18.05.2017

Обязательное согласование моделей угроз и ТЗ для ГИС (обзор ПП-555)

Есть такое Постановление Правительства под номером 676 от 6 июля 2015 года. Устанавливает оно требования к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации. И до недавнего времени это Постановление никоим образом не касалось вопросов защиты информации. Минкомсвязь, инициировавший данное Постановление, жил в своем ИТ-мире и никак не пересекался с миром ИБ, в котором правили ФСТЭК с ФСБ со своими нормативными актами. Но в конце 2015-го года Президент поручил множеству разных министерств и ведомств усовершенствовать защиту информации в Российской Федерации и, в частности, в государственных органах. А тут еще в Минкомсвязь нагрянул новый заместитель министра, г-н Соколов, который стал курировать вопросы информационной безопасности. И произошло чудо... Позиции Минкомсвязи и ИБ-регуляторов стали сближаться.

Сначала ФСТЭК приняла поправки в 17-й приказ, которые синхронизировали порядок создания государственных информационных систем, установленный в ПП-676, с требованиями по ИБ 17-го приказа. А 11-го мая Правительство приняло инициированное Минкомсвязью Постановление Правительства №555 "О внесении изменений в требования к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации", которое целиком и полностью посвящено вопросам защиты информации.

Документ, вступающий в силу 23-го мая, обязал органы исполнительной власти во всех мероприятиях, связанных с ГИС, учитывать требования ФСТЭК и ФСБ по защите информации. Но самое главное, что по этому Постановлению требуется согласовывать модели угроз и ТЗ на созданию/модернизацию ГИС с ФСТЭК и ФСБ, должностные лица которых должны утверждать эти документы. Вот такой сюрприз! Причем для всех - и для пользователей ГИС, и для регуляторов.

Смею предположить, что ни ФСТЭК, ни ФСБ не имели отношения к данной норме, так как еще совсем недавно, когда я обсуждал этот вопрос с ними, они прямо говорили, что массовое утверждение модели угроз не входит в их компетенцию и у них нет ресурсов делать это для каждого госоргана, который к ним обращается. Поэтому они делали это в исключительных случаях, для значимых информационных систем. И тут вот такой поворот. Как из него будут выкручиваться, пока сложно сказать. Ведь методику моделирования угроз ФСТЭК не приняла до сих пор (с ФСБ ситуация чуть проще - у них зона ответственности меньше). И что делать законопослушным госорганам, которые с 23-го мая будут вынуждены отправлять свои модели угроз в ФСТЭК и ФСБ?

При этом, новое ПП-555 также фиксирует, что ГИС не может быть введена в эксплуатацию без:
  • выполнения требований ФСТЭК и ФСБ, включая отсутствие соответствующего аттестата,
  • записи в реестре о местонахождении элементов ГИС (они не могут находиться за пределами РФ),
  • устранения нарушений, выявленных в рамках контроля и надзора за вводом в эксплуатацию отдельных ГИС,
  • оформления прав на использование ее компонентов, являющихся объектами интеллектуальной собственности.
В ФСБ направлять свои модели угроз надо сразу в центральный аппарат - терорганы не занимаются этими вопросами. По ФСТЭК возможно и удастся распределить эту нагрузку между управлениями по федеральным округам, но встанет вопрос компетенций и временных затрат на такие согласования. Если же ФСТЭК тоже будет всех заворачивать в Москву, во 2-е Управление, то оно просто "умрет" под ворохом таких запросов и на выработку других документов (новых РД, методичек, новых приказов) сил у них уже не останется - все погрязнет в рутине.

Пока вопросов больше, чем ответов. Совершенствование защиты информации - это, конечно, хорошо и полезно, но вот так вот "менять коней на переправе"?.. Если же перейти из плоскости теоретической в практическую, то могу порекомендовать начать работу над моделью угроз (если у вас ее еще нет) с сервиса, созданного Булатом Шамсутдиновым - www.threat-model.com.


Как и положено сервис базируется на банке данных угроз ФСТЭК, а в качестве методологии взят за основу последний публичный проект методики ФСТЭК, выложенный на сайте регулятора. На самом деле с того момента этот проект был сильно переработан, но как точка отсчета этот бесплатный сервис, созданный Булатом, подходит как нельзя лучше. Удачи!

11 коммент.:

ЗВД комментирует...

Алексей, здравствуйте!

Подскажите, пожалуйста - по Вашему мнению - указанные требования не распространяются на муниципальные информационные системы?
Согласно 149-ФЗ:
Статья 13. Информационные системы
1. Информационные системы включают в себя:
1) государственные информационные системы - федеральные информационные системы и региональные информационные системы, созданные на основании соответственно федеральных законов, законов субъектов Российской Федерации, на основании правовых актов государственных органов;
2) муниципальные информационные системы, созданные на основании решения органа местного самоуправления;
3) иные информационные системы.

Алексей Лукацкий комментирует...

Нет. ПП-555 только на ГИС распространяется; не на МИС

Sergey комментирует...

В соответствии с п.12 статьи 1 законопроекта № 416052-6 "О внесении изменений в Федеральный закон "О персональных данных"...", получается, что вообще все операторы ПД будут согласовывать свои модели угроз с ФСБ и ФСТЭК?

Алексей Лукацкий комментирует...

Нет. Там имеется ввиду, что оператор МОЖЕТ разработать свою модель угроз. Сейчас он по закону не может этого делать

Sergey комментирует...

Мне кажется, что многие захотят согласовать свою модель угроз с регуляторами, чтобы иметь официальный документ на руках. И вот тогда регуляторы действительно захлебнуться в бумаге.

Алексей Лукацкий комментирует...

Так как регуляторы не обязаны, то они будут посылать всех операторов, исключая госы

Sergey комментирует...

В тексте законопроекта написано, что "Указанные локальные акты подлежат согласованию с ФОИВами...". Интересно будет узнать мотивировку отказов.

Алексей Лукацкий комментирует...

Начинать надо сначала статьи. Там написано, что "операторы вправе", то есть они могут и не согласовывать. К тому же, эту статью мы писали в 13-м году. Сейчас я бы поменял текстовку

Sergey комментирует...

Если бы я хотел подстраховаться от претензий регуляторов, то я бы этим правом воспользовался. Остаётся ждать дальнейшей судьбы этого законопроекта.

Алексей Лукацкий комментирует...

У регуляторов не может быть претензий - они не имеют права проверять коммерческих операторов ПДн

Sergey комментирует...

Ну теоретически то решением Правительства Российской Федерации могут быть наделены соответствующими полномочиями