имеет сегменты в субъектах Российской Федерации, муниципальных образованиях и (или) организациях.

Информационная система имеет региональный масштаб, если она функционирует на территории субъекта Российской Федерации и имеет сегменты в одном или нескольких муниципальных образованиях и (или) подведомственных и иных организациях.

Информационная система имеет объектовый масштаб, если она функционирует на объектах одного федерального органа государственной власти, органа государственной власти субъекта Российской Федерации, муниципального образования и (или) организации и не имеет сегментов в территориальных органах, представительствах, филиалах, подведомственных и иных организациях.».

3.      Пункты 12 – 14 проекта Требований исключить. Дублируются приказом №17 ФСТЭК России.

4.      По пункту 16 проекта Требований. Уточнение текста для однозначного понимания. Предлагаемая редакция:

«16.        Класс СКЗИ, подлежащих использованию для защиты информации при взаимодействии между ГИС и (или) с сегментами других ГИС определяется по более высокому классу СКЗИ, используемому для защиты информации во взаимодействующих ГИС и (или) сегментах ГИС.».

5.                        По пункту 17 проекта Требований. Уточнение текста для однозначного понимания. Предлагаемая редакция:

«17. Класс СКЗИ, подлежащих использованию для защиты информации при взаимодействии между собой сегментов одной ГИС, определяется не ниже наименьшего класса СКЗИ, используемого для защиты информации в таких сегментах ГИС.».

6.                        Привести соответствие классов СКЗИ к таблице классификации ГИС по 17 приказу ФСТЭК.

1,2 Не учтены.

В соответствии с частью 5 статьи 16 Федерального закона от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации» ФСБ России и
ФСТЭК России устанавливают требования о защите информации, содержащейся в государственных информационных системах, каждая в пределах своих полномочий.

ФСБ России и ФСТЭК России в пределах своих полномочий предъявлены самостоятельные требования о защите информации, содержащейся в государственных информационных системах.

Проект Требований о защите информации, содержащейся в государственных информационных системах, с использованием средств криптографической защиты информации, утверждаемых приказом ФСБ России (далее – проект Требований), разрабатывался с учетом положений приказа ФСТЭК России от 11 февраля 2013 г. № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» (далее – приказ ФСТЭК России № 17).

Проект Требований согласован со
ФСТЭК России. Предложений и замечаний
от ФСТЭК России в ходе согласования не поступило.

Учитывая изложенное, и разные предметы правового регулирования, полагаем возможным вводить в проекте Требований отличные от приказа ФСТЭК России № 17 определения.

      3.  Не учтено

В соответствии с частью 5 статьи 16 Федерального закона от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации» ФСБ России и
ФСТЭК России устанавливают требования о защите информации, содержащейся в государственных информационных системах, каждая в пределах своих полномочий.

ФСБ России и ФСТЭК России в пределах своих полномочий предъявлены самостоятельные требования о защите информации, содержащейся в государственных информационных системах.

В этой связи полагаем, что наличие схожих положений в указанных документах допускается для целей регулирования соответствующих правоотношений.

4.      Не учтено.

Полагаем, что пункт 16 проекта Требований однозначен для понимания и его корректировка не требуется.

5.      Не учтено.

Полагаем, что пункт 17 проекта Требований однозначен для понимания и его корректировка не требуется.

6.      Не учтено.

В соответствии с частью 5 статьи 16 Федерального закона от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации» ФСБ России и
ФСТЭК России устанавливают требования о защите информации, содержащейся в государственных информационных системах, каждая в пределах своих полномочий.

ФСБ России и ФСТЭК России в пределах своих полномочий предъявлены самостоятельные требования о защите информации, содержащейся в государственных информационных системах.

Проект Требований, разрабатывался с учетом положений приказа ФСТЭК России № 17.

Проект Требований согласован со ФСТЭК России. Предложений и замечаний от ФСТЭК России в ходе согласования не поступило.

Учитывая изложенное, и разные предметы правового регулирования, полагаем возможным вводить в проекте Требований отличные от приказа ФСТЭК России № 17 положения.

Основываясь на опыте проектирования систем защиты для более десятка государственных информационных систем и с учетом нацеленности множества существующих и планируемых государственных систем на взаимодействие с гражданами считаю принятие приказа преждевременным. Проект приказа лишает какой-либо возможности взаимодействия государственных информационных систем с гражданами без сертифицированных средств защиты. Действующие требования к криптографии распространяются только на передачу персональных данных, что позволяет операторам государственных информационных систем исключить персональные данные из состава данных, которые передаются за пределы контролируемой зоны, тем самым избавив граждан от использования недружественных для рядового пользователя из-за сложно выполнимых требований к обеспечению безопасности среды функционирования сертифицированных криптографических средств. Кроме того, сертифицированные средства защиты не являются бесплатными, при этом доступ к большинству государственных информационных систем в соответствии с документами о их создании должен быть безвозмездным.

