09.11.2010

Новый совместный приказ ФСТЭК / ФСБ

31 августа 2010 года был принят (зарегистрирован в Минюсте 13 октября, опубликован 22 октября в "Российской газете", вступил в действие с 2 ноября 2010 года) совместный приказ ФСБ и ФСТЭК № 416/489 "Об утверждении Требований о защите информации, содержащейся в информационных системах общего пользования".

Распространяется он на все федеральные государственные информационные системы, содержащие сведения о деятельности Правительства РФ и федеральных органов исполнительной власти, обязательные для размещения в Интернет (согласно Постановления Правительства от 24 ноября 2009 года № 953). Иными словами речь идет о сайтах госорганов.

Данный приказ содержит требование обязательного использования антивирусов, межсетевых экранов и средств предотвращения вторжений, прошедших сертификацию в ФСБ (!).

Интересна хронология событий по данному направление. Сначала был принять приказ ФСО от 7 августа 2009 года № 487, который требует в сегменте «Интернет» для федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации использовать средства защиты (в т.ч. межсетевые экраны и системы предотвращения вторжений), сертифицированные ФСТЭК и ФСБ. При этом четкой регламентации (кто и что сертифицирует) указано не было.

Двумя неделями позднее Минкомсвязь выпускает приказ от 25 августа 2009 года № 104, который требует применения сертифицированных в ФСБ средств предотвращения вторжений при их использовании в государственных информационных системах, содержащих сведения о деятельности Правительства РФ и федеральных органов исполнительной власти, обязательных для размещения в Интернет. При этом МСЭ должны иметь сертификат ФСТЭК.

И вот новый приказ, который требует использовать для защиты сайтов госорганов средства, прошедшие сертификацию в системе ФСБ.

Куда катится этот мир? Скоро ФСТЭК отдаст вообще всю свою сферу деятельности в ФСБ ;-( Наличие единой системы сертификации может быть и неплохо, если бы не сложности этой сертификации в ФСБ. Ни требований публичных нет, ни процедура нигде не описана... Полный вакуум...

20 коммент.:

Сергей комментирует...

Там написано что СЗИ сертифицированные в ФСБ требуется только для одной из категории сайтов.
У ФСБ итак есть 7 ОГВ в которых защитой информации занимаются они
сайты этой категории как раз относятся к этим 7 ОГВ, так что ничего не изменилось по сути

Baevsky комментирует...

Вот тебе,бабушка и Юрьев день!

Алексей Волков комментирует...

> Скоро ФСТЭК отдаст вообще всю свою сферу деятельности в ФСБ

Мысли сходятся :) http://anvolkov.blogspot.com/2010/10/blog-post_8510.html

Сергей Б комментирует...

Видимо системы общего пользования 1-ого класса приравниваться к системам содержащим государственную тайну - по важности.
А для таких систем средства защиты сертифицирует ФСБ.

PS: сравнение требований в виде таблицы http://sborisov.blogspot.com/2010/10/blog-post_25.html

Maksim Dolginin комментирует...

Сергей Б, каким образом государственная тайна может попасть в систему ОБЩЕГО пользования?

Maksim Dolginin комментирует...

я считаю, что системы первой категории - это сайты:
ФСБ, ФНС, ФМС, ЦИК, МВД (навскидку)

Алексей Лукацкий комментирует...

Итак, ситуация следующая. ФСБ занималась органами высшей власти и СКП всегда и ей не надо было никаких приказов. Этот же приказ касается ВСЕХ госсорганов.

А формулировка в приказе такова, что ВСЕ системы будут отнесены к 1-му классу.

Maksim Dolginin комментирует...

А можно привести пример такой системы?
Я считаю, что сайт, допустим, Управления ЗАГС является системой второго класса.

Алексей Лукацкий комментирует...

Смотрим приказ: "К I классу относятся информационные системы общего пользования Правительства Российской Федерации и иные информационные системы общего пользования в случае, если нарушение целостности и доступности информации, содержащейся в них, может привести к возникновению угроз безопасности Российской Федерации".

Ни слова про то, каких угроз, про их актуальность, размер ущерба и т.п. По сути возникновение ЛЮБОЙ угрозы приводит к системе 1-го класса.

Разумеется, могут быть нюансы и используя следующий абзац (про принятие решения о классификации руководителем) можно "правильно" классифицировать систему как 2-й класс.

ЗЫ. А ЗАГС не относится к госорганам, имхо. Это же муниципалитеты.

Maksim Dolginin комментирует...

ЗАГСы относятся к госорганам. Единственное это нефедеральный орган исполнительной власти, а орган исполнительной власти субъекта РФ.

Кроме загса могу еще привести примером министерства спорта и туризма, министерство культуры какого либо субъекта РФ.
Но в целом согласен, что непонятно какая именно угроза безопасности РФ имеется ввиду (национальная, геополитическая, экономическая или еще какая)...

Сергей Б комментирует...

По поводу "угроз безопасности Российской Федерации".
Скорее всего ФСБ России пока тоже не знает какие угрозы и какая информация под это попадает.

Ничего ведь не мешает всем классифицировать себя по 2-ой категории.

А потом уже это обязанность Регулятора будет - прийти, рассказать что относится к "угрозам безопасности Российской Федерации" и доказать что к вашей системе общего доступа это тоже относится.

Алексей Лукацкий комментирует...

Ну модель угроз у нас обычно потребитель создает и потом согласует ее с регулятором (если необходимо).

Сергей Б комментирует...

Да точно.

Чтобы подстраховаться от риска - потратить деньги не на те средства защиты, какие положено, придется самому идти с моделью угроз и классификацией к Регулятору.

После того как десять - двадцать моделей будет согласовано, Регулятор наконец-то сможет сформулировать определение того что подпадает под "нарушение целостности и доступности информации, содержащейся в них, может привести к возникновению угроз безопасности Российской Федерации". Потом внесут изменения в законодательный акт - оп, вопросов больше нет.

Не самый плохой подход в принципе.

pushkinist комментирует...

а что тут непонятного?
док про дефейс, саботаж и дос госсайтов
ну плюс отказоустойчивость инфраструктуры, на которой они крутятся.

нам-то чего переживать? :)

Алексей Лукацкий комментирует...

Регулятор не будет ничего переписывать и менять в нормативном акте ;-) Ему проще держать всех на крючке отсутствием четкого ответа на данный вопрос.

pushkinist комментирует...

кого всех?

Алексей Лукацкий комментирует...

Тех, кто не знает, относить себя к 1-му или 2-му классу ;-)

pushkinist комментирует...

а зачем себя относить? это же для госов

pushkinist комментирует...

ну всмысле они же сами все классифицируют

Алексей Лукацкий комментирует...

Так блог читают не только банкиры ;-)