На днях коллеги обратили внимание на новый приказ ФСТЭК и ФСБ, о котором я так и не написал, поэтому я решил исправиться и подготовил свои комментарии.
Документ носит название:
Приказ Федеральной службы безопасности Российской Федерации, Федеральной службы по техническому и экспортному контролю от 31 августа 2010 г. N 416/489 г. Москва "Об утверждении Требований о защите информации, содержащейся в информационных системах общего пользования"
Вместе с этим приказом появились информационные системы общего пользования, которые определяются как федеральные государственные информационные системы, созданные или используемые в целях реализации полномочий федеральных органов исполнительной власти и содержащие сведения о деятельности Правительства и органов исполнительной власти, обязательные для размещения в информационно-телекоммуникационной сети Интернет.
т.е. это те системы которые используются для публикации в Интернете, например, информации о деятельности службы, отчеты, официальные письма и т.п.
1) Приказ подписан директорами ФСБ и ФСТЭК и зарегистрирован в Минюсте. Вступает в силу с завтрашнего дня. Забавно, но этот приказ должен был появиться еще год назад, этого требовал пункт 3 постановления Правительства Российской Федерации от 18 мая 2009 г. N 424.
2) Вводятся 2 класса информационных систем общего пользования. 1-й класс – это те системы, в которых нарушение целостности и доступности информации может привести к возникновению угроз безопасности Российской Федерации – что это!!!???? Что означает может привести к возникновению угроз безопасности страны? 2-й класс – это все остальные.
Как создатели документа видят процесс классификации непонятно.
3) Методы и способы защиты информации в информационных системах общего пользования определяются оператором информационной системы общего пользования и должны соответствовать настоящим Требованиям. Любят во ФСТЭКе писать такие формулировки, когда ничего не понятно. Слово «требования» исключает самостоятельность.
Нужно сказать четко, определяются операторами или должны соответствовать требованиям? Если на оператора накладываются какие-то ограничения, то какие и в каких случаях?
Ситуация абсолютно аналогичная приказу №58, только там появляется еще и формулировка «могут», например, в информационных системах 1 класса могут применяться следующие методы и способы защиты информации...
Издевательство какое-то.
Лично мое мнение, что все идет от модели угроз, если по модели угроза актуальная, то защищаем, если не актуальная, то не защищаем. Все эти «требования» на деле всего лишь «рекомендации» и перечни мер, которые «могут» применяться, а «могут» и не применяться.
4) По документу, разработку на основе модели угроз системы защиты информации, обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и способов защиты информации, предусмотренных для соответствующего класса информационных систем общего пользования.
Снова появляется слово «нейтрализация». Зачем нейтрализовывать угрозу? Ее нужно уменьшать до приемлемого уровня.
5) Радует отсутствие в документе требования по обеспечению конфиденциальности, четко прописано, что в информационных системах общего пользования нужно обеспечивать целостность и доступность.
6) При обнаружении нарушений порядка доступа к информации оператор информационной системы общего пользования организует работы по выявлению причин нарушений и устранению этих причин в установленном порядке. Время восстановления процесса предоставления информации пользователям не должно превышать 8 часов.
На мой взгляд, появление цифры – это очень хорошо.
7) Реализация требований по обеспечению защиты информации в средствах защиты информации возлагается на их разработчиков.
Т.е. теоретически при разработке ТЗ на новую систему должны быть прописаны требования по защите информации, но какие они должны быть и как неподготовленный заказчик может их сформулировать? Хотя этому нужно учиться и требование верное.
8 ) При создании и эксплуатации информационных систем общего пользования должны выполняться следующие требования по защите информации:
…. и идет внушительный список требований по защите информации для каждого из 2-х классов. Если смотреть формально, то нужно реализовывать каждый пункт без всяких моделей угроз. Как такое может быть? В одном коротеньком документе столько формальных внутренних противоречий!
9) В конце перечня требований для систем каждого класса идет фраза:
введение в эксплуатацию только после направления оператором информационной системы общего пользования в ФСТЭК России уведомления о готовности ввода информационной системы общего пользования в эксплуатацию и ее соответствии настоящим Требованиям. – выполняться не будет!
В сухом остатке мы видим очередной спорный и де-факто невыполнимый документ регуляторов. Документ полон внутренних противоречий и страдает (или наслаждается) всеми классическими болезнями документов ФСТЭК и ФСБ.
>>Радует отсутствие в документе требования по обеспечению конфиденциальности.
Было бы смешно, если бы еще и такое требование вписали :) Там как бы в системах только общедоступная информация.
Я вот добиться ни от кого не могу: распространяется ли данный приказ на портал муниципальных услуг, или они никому не нужны и не подлежат защите.
Про конфиденциальность — это сарказм, но кто знает…
Про какой портал идет речь?
Портал, на котором описываются муниципальные услуги. Информация там примерно такая:
1. Наименование учреждения, где находится
2. Вид услуги, описание, стоимость
3. Что нужно взять с собой, чтобы жителю была оказана эта услуга (паспорт, справки)
Всё общедоступное, но это вроде подходит под мунипальные информационные системы, а не под федеральные.
С терминологией полный бардак. На ФСТЭК и ФСБ возложили обязанность для государственных ИСОП, для них они и подготовили, что делать с муниципальными или «городскими» системами непонятно.
Здравый смысл подсказывает, что нужно разработать аналогичные требования и для «всех остальных» ИСОП, ведь доступность и целостность там необходимо обеспечивать, НО регуляторам такого приказа не поступало…
Можно добавить:
3. Информационные системы общего пользования включают в себя средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки информации, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации, программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации, применяемые в информационных системах.
Обрабатываемую информацию забыли. Или ИСОП не включает в себя обрабатываемую информацию?
ИСПДн — информационная система, представляющая собой совокупность персональных данных… и т.д.
Я не совсем понял из этого приказа, а кто собственно будет аттестовывать «информационные системы общего пользования»? Снова приглашать организацию, которая аттестовывала ИСПДн?