На текущий момент не существует ни одного приемлемого решения для применения сертифицированной криптографии в канале связи, что подтверждает отсутствие такой криптографии для ЕСИА, ЕПГУ, ЕИС и других ключевых государственных информационных систем, имеющих взаимодействие с гражданами, несмотря на то, что отсутствие сертифицированных средств криптографической защиты для ЕСИА и ЕПГУ вовсе является нарушением ввиду наличия персональных данных в канале связи с пользователем.

Принятие приказа до появления, бесплатного сертифицированного и не требующего от пользователя сложной установки решения для защиты каналов связи - преждевременно.

Безальтернативность требования сертифицированной криптографии повлечет за собой множество проблем, в частности, к расширению уже существующей практики принуждения пользователя признать его персональные данные общедоступными и (или) не требующими никакой защиты (общедоступность еще не исключает требований к обеспечению целостности), только в данном случае признавать не подлежащим какой-либо защите придется всё электронное взаимодействие с государством, несмотря на ничтожность подобных заявлений, принуждающих граждан к отказу от их прав.

Указанное в пояснительной записке к проекту приказа: "Принятие приказа не потребует дополнительных расходов из федерального бюджета и не повлечет финансовых обязательств государства" - не соответствует действительности, поскольку проектом приказа прямо предусматривается усиление требований к защите каналов связи в том числе уже существующих государственных информационных систем, значимая часть которых находится в ведении государственных органов (даже не подведомственных организаций!), и, как следствие, замена компонентов систем защиты, отвечающих за криптографическую защиту, на сертифицированные окажется дополнительной статьей бюджетных расходов государства.

Резюмируя:

- реализация приказа небесплатна ни для государства в целом, ни для отдельных граждан;

- реализация приказа значительно усложнит цифровизацию государственных услуг;

- возможны злоупотребления со стороны операторов государственных информационных систем в части принуждения граждан отказываться от защиты данных, передаваемых в канале связи между пользователем и системой.

Не учтено.

В соответствии с абзацем 2 пункта 3 постановления Правительства Российской Федерации от 6 июля 2015 г. № 676
«О требованиях к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации» техническое задание на создание системы и (или) модель угроз безопасности информации согласуются с
ФСБ России в пределах ее полномочий в части, касающейся выполнения установленных требований о защите информации.

В настоящее время во всех государственных информационных системах, на которые согласованы модели угроз безопасности информации, используются сертифицированные СКЗИ.

Кроме того, электронное взаимодействие между государственными органами, органами местного самоуправления, государственными и муниципальными унитарными предприятиями, государственными и муниципальными учреждениями и гражданами (физическими лицами), организациями посредством ГИС осуществляется с учетом части 2.3 статьи 13 Федерального закона от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации».

Таким образом, выводы о том, что проект Требований о защите информации, содержащейся в государственных информационных системах, с использованием средств криптографической защиты информации, утверждаемых приказом ФСБ России, содержит положения, реализация которых будет небесплатна как для государства, так и для граждан, и значительно усложнит цифровизацию государственных услуг, а также повлечет собой злоупотребления со стороны операторов государственных информационных систем в части принуждения граждан отказываться от защиты данных, передаваемых в канале связи между пользователем и системой, 
считаем необоснованными. 

 

 

 

 

 

 

 

 

 

1.                      Правовая коллизия. Постановлением Правительства РФ от 01.11.2012 года № 1119 установлен порядок определения уровня защищенности персональных данных (далее - ПДн), в том числе в государственных информационных системах (далее – ГИС). Приказ ФСБ России от 10.07.2014 года № 378 установил требования к классам СКЗИ для каждого из уровней защищенности ПДн. Положения проекта Требований в части применения классов СКЗИ в ГИС не соответствуют требованиям приказа ФСБ России от 10.07.2014 года № 378.  При этом в действующих НПА уже установлены уровни значимости информации для ПДн. В случае обработки персональных данных в ГИС возникнет правовая коллизия из-за необходимости применения разных методик и установления разных требований к классам СКЗИ для одного объекта защиты. Применение разных НПА при определении класса СКЗИ для одной ГИС создаст необоснованный расход ресурсов для государственных и муниципальных органов власти всех уровней, эксплуатирующих государственные или муниципальные информационные системы.

Предложение. Целесообразно для ГИС определять классы СКЗИ с учетом уровней защищённости ПДн, определяемых в соответствии с требованиями постановления Правительства РФ № 1119, и унифицировать методику определения класса СКЗИ.

2.                      Возможен рост расходов для бюджетов всех уровней. Из-за различий в действующих и предлагаемых требованиях к классам СКЗИ для ГИС возможен рост расходов бюджетов всех уровней необходимых для замены эксплуатируемых СКЗИ на СКЗИ с более высокими классами защиты или для перезаключения договоров на услуги аренды защищенной информационной инфраструктуры под размещение ГИС. При этом в пояснительной записке к проекту Требований указано, что принятие приказа не потребует дополнительных расходов из федерального бюджета и не повлечет финансовых обязательств государства.

Предложение. Обосновать расходы на реализацию Требований или привести положения Требований в соответствие с действующими НПА, устанавливающими классы СКЗИ в ГИС.

