31 августа 2010 года был принят (зарегистрирован в Минюсте 13 октября, опубликован 22 октября в "Российской газете", вступил в действие с 2 ноября 2010 года) совместный приказ ФСБ и ФСТЭК № 416/489 "Об утверждении Требований о защите информации, содержащейся в информационных системах общего пользования".
Распространяется он на все федеральные государственные информационные системы, содержащие сведения о деятельности Правительства РФ и федеральных органов исполнительной власти, обязательные для размещения в Интернет (согласно Постановления Правительства от 24 ноября 2009 года № 953). Иными словами речь идет о сайтах госорганов.
Данный приказ содержит требование обязательного использования антивирусов, межсетевых экранов и средств предотвращения вторжений, прошедших сертификацию в ФСБ (!).
Интересна хронология событий по данному направление. Сначала был принять приказ ФСО от 7 августа 2009 года № 487, который требует в сегменте «Интернет» для федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации использовать средства защиты (в т.ч. межсетевые экраны и системы предотвращения вторжений), сертифицированные ФСТЭК и ФСБ. При этом четкой регламентации (кто и что сертифицирует) указано не было.
Двумя неделями позднее Минкомсвязь выпускает приказ от 25 августа 2009 года № 104, который требует применения сертифицированных в ФСБ средств предотвращения вторжений при их использовании в государственных информационных системах, содержащих сведения о деятельности Правительства РФ и федеральных органов исполнительной власти, обязательных для размещения в Интернет. При этом МСЭ должны иметь сертификат ФСТЭК.
И вот новый приказ, который требует использовать для защиты сайтов госорганов средства, прошедшие сертификацию в системе ФСБ.
Куда катится этот мир? Скоро ФСТЭК отдаст вообще всю свою сферу деятельности в ФСБ ;-( Наличие единой системы сертификации может быть и неплохо, если бы не сложности этой сертификации в ФСБ. Ни требований публичных нет, ни процедура нигде не описана... Полный вакуум...
Там написано что СЗИ сертифицированные в ФСБ требуется только для одной из категории сайтов.
ОтветитьУдалитьУ ФСБ итак есть 7 ОГВ в которых защитой информации занимаются они
сайты этой категории как раз относятся к этим 7 ОГВ, так что ничего не изменилось по сути
Вот тебе,бабушка и Юрьев день!
ОтветитьУдалить> Скоро ФСТЭК отдаст вообще всю свою сферу деятельности в ФСБ
ОтветитьУдалитьМысли сходятся :) http://anvolkov.blogspot.com/2010/10/blog-post_8510.html
Видимо системы общего пользования 1-ого класса приравниваться к системам содержащим государственную тайну - по важности.
ОтветитьУдалитьА для таких систем средства защиты сертифицирует ФСБ.
PS: сравнение требований в виде таблицы http://sborisov.blogspot.com/2010/10/blog-post_25.html
Сергей Б, каким образом государственная тайна может попасть в систему ОБЩЕГО пользования?
ОтветитьУдалитья считаю, что системы первой категории - это сайты:
ОтветитьУдалитьФСБ, ФНС, ФМС, ЦИК, МВД (навскидку)
Итак, ситуация следующая. ФСБ занималась органами высшей власти и СКП всегда и ей не надо было никаких приказов. Этот же приказ касается ВСЕХ госсорганов.
ОтветитьУдалитьА формулировка в приказе такова, что ВСЕ системы будут отнесены к 1-му классу.
А можно привести пример такой системы?
ОтветитьУдалитьЯ считаю, что сайт, допустим, Управления ЗАГС является системой второго класса.
Смотрим приказ: "К I классу относятся информационные системы общего пользования Правительства Российской Федерации и иные информационные системы общего пользования в случае, если нарушение целостности и доступности информации, содержащейся в них, может привести к возникновению угроз безопасности Российской Федерации".
ОтветитьУдалитьНи слова про то, каких угроз, про их актуальность, размер ущерба и т.п. По сути возникновение ЛЮБОЙ угрозы приводит к системе 1-го класса.
Разумеется, могут быть нюансы и используя следующий абзац (про принятие решения о классификации руководителем) можно "правильно" классифицировать систему как 2-й класс.
ЗЫ. А ЗАГС не относится к госорганам, имхо. Это же муниципалитеты.
ЗАГСы относятся к госорганам. Единственное это нефедеральный орган исполнительной власти, а орган исполнительной власти субъекта РФ.
ОтветитьУдалитьКроме загса могу еще привести примером министерства спорта и туризма, министерство культуры какого либо субъекта РФ.
Но в целом согласен, что непонятно какая именно угроза безопасности РФ имеется ввиду (национальная, геополитическая, экономическая или еще какая)...
По поводу "угроз безопасности Российской Федерации".
ОтветитьУдалитьСкорее всего ФСБ России пока тоже не знает какие угрозы и какая информация под это попадает.
Ничего ведь не мешает всем классифицировать себя по 2-ой категории.
А потом уже это обязанность Регулятора будет - прийти, рассказать что относится к "угрозам безопасности Российской Федерации" и доказать что к вашей системе общего доступа это тоже относится.
Ну модель угроз у нас обычно потребитель создает и потом согласует ее с регулятором (если необходимо).
ОтветитьУдалитьДа точно.
ОтветитьУдалитьЧтобы подстраховаться от риска - потратить деньги не на те средства защиты, какие положено, придется самому идти с моделью угроз и классификацией к Регулятору.
После того как десять - двадцать моделей будет согласовано, Регулятор наконец-то сможет сформулировать определение того что подпадает под "нарушение целостности и доступности информации, содержащейся в них, может привести к возникновению угроз безопасности Российской Федерации". Потом внесут изменения в законодательный акт - оп, вопросов больше нет.
Не самый плохой подход в принципе.
а что тут непонятного?
ОтветитьУдалитьдок про дефейс, саботаж и дос госсайтов
ну плюс отказоустойчивость инфраструктуры, на которой они крутятся.
нам-то чего переживать? :)
Регулятор не будет ничего переписывать и менять в нормативном акте ;-) Ему проще держать всех на крючке отсутствием четкого ответа на данный вопрос.
ОтветитьУдалитького всех?
ОтветитьУдалитьТех, кто не знает, относить себя к 1-му или 2-му классу ;-)
ОтветитьУдалитьа зачем себя относить? это же для госов
ОтветитьУдалитьну всмысле они же сами все классифицируют
ОтветитьУдалитьТак блог читают не только банкиры ;-)
ОтветитьУдалить