СОИБ. Анализ. Государственные информационные системы и информационные системы критически важных объектов (UPD)

Аватар пользователя SergeyBorisov
Автор: Борисов Сергей,
(0)
()

13 июля ФСТЭК России опубликовал на своем сайте Проект федерального закона "О внесении изменений в Федеральный закон 149-ФЗ "Об информации, информационных технологиях и о защите информации"


Планируется придать 2 новых толчка обеспечению ИБ (в дополнение к активно развивающейся защите персональных данных и платежных систем):

·        Защита информации в государственных информационных системах (ГИС)

·        Защита информации в информационных системах критически важных объектов (ИСКВО)


1.           В направлении защиты ГИС добавляются следующие требования к необходимым мероприятиям:

·        анализ уязвимостей и угроз (типа аудита ИБ)

·        разработка и реализация системы защиты информации  (типа проектирования СЗИ)

·        оценка соответствия системы защиты информации  (типа аттестации)  

·        применение средств защиты информации прошедших процедуру оценку соответствия (типа сертификации)

·        назначение ответственных за ЗИ

·        разработка политики обеспечения ЗИ

·        анализ и реагирование на инциденты ИБ

·        резервирование

·        контроль выполнения требований

Требования должны выполняться на всех стадиях создания и эксплуатации систем. То есть владельцы уже действующих систем обязаны будут выполнять мероприятия.

Детализацию требований устанавливает ФСТЭК Р и ФСБ Р. (Частично требования для защиты информации в ГИС уже есть  - см. ниже., но можно ожидать дополнительных документов)

Защита информации в ГИС детализируется также следующими нормативными актами:


·        Указ Президента Российской Федерации от 17 марта 2008 года N 351 «О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена»


(подключение ГИС к сети интернет через шлюзы,  сертификация, оценка соответствия СрЗИ)


·        Постановление Правительства Российской Федерации от 18 мая 2009 г. N 424 "Об особенностях подключения федеральных государственных информационных систем к информационно-телекоммуникационным сетям”

(защита от НСД, от DDoS, обеспечение непрерывности, оценка соответствия СрЗИ)

·        Приказ Федеральной службы безопасности Российской Федерации, Федеральной службы по техническому и экспортному контролю от 31 августа 2010 г. N 416/489 "Об утверждении Требований о защите информации, содержащейся в информационных системах общего пользования"

·        Приказ ФСТЭК России от 6 декабря 2011 г. N 638  “Об утверждении Требования к системам обнаружения вторжений”

(ГИС – СОВ 4 класса защиты)

·        Приказ Минкомсвязи от 25 августа 2009 г. N 104 "Об утверждении Требований по обеспечению целостности, устойчивости функционирования и безопасности информационных систем общего пользования"

(Межсетевые экраны, ИБП, резервирование и т.п. по аналогии с двойственным приказом ФСБ/ФСТЭК 416/489)

·        Приказ Минкомсвязи "Об утверждении Требований к информационным системам электронного документооборота федеральных органов исполнительной власти, учитывающих, в том числе необходимость обработки посредством данных систем служебной информации ограниченного распространения"



Проблема 1. Непонятно, легитимны ли требования по ЗИ из 2-х приказов Минкомсвязи? Так как в 149-ФЗ утверждено, что требования к ЗИ в ГИС устанавливают ФСБ Р и ФСТЭК Р.

Часть требований по ЗИ в ГИС устанавливается так-же в постановлениях правительства РФ, касающихся данного типа ГИС. Например, система территориального планирования. В требованиях к которой напрямую говорится о сертификатах СрЗИ.



2.           В направлении защиты ИСКВО предъявляются только следующие требования:

·        защита от НСД

·        защита и резервирование технических средств

·        реагирование на инциденты

·        обеспечение непрерывности ИСКВО

Требования должны выполняться на всех стадиях создания и эксплуатации систем. То есть владельцы уже действующих систем обязаны будут выполнять мероприятия.
Порядок классификации устанавливает Правительство РФ.  (этот документ будем ждать)

Детализацию требований устанавливает ФСТЭК Р и ФСБ Р. (уже есть серия документов ФСТЭК от 18 мая 2007 года по КСИИ: базовая модель угроз, методика определения актуальных угроз и общие требования по обеспечению ИБ в КСИИ. Но они не опубликованы. Так что можно ожидать нового комплекта документов)



Проблема 2. В федеральном законе нет определения критически важного объекта. Да, определение есть в документе Совета безопасности, но какую он имеет силу. А определения информационной системы критически важного объекта нет ни в нем ни в 149-ФЗ. А вопрос важный. К каким из сотни информационных систем на объекте относятся данные требования?


Заметка по этой теме у Лукацкого
Оцените материал:
Total votes: 30
 
Комментарии в Facebook
 

Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.