3.                      Возможно отрицательное влияние на эффективность НП «Цифровая экономика РФ». Установление требования о применении в ГИС только сертифицированных СКЗИ может снизить эффективность НП «Цифровая экономика РФ» из-за возможных ограничений на создание единой «цифровой среды» для граждан, бизнеса и государства с участием ГИС на массовом рынке, на котором используются, в том числе, несертифицированные СКЗИ, например, на оконечных устройствах граждан РФ получающих государственные услуги в электронном виде. При этом порядок защиты информации при взаимодействия ГИС с иными информационными системами в проекте Требований не указан.

Предложение. Явно указать, что положения Требований не распространяются на взаимодействие ГИС с иными информационными системами и субъектами.

4.                      Правовая коллизия нормативных правовых актов. Приказом ФСТЭК России от 11.02.2013 года № 17 предусмотрена мера защиты информации от несанкционированного доступа в каналах связи не криптографическими методами (ЗИС.3). Проект Требований противоречит действующему НПА, обязывая использовать СКЗИ во всех случаях передачи информации по каналам связи, проходящим за границей контролируемой зоны. Имеется правовая коллизия в применении разных требований к одному объекту правового регулирования.

Предложение. Изложить пункт 4 Требований в следующей редакции:

«4. Информация, содержащаяся в ГИС, подлежит защите с использованием СКЗИ в случаях:

когда законодательными и иными нормативными правовыми актами Российской Федерации предусмотрена обязанность по защите информации, содержащейся в ГИС, с использованием СКЗИ;

когда в ГИС осуществляется передача информации по каналам связи, хранение данных на носителях информации, предназначенных для записи, хранения и воспроизведения информации, обрабатываемой с использованием средств вычислительной техники, несанкционированный доступ к которым со стороны третьих лиц не может быть исключен с помощью некриптографических методов и способов.».

1.      Не учтено.

Пунктом 22 Требований о защите информации, содержащейся в государственных информационных системах (далее – ГИС), с использованием средств криптографической защиты информации (далее – СКЗИ), утверждаемых приказом ФСБ России (далее – проект Требований)  предусмотрено, что если иными нормативными правовыми актами, устанавливающими требования о защите информации с использованием СКЗИ, предусмотрена необходимость использовать для защиты информации СКЗИ более высокого класса, чем класс СКЗИ, определенный в соответствии с настоящими Требованиями, то класс СКЗИ, подлежащих использованию в ГИС (сегменте ГИС), определяется в соответствии с такими нормативными правовыми актами.

В этой связи, затрагиваемые автором предложения вопросы урегулированы
в представленном проекте Требований.

2.      Не учтено.

Пунктом 22 проекта Требований предусмотрено, что если иными нормативными правовыми актами, устанавливающими требования о защите информации с использованием СКЗИ, предусмотрена необходимость использовать для защиты информации СКЗИ более высокого класса, чем класс СКЗИ, определенный в соответствии с настоящими Требованиями, то класс СКЗИ, подлежащих использованию в ГИС (сегменте ГИС), определяется в соответствии с такими нормативными правовыми актами.

Таки образом, наличие вышеуказанной нормы в проекте Требований исключает их противоречие с действующими нормативными правовыми актами, устанавливающими классы СКЗИ в ГИС.

3.      Проект Требований устанавливает требования к обеспечению защиты информации,      не содержащей сведения, составляющие государственную тайну, при ее обработке в ГИС        с использованием СКЗИ.

Таким образом, предмет правового регулирования проекта Требований не распространяется на иные информационные системы и их субъектов.

Вместе с тем в соответствии с абзацем вторым пункта 2 проекта Требований по решению обладателя информации, заказчика информационной системы или ее оператора правила, установленные проектом Требований, могут применяться для защиты информации в ГИС в случаях, не указанных в пункте 4 настоящих Требований, а также для защиты информации, содержащейся в иных информационных системах.

4.      Не учтено.

В соответствии с частью 5 статьи 16 Федерального закона от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации» ФСБ России и
ФСТЭК России устанавливают требования о защите информации, содержащейся в государственных информационных системах, каждая в пределах своих полномочий.

ФСБ России и ФСТЭК России в пределах своих полномочий предъявлены самостоятельные требования о защите информации, содержащейся в государственных информационных системах.

Проект Требований, разрабатывался с учетом положений приказа ФСТЭК России № 17.

Проект Требований согласован со ФСТЭК России. Предложений и замечаний от ФСТЭК России в ходе согласования не поступило.

Таким образом, считаем, что правовая коллизия отсутствует.


 * Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.

** Все новости блога на публичном Telegram-канале  t.me/ruporsecurite

*** YouTube - канал блога

**** Яндекс.Дзен https://zen.yandex.ru/id/5c7b7864fa818600ae3856a1

***** Публичный ТамТам-канал https://tt.me/blog_ruporsecurite

1 комментарий:

  1. В принципе, когда можно писать так «Полагаем, что пункт ... проекта Требований однозначен для понимания и его корректировка не требуется.», то зачем они там вообще распинались?

    ОтветитьУдалить