Страницы

О дыре в 17 приказе ФСТЭК


Регуляторы регулировали, регулировали, да не вырегулировали....

С того момента, как в сети появилась информация о том, что ФСТЭК разрабатывает новый документ на замену СТР-К, я не переставал надеяться, что мы, наконец-таки, получим руководящий документ, который станет фундаментом для всей деятельности по защите конфиденциальной информации. Я надеялся, что новый документ заменит РД 20 летней давности и уберет из лексикона ИБэшника такие термины, как наводка, программный останов, специсследования и т.д.
Но этого не произошло. Вместо широкопрофильного руководящего документа мы получили узкоспециализированный приказ, перекрывающий только малую часть информационных систем даже в государственных структурах.

Что такое ГИС?
Реестр федеральных ГИС ведется Минсвязью и доступен всем желающим. На сегодняшний момент в нём 320 информационных систем, что, в целом, не густо. Кроме того многие из указанных в реестре систем не подпадают под 17 приказ, т.к. не содержат информации ограниченного доступа.
Каждый субъект РФ так же разрабатывает собственный перечень ГИС (МИС), и тут ситуация еще интересней.
В этом реестре множество бухгалтерских и кадровых ГИС

Если указанные системы все-таки считать ГИС - то нужно ли защищать другие подобные информационные системы, отсутствующие в реестре (а таких большинство), по новому приказу? Или стоит ожидать, что в ближайшее время подобные системы будут срочно исключены из реестра чтобы не подпасть под более жёсткий 17 приказ?

Нужно так же помнить, что к ГИС приравнены так же и муниципальные информационные системы (МИС). В соответствие с 149-фз, муниципальными информационными системами являются информационные системы, созданные на основании решения органа местного самоуправления. Очень часто даже если такое решение принималось, то это не было оформлено документально, а значит считать такие системы муниципальными ИС не обязательно.

Поэтому точно сказать подпадает или нет информационная система под 17 приказ можно только в отношении ГИС, указанных в реестре Минсвязи. В остальных случаях следует руководствоваться 21 приказом, либо СТР-К и требованиями по защите информации из РД "Классификация АС..." 1992 года!

К  тому же если вы защищаете служебную тайну, либо аттестация необходима вам чтобы получить лицензию ФСТЭК или ФСБ, вам по-прежнему необходим аттестат по классу защищенности АС 1Г :(

К сожалению новый документ ФСТЭК не принес порядок в общую структуру документов по защите информации, а лишь добавил очередную "альтернативную" ветку ЗИ, чем еще больше раздул "бумажную безопасность" (студенты по ИБ должны учить требования по защите информации, разработанные до их рождения!).

В финальной версии 17 приказа так же был сокращён перечень организационно-распорядительной документации по сравнению с проектом приказа. Т.к. я считал его полезным (и вообще просил ФСТЭК прикладывать к своим приказам шаблоны документов), то приведу его здесь:

17.2. Разрабатываемые организационно-распорядительные документы по защите информации должны определять:
  • правила и процедуры идентификации и аутентификации субъектов доступа и объектов доступа, в том числе предусматривающие управление учетными записями пользователей, установление полномочий пользователей, правила генерации, смены и восстановления паролей пользователей;
  • правила и процедуры управления доступом субъектов доступа к объектам доступа, в том числе устанавливающие перечень лиц, имеющих доступ к объектам доступа информационной системы, и их права (привилегии) доступа к этим объектам;
  • правила и процедуры защиты машинных носителей информации, в том числе устанавливающие порядок вывода информации на внешние носители информации, учета, хранения и использования съемных машинных носителей информации, процедуры архивирования информации, порядок стирания (уничтожения) данных и остаточной информации с машинных носителей информации и (или) уничтожения машинных носителей информации;
  • правила и процедуры регистрации событий безопасности, в том числе предусматривающие порядок контроля за действиями пользователей (администраторов) в информационной системе;
  • правила и процедуры обеспечения целостности информационной системы и информации, в том числе предусматривающие контроль целостности системы защиты информации информационной системы, порядок периодического анализа уязвимостей информационной системы и принятия первоочередных мер по устранению вновь выявленных уязвимостей, восстановления работоспособности и настроек системы защиты информации информационной системы в случае нарушения функционирования информационной системы;
  • правила и процедуры защиты технических средств, в том числе определяющие перечень лиц, имеющих доступ в помещения, в которых расположены технические средства, и порядок их доступа в помещения и к техническим средствам;
  • правила и процедуры защиты информационной системы, ее средств и систем связи и передачи данных, в том числе определяющие порядок использования периферийных устройств, которые могут активироваться удаленно, технологий мобильного кода, технологий передачи речи и видеоинформации, порядок защиты внутренних и внешних беспроводных соединений, порядок использования и защиты мобильных устройств;
  • правила и процедуры управления конфигурацией, в том числе определяющие порядок обновления программного обеспечения, управления параметрами настройки средств защиты информации, составом и конфигурацией технических средств обработки информации и программного обеспечения, контроля за несанкционированными подключениями технических средств обработки информации и установкой программного обеспечения;
  • правила и процедуры анализа угроз безопасности информации и принятия дополнительных мер защиты информации от вновь возникших угроз безопасности информации, выявления и устранения недостатков в системе защиты информации информационной системы, внесения изменений в документацию на систему защиты информации информационной системы;
  • правила и процедуры выявления реагирования на инциденты, связанные с защитой информации;
  • правила и процедуры обслуживания системы защиты информации информационной системы;
  • порядок обучения и информирования пользователей о правилах эксплуатации системы защиты информации информационной системы и средств защиты информации, а также информирования об угрозах безопасности информации.



15 комментариев:

  1. Если относится к СТР-К как к рекомендациям, то жить станет легче.

    На счет подхода ГИС или МИС:
    как я его понимаю задумка была следующая
    - есть приказ о создании ИС и записи в реестре -> есть бюджет на создание ИС -> есть бюджет на подсистему ИБ !!!
    - нет приказа на создание ИС, нет записи в реестре ->
    нет бюджета на создание ИС -> нет бюджета на ПИБ
    - потрачены деньги на ИТ и при этом нет записей в реестре и приказа о создании ИС -> распил бюджет -> увольнение и колония

    ОтветитьУдалить
    Ответы
    1. А что делать со служебной тайной? уж об этом то они должны были подумать :)

