14.02.2014

Конференция ФСТЭК. Часть 1. Защита ГИС

Позавчера ФСТЭК провела конференцию "Актуальные вопросы защиты информации". Если по уровню организации мероприятию я бы поставил твердую двойку. Крокус вообще мало приспособлен под конференции, а уж то, что получилось и вовсе никакой критики не выдерживает. Организаторы почему-то не рассчитали, что на мероприятие придет раза в 2-3 больше людей, чем было мест. В итоге народ стоял в проходе и даже за пределами "зала", пытаясь выхватить если не картинку, то хотя бы звук, который наслаивался на неизолированный звук сирен с соседних стендов.

Концепция конференция была продуманной. Представители ФСТЭК доложились о ключевых направлениях своей нормотворческой деятельности в области защиты информации, а затем приглашенные лицензиаты (Инфотекс, Крафтвей, Эшелон, Код безопасности, ЦБИ, СИС) доложились о том, как они уже принятые или планируемые нормативные акты используют на практике и с чем сталкиваются. Получился такой симбиоз ФСТЭК и лицензиатов, "дующих в одну дуду". Не хватало только потребителей, которые бы рассказывали, как они на деле сталкиваются с новыми документами ФСТЭК, но тут, видимо, просто времени не было - ни на выступления потребителей (и так 4,5 часа без единого перерыва), ни на апробацию документов реальной жизнью.

В Твиттере я вел прямой репортаж и сейчас, для тех, кто моего Твиттера не читает, я перескажу ключевые тезисы, прозвучавшие на конференции, сопроводив их соответствующими фотографиями. Сразу прошу прощения за качество фото - снимал из президиума (получилось под углом) и на смартфон. Но при увеличении все неплохо должно читаться. У Андрея Прозорова есть видео выступления Лютикова Виталия Сергеевича.

Итак, тезисно:
  • При обсуждении 17-го приказа по защите ГИС (11-го февраля ему стукнул год) было учтено около 50% предложений экспертов. Всего предложений было около 200
  • Этап адаптации в 17-м приказе нужен, чтобы учесть требования и других нормативных актов по защите информации в ГИС. Например, требования СТР-К, ПП-424, совместного приказ ФСТЭК и ФСБ 416/489, приказа Минкомсвязи 104 и т.п. Иными словами, есть требования, которые расширяют 17-й приказ, а есть те, которые 17-й приказ детализирует и расширяет. Адаптация и нужна, чтобы гибко подойти к формированию совокупности защитных мер.
  • 11 февраля 2014 года (за день до конференции) директором ФСТЭК была утверждена методичка по мерам защиты в ГИС. До конца недели ее должны выложить на сайте ФСТЭК. Обычно это происходит в конце дня пятницы.
  • В отличие от проекта, выложенного на сайте в ноябре, в финальный вариант методички добавили приложение с терминами и определениями, которые местами повторяют уже существующие ГОСТы и другие НПА. Это нужно было сделать для  целей документа и эти термины действуют только в рамках данного методического документа.
  • Не все предложения вошли в итоговый документ (только у меня их было около 200). Отчасти потому, что ФСТЭК была не совсем согласна; отчасти потому, что ряд замечаний были достаточно концептуальными и их необходимо осмыслить. В следующей версии обещали учесть. О том, что учли, а что нет, будет понятно к концу недели, когда помимо методички выложат и сводный перечень предложений с результатами их рассмотрения.
  • ФСТЭК планирует выйти на двухлетний жизненный цикл документов ФСТЭК для учета изменчивости той среды и технологий, которые используются в госорганах.
  • На стыке 2014-15 годов, когда появится реальная практика применения 17-го приказа, будет открыт сбор предложений по его изменению.
  • Планы по развитию методических документов вокруг 17-го приказа громадные. Уже готов проект методички по моделированию угроз - его также должны выложить на всеобщее обсуждение в ближайшее время. Также планируются и другие документы, показанные на фото. 




