вторник, 4 мая 2021 г.

Организация аттестационных испытаний ФСТЭК. Попытка № 2

 


 ФСТЭК опубликовала ответы на поступившие замечания к первой версии Порядка организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации, не составляющей государственную тайну. И выложила обновленную версию.

Первую верию проекта обсуждали здесь - https://valerykomarov.blogspot.com/2020/12/blog-post_24.html

  1. Планируемый срок вступления в силу Порядка по аттестации сдвинулся с 1 июня на 1 сентября 2021 года.

  2. Мы были очень активными на этапе общественного обсуждения. Поступило 141 замечание и предложение.

80 замечаний не учли или учли частично. 61 замечаний учтено.

 3. Отличный ответ от ФСТЭК про ИСПДн - "В соответствии с частью 4 статьи 19 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» ФСТЭК России устанавливает состав и содержание состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных. Установление требований к аттестации информационных систем персональных данных не относится к компетенции ФСТЭК России".

Но в проекте Порядка появился новый термин "в том числе государственных, муниципальных информационных систем персональных данных". Скрестили ГИС и ИСПДн в одно название. Просто ИСПДн добавили в текст. Вообще, п.3 в обновленной версии выглядит избыточно усложненным.

 4. Интересно, что п.6 позволяет проводить самостоятельную аттестацию ГИС только органам власти-собственникам этих ГИС. И опять не учитывается сложившаяся структура информатизации в органах власти. Такой формулировкой исключаются органы власти - операторы этих ГИС, которые собственно и обеспечивают централизованную защиту большинства ГИС. У органа власти - собственника нет структурного подразделения ИБ, а у органа власти - оператора есть, но нет полномочий. И роль подведомственных организаций аналогично не учтена.

  5. Да и с п.8 непонятно как быть для органов власти. Каким образом обеспечить для работников структурного подразделения органа власти "должна быть обеспечена их независимость от владельца объекта информатизации с целью исключения возможности влияния владельца аттестуемого объекта информатизации на результаты аттестационных испытаний, проведенных экспертами органа по аттестации. Назначение экспертов органа по аттестации из числа работников, участвующих в разработке и (или) внедрении системы защиты информации объекта информатизации, не допускается.""  Никаких исключений для органов власти пункт не содержит.

  6. Аттестат бессрочный, но добавили пункт с контролем ФСТЭК - "32. Оформляемые по результатам периодического контроля уровня защищенности информации в аттестованном объекте информатизации протоколы контроля защищенности информации не реже одного раза в два года представляются владельцем объекта информатизации в ФСТЭК России (территориальный орган ФСТЭК России). и далее "34. Действие аттестата соответствия приостанавливается ФСТЭК России (территориальным органом ФСТЭК России) в случае:

в) непредставления протоколов контроля уровня защищенности информации в аттестованном объекте информатизации в соответствии с пунктом 32 настоящего Порядка;"

  7. Добавили отчетности для лицензиатов ТЗКИ -"Орган по аттестации ежегодно не позднее 1 февраля года, следующего за отчетным, представляет в управление ФСТЭК России по федеральному округу, на территории которого расположен орган по аттестации, сведения об аттестованных им объектах информатизации, содержащие наименование объекта информатизации, адрес места его размещения, наименование владельца объекта информатизации, реквизиты выданного аттестата соответствия.". Это в дополнение к требованию направлять в течении 5 рабочих дней - "27. Орган по аттестации в течение 5 рабочих дней после завершения аттестации объекта информатизации представляет в ФСТЭК России (территориальный орган ФСТЭК России) в электронном виде копии следующих документов:

а) аттестата соответствия объекта информатизации;

б) технического паспорта на объект информатизации;

в) акта классификации системы (сети), акта категорирования значимого объекта;

г) программы и методик аттестационных испытаний объекта информатизации;

д) заключения и протоколов.".

 8. Исчезли требования к аттестации ЦОД, на которых развернуты объекты информатизации.

Но в ответах на замечания по теме ЦОД дали - "Пункт 16 проекта Порядка дополнен фразой следующего содержания: «Для информационной (автоматизированной) системы, функционирующей на базе информационно-телекоммуникационной инфраструктуры центра обработки данных, программа и методики аттестационных испытаний информационной (автоматизированной) системы согласовываются органом по аттестации с владельцем центра обработки данных.» ,а в другом замечание по ЦОД дали ответ - "Из проекта Порядка исключены требования к проведению испытания распределенной информационной (автоматизированной) системы, имеющей клиент-серверную архитектуру, в том числе функционирующей на базе информационно-телекоммуникационной инфраструктуры центра обработки данных.".

 Вот и думай что произошло. Полностью отказались от упоминания ЦОД или выложили на регулейшн совсем другой вариант проекта документа. 

 9. Некоторые ответы ФСТЭК оставили в недоумении. На замечание об оценки знаний специалистов по защите информации при аттестации последовал ответ - "Требования к работникам органов государственной власти установлены Минтрудом России в соответствии с законодательством Российской Федерации о государственной службе.".  А причем здесь госслужащие? (вопрос № 56)

Речь про это требование - "17д) проверку наличия у владельца объекта информатизации назначенных работников, ответственных за обеспечение защиты информации в ходе эксплуатации объекта информатизации, в том числе за управление (администрирование) системой защиты информации (администраторов безопасности, системных администраторов), управление конфигурацией объекта информатизации, реагирование на инциденты, информирование и обучение персонала, контроль за обеспечением уровня защищенности информации, достаточности установленных для них обязанностей в соответствии с требованиями по защите информации;"

И таких ответов " не в тему" многовато по документу.

 P.S.  Часто возникает вопрос о подтверждении права собственности на примененные средства защиты информации. Вот ответ ФСТЭК  - "Требованиями по защите информации, установленными ФСТЭК России, дополнительных требований к наличию у владельца объекта информации средств защиты информации в собственности или на любом ином законном основании не предъявляется."

  С учетом того, что этап общественного обсуждения закончился и наше мнение более ФСТЭК не интересует, обсуждать конкретные недостатки документа не вижу смысла. 


* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.

** Все новости блога на публичном Telegram-канале  t.me/ruporsecurite

*** YouTube - канал блога

**** Яндекс.Дзен https://zen.yandex.ru/id/5c7b7864fa818600ae3856a1

***** Публичный ТамТам-канал https://tt.me/blog_ruporsecurite

1 комментарий:

  1. Чего вы переживаете, в аттестации всегда так было. Требования нормативных документов отдельно, реальная практика отдельно. Иногда они пересекались, когда было удобно, в других случаях выбирался оптимальный вариант, который устраивал всех. Ничего не поменяется.

    ОтветитьУдалить