      Удалить
  2. По служебной тайне готовится нормативка

    ОтветитьУдалить
  3. Ну не тот это реестр!
    Тот реестр, на который Вы ссылаетесь – это ВРЕМЕННЫЙ реестр ФЕДЕРАЛЬНЫХ ГИС созданный в соответствии с Постановлением Правительства РФ от 10.09.2009 N 723 "О порядке ввода в эксплуатацию отдельных государственных информационных систем" (вместе с "Положением о регистрации федеральных государственных информационных систем") ПОКА не будет созданы правила для «правильного» реестра.
    «Правильный» реестр определяется Постановлением Правительства РФ от 26.06.2012 N 644 "О федеральной государственной информационной системе учета информационных систем, создаваемых и приобретаемых за счет средств федерального бюджета и бюджетов государственных внебюджетных фондов" (вместе с "Положением о федеральной государственной информационной системе учета информационных систем, создаваемых и приобретаемых за счет средств федерального бюджета и бюджетов государственных внебюджетных фондов")
    Но до сих пор минсвязи НЕ ВЫПОЛНИЛО в 3-х месячный срок (с 26.06.2012) требования сформировать всякие порядки и еще пропустило ВСЕ остальные сроки, в том числе и срок СОЗДАНИЯ И ПУБЛИКАЦИИ «правильного» реестра, а также перенос сведений из реестра по 723 в реестр по 644.
    (Я заранее на всякий случай приношу извинения минсвязи )))) если я сейчас не прав, но таких документов поиском ни по российской газете, ни по правовым системам Гарант-Консультант я не нашел).
    К тому же не забывайте, что некоторые ГИСы (что в регионах, что федеральные) созданы на основании прямых указаний новых ФЗ (образование, ОМС, здравоохранение и др.) с четким определением операторов. Включай в реестр такие ИС - не включай - а это ГИС по ФЗ.
    Раньше было распоряжение или Президента или Председателя Правительства в котором определялись 10-15 базовых ГИС, сейчас оно отменено и НПА пришедшие ему на смену как раз и ведут к ПП 723 и ПП644 (месяц назад разбирался добуквенно и разобравшись все что нарыл выбросил, а повторять всю цепочку НПА не охота).
    Конечно, «правильный» реестр называется реально правильно: «…ИНФОРМАЦИОННЫХ СИСТЕМ, СОЗДАВАЕМЫХ И ПРИОБРЕТАЕМЫХ ЗА СЧЕТ СРЕДСТВ ФЕДЕРАЛЬНОГО БЮДЖЕТА И БЮДЖЕТОВ ГОСУДАРСТВЕННЫХ ВНЕБЮДЖЕТНЫХ ФОНДОВ», а не ГИС или МИС. Как в 17 приказе ФСТЭК. Главное, конечно, откуда денежки пошли на создание ИС, а был НПА о создании ИС или его «забыли» сделать – это вопрос десятый. Но получилось как получилось. Вроде как такое именование больше соответствует ФЗ149, а не ниже стоящему ПП644 (тут ФСТЭК правее по закону, а не по понятиям). В конце концов во многих регионах есть региональные ФЗ о реестре ГИС/МИС, например http://adm.rkursk.ru/index.php?id=378&mat_id=1004
    Как всегда, ВСЕ ЧТО ИЗЛОЖЕНО - ТОЛЬКО МОЕ ЛИЧНОЕ МНЕНИЕ!

    ОтветитьУдалить
  4. Кстати, насчет "... увольнение и колония".
    Формально ни на одну ИС НЕ МОГЛИ выделяться деньги без соответствующего "исходного" акта об ее создании. Все случаи такого создания "по-закону" должны приравниваться к "не целевому расходованию бюджетных средств", т.к. оснований на выделение денежек на закупку оборудования, ПО, услуг не существовало. Что это такое и насколько это страшно можно спросить в любом госмуниципоргане ))))

    ОтветитьУдалить
    Ответы
    1. И даже если основанием пытались сделать ФЗ, который предписывал создать "банк данных", то все равно такой ФЗ был основанием только для распоряжения на создание ИС, который в свою очередь являлся основанием на выделение денег, но никак не на прямую.

      Удалить
  5. Алексей, а Вы не знаете, будет СТР-К отменяться документом ФСТЭКа? Понятно что 17-м приказом, который НПА отменить неНПА, который СТР-К, было не возможно. Но вот останется ли СТР-К чтобы вносить разлад в мысли исполнитлей - это вопрос.

    ОтветитьУдалить
  6. И еще проблема ))) ЕСЛИ СТР-К все же отменят, то на что будет ссылаться формуляр КРИПТОПРО, если это СКЗИ будет применяться негосами? Но это уже слишком большая неопределенность, скорее вопрос риторический :)

    ОтветитьУдалить
  7. В 17 приказе есть такой пункт "6. По решению обладателя информации (заказчика) или оператора настоящие Требования могут применяться для защиты информации, содержащейся в негосударственных информационных системах.".

    Т.е. получается, что обладатель служебной информацией ограниченного доступа, не содержащей сведения, составляющие государственную тайну (ДСП), может решить аттестоваться по 17 приказу и смело забить на СТР-К.?

    ОтветитьУдалить
    Ответы
    1. Тоже интересует этот вопрос

      Удалить
  8. Доброго времени чуток, коллеги!
    Есть такой вопрос: может ли являться автономное некоммерческое общество оператором ГИС?

    ОтветитьУдалить
  9. выходит, защитив систему по 21 приказу, мы выполняем все требования СТР-К?

    ОтветитьУдалить
    Ответы
    1. Скажем так, защитив по 21 приказу, вам нет необходимости защищать по СТР-К.

      Удалить