9.11.10

Новый совместный приказ ФСТЭК / ФСБ

31 августа 2010 года был принят (зарегистрирован в Минюсте 13 октября, опубликован 22 октября в "Российской газете", вступил в действие с 2 ноября 2010 года) совместный приказ ФСБ и ФСТЭК № 416/489 "Об утверждении Требований о защите информации, содержащейся в информационных системах общего пользования".

Распространяется он на все федеральные государственные информационные системы, содержащие сведения о деятельности Правительства РФ и федеральных органов исполнительной власти, обязательные для размещения в Интернет (согласно Постановления Правительства от 24 ноября 2009 года № 953). Иными словами речь идет о сайтах госорганов.

Данный приказ содержит требование обязательного использования антивирусов, межсетевых экранов и средств предотвращения вторжений, прошедших сертификацию в ФСБ (!).

Интересна хронология событий по данному направление. Сначала был принять приказ ФСО от 7 августа 2009 года № 487, который требует в сегменте «Интернет» для федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации использовать средства защиты (в т.ч. межсетевые экраны и системы предотвращения вторжений), сертифицированные ФСТЭК и ФСБ. При этом четкой регламентации (кто и что сертифицирует) указано не было.

Двумя неделями позднее Минкомсвязь выпускает приказ от 25 августа 2009 года № 104, который требует применения сертифицированных в ФСБ средств предотвращения вторжений при их использовании в государственных информационных системах, содержащих сведения о деятельности Правительства РФ и федеральных органов исполнительной власти, обязательных для размещения в Интернет. При этом МСЭ должны иметь сертификат ФСТЭК.

И вот новый приказ, который требует использовать для защиты сайтов госорганов средства, прошедшие сертификацию в системе ФСБ.

Куда катится этот мир? Скоро ФСТЭК отдаст вообще всю свою сферу деятельности в ФСБ ;-( Наличие единой системы сертификации может быть и неплохо, если бы не сложности этой сертификации в ФСБ. Ни требований публичных нет, ни процедура нигде не описана... Полный вакуум...

20 коммент.:

Сергей комментирует...

Там написано что СЗИ сертифицированные в ФСБ требуется только для одной из категории сайтов.
У ФСБ итак есть 7 ОГВ в которых защитой информации занимаются они
сайты этой категории как раз относятся к этим 7 ОГВ, так что ничего не изменилось по сути

Baevsky комментирует...

Вот тебе,бабушка и Юрьев день!

Alexey Volkov комментирует...

> Скоро ФСТЭК отдаст вообще всю свою сферу деятельности в ФСБ

Мысли сходятся :) http://anvolkov.blogspot.com/2010/10/blog-post_8510.html

Сергей Борисов комментирует...

Видимо системы общего пользования 1-ого класса приравниваться к системам содержащим государственную тайну - по важности.
А для таких систем средства защиты сертифицирует ФСБ.

PS: сравнение требований в виде таблицы http://sborisov.blogspot.com/2010/10/blog-post_25.html

Maksim Dolginin комментирует...

Сергей Б, каким образом государственная тайна может попасть в систему ОБЩЕГО пользования?

Maksim Dolginin комментирует...

я считаю, что системы первой категории - это сайты:
ФСБ, ФНС, ФМС, ЦИК, МВД (навскидку)

Алексей Лукацкий комментирует...

Итак, ситуация следующая. ФСБ занималась органами высшей власти и СКП всегда и ей не надо было никаких приказов. Этот же приказ касается ВСЕХ госсорганов.

А формулировка в приказе такова, что ВСЕ системы будут отнесены к 1-му классу.

Maksim Dolginin комментирует...

А можно привести пример такой системы?
Я считаю, что сайт, допустим, Управления ЗАГС является системой второго класса.

Алексей Лукацкий комментирует...

Смотрим приказ: "К I классу относятся информационные системы общего пользования Правительства Российской Федерации и иные информационные системы общего пользования в случае, если нарушение целостности и доступности информации, содержащейся в них, может привести к возникновению угроз безопасности Российской Федерации".

Ни слова про то, каких угроз, про их актуальность, размер ущерба и т.п. По сути возникновение ЛЮБОЙ угрозы приводит к системе 1-го класса.

Разумеется, могут быть нюансы и используя следующий абзац (про принятие решения о классификации руководителем) можно "правильно" классифицировать систему как 2-й класс.

ЗЫ. А ЗАГС не относится к госорганам, имхо. Это же муниципалитеты.

Maksim Dolginin комментирует...

ЗАГСы относятся к госорганам. Единственное это нефедеральный орган исполнительной власти, а орган исполнительной власти субъекта РФ.

Кроме загса могу еще привести примером министерства спорта и туризма, министерство культуры какого либо субъекта РФ.
Но в целом согласен, что непонятно какая именно угроза безопасности РФ имеется ввиду (национальная, геополитическая, экономическая или еще какая)...

Сергей Борисов комментирует...

По поводу "угроз безопасности Российской Федерации".
Скорее всего ФСБ России пока тоже не знает какие угрозы и какая информация под это попадает.

Ничего ведь не мешает всем классифицировать себя по 2-ой категории.

А потом уже это обязанность Регулятора будет - прийти, рассказать что относится к "угрозам безопасности Российской Федерации" и доказать что к вашей системе общего доступа это тоже относится.

Алексей Лукацкий комментирует...

Ну модель угроз у нас обычно потребитель создает и потом согласует ее с регулятором (если необходимо).

Сергей Борисов комментирует...

Да точно.

Чтобы подстраховаться от риска - потратить деньги не на те средства защиты, какие положено, придется самому идти с моделью угроз и классификацией к Регулятору.

После того как десять - двадцать моделей будет согласовано, Регулятор наконец-то сможет сформулировать определение того что подпадает под "нарушение целостности и доступности информации, содержащейся в них, может привести к возникновению угроз безопасности Российской Федерации". Потом внесут изменения в законодательный акт - оп, вопросов больше нет.

Не самый плохой подход в принципе.

pushkinist комментирует...

а что тут непонятного?
док про дефейс, саботаж и дос госсайтов
ну плюс отказоустойчивость инфраструктуры, на которой они крутятся.

нам-то чего переживать? :)

Алексей Лукацкий комментирует...

Регулятор не будет ничего переписывать и менять в нормативном акте ;-) Ему проще держать всех на крючке отсутствием четкого ответа на данный вопрос.

pushkinist комментирует...

кого всех?

Алексей Лукацкий комментирует...

Тех, кто не знает, относить себя к 1-му или 2-му классу ;-)

pushkinist комментирует...

а зачем себя относить? это же для госов

pushkinist комментирует...

ну всмысле они же сами все классифицируют

Алексей Лукацкий комментирует...

Так блог читают не только банкиры ;-)