  • По части аттестации также планируется ряд обновлений. В частности должен быть утвержден ГОСТ по документации. Он уже прошел все согласования и в мае Ростехрегулирование должен его утвердить. Также планируется разработать и утвердить порядок аттестации распределенных ГИС (название рабочее).

По части ГИС, пожалуй, все. Отдельно хочу отметить часть, связанную с вопросами из зала. Складывалось впечатление (и Лютиков Виталий Сергеевич про это неоднократно говорил на конференции), что не все прочитали и сам 17-й приказ и информационное сообщение к нему. Отчасти это недоработка регулятора, отчасти российская привычка, хорошо отраженная в анекдоте "чукча - не читатель...". Например вопрос о действии СТР-К и РД АС. Виталий Сергеевич прямо ответил, что для ГИС, не обрабатывающих гостайну и для которых неактуальна тема защиты от утечек по техканалам, ни РД на АС, ни СТР-к не действуют17-й приказ покрывает все вопросы, ранее описанные в этих устаревших документах ФСТЭК. Я бы на месте ФСТЭК завел на своем сайте раздел с FAQ (вопросы и ответы), чтобы публиковать не редкие информационные сообщения, а оперативные разъяснения. Это было бы очень полезно.

В следующей заметке посмотрим на новости по АСУ ТП, сертификации и SDLC.

ЗЫ. Кстати, СТР и СТР-К планируют обновлять. Правда, эта информация циркулирует уже давно и когда свершится сей факт непонятно.

8 коммент.:

Карантаев Владимир комментирует...

Доброе утро! Я был на мероприятии, ответ про применение СТР-К я услышал, после вопроса из зала, а вот ответ про применение РД АС нет. Это было в ответе на тот же вопрос? Спасибо.

Алексей Лукацкий комментирует...

Да, это было ближе к концу конференции, после выступления Шевцова в ответах Лютикова на вопросы

Алексей Беседин комментирует...

Алексей,как вы думаете, что внесет новая Методика определения угроз? Каковы её кардинальные отличия от старой Методики и какова её общая структура?

Карантаев Владимир комментирует...

Добрый день!
В очередной раз задумался над вопросом, какую ИС считать ГИС и МИС. Формулировка закона прочитана. Вопрос в том, если в гос.органе есть локальный нормативный акт, например, приказ начальника, можно ли такую ИС считать ГИС?

Алексей Лукацкий комментирует...

http://www.itsec.pro/2013/06/17.html

Карантаев Владимир комментирует...

В целом такой подход понятен, есть ли официальное мнение Роскомнадзора по этому поводу или в каждом субъекте свое мнение :)? В целом понятно, что либо федеральный перечь, либо региональный. Спасибо за ссылку..Прочитав пост и комментарий, я понял, что единства во мнениях нет.Есть рекомендация изучить: Руководствуйтесь критериями, указанными в статье 13 и 14 ФЗ-149.
Посмотрите Постановление Правительства Российской Федерации от 24 октября 2011 г. № 861 и Постановление Правительства Российской Федерации от 10 сентября 2009 г. № 723. Буду изучать.

Карантаев Владимир комментирует...

В предыдущем комментарии я имел ввиду себя :) Рекомендация мне :). Прошу прощения за каламбур.

securityladysib комментирует...

Коллеги, так все-таки, если нет записи в реестре и нет документов, на основании которых создана система, то это автоматически не ГИС, не МИС? По поводу реестров возникает следующий вопрос, касающийся официальных сайтов гос. и муниципальных органов, в соответствии с ФЗ РФ от 9 февраля 2009 г. № 8-ФЗ "Об обеспечении доступа к информации о деятельности государственных органов и органов местного самоуправления" гос. и мун. органы обязаны публиковать информацию о своей деятельности на сайте, в том числе ПДн руководства, однако в реестрах данные системы не встречаются. Как в этом случае быть? Какими требованиями руководствоваться? Также с ГИСами очень актуален вопрос разделения полномочий между органами, использующими ГИС: кто является обладателем информации (заказчиком), кто оператором?! И как быть если обладатель (заказчик) требования не предъявил или в неявном виде? Как проводить тогда классификацию и какие требования предъявлять?