Как-то не везет в России организациям, относящихся к категории операторов. Операторов персданных расплющили поправками в ФЗ-152. Операторов электроэнергии проплющили вчерашним законом о безопасности ТЭК. Операторов связи до недавнего времени не очень трогали с точки зрения безопасности. Кроме 7-й статьи ФЗ "О связи" детализации требований по защите почти не было. Был приказ Минкомсвязи №1 от 2008-го года. Ничего обременяющего там не было. Можно сказать, что он был демократичен. Например, для защиты абонентских линий связи можно было применять кодирование, а не шифрование. Главное, что никакой сертификации средств защиты по линии ФСТЭК или ФСБ.
Но вот в 2010 году на поляну операторов было первое наступление - в 12-ю статью закона "О связи" был внесен новый подпункт о том, что требования по защите сетей связи и передаваемой по ним информации должны согласовываться с ФСБ. А какие ФСБ у нас выпускает требования все знают ;-(
И вот недавно на сайте Минкомсвязи был обнаружен проект приказа "Об утверждении Требований к управлению сетями электросвязи", который должен подписать главный защитник всех операторов - министр Щеголев. Помимо общих и местами правильных фраз есть и парочка таких:
ЗЫ. А операторов связи мне жаль ;-(
Но вот в 2010 году на поляну операторов было первое наступление - в 12-ю статью закона "О связи" был внесен новый подпункт о том, что требования по защите сетей связи и передаваемой по ним информации должны согласовываться с ФСБ. А какие ФСБ у нас выпускает требования все знают ;-(
И вот недавно на сайте Минкомсвязи был обнаружен проект приказа "Об утверждении Требований к управлению сетями электросвязи", который должен подписать главный защитник всех операторов - министр Щеголев. Помимо общих и местами правильных фраз есть и парочка таких:
- "Система управления создаётся с применением сертифицированных уполномоченными органами исполнительной власти в области обеспечения безопасности и в области противодействия иностранным техническим разведкам и технической защиты информации программных и аппаратных средств управления и средств защиты информации по требованиям безопасности информации, а также с использованием каналов управления систем обеспечения информационной безопасности, отвечающих требованиям информационной безопасности"
- "Построение системы управления осуществляется с использованием отечественных технических и программных средств, выполняющих функции систем управления и мониторинга, а в случае отсутствия их аналогов – иностранных программно-аппаратных средств, соответствующих требованиям информационной безопасности, которые устанавливаются уполномоченными органами исполнительной власти в области обеспечения безопасности и в области противодействия иностранным техническим разведкам и технической защиты информации.
- "Обеспечение конфиденциальности и целостности информации управления осуществляется с использованием сертифицированных уполномоченным органом исполнительной власти в области обеспечения безопасности средств криптографической защиты информации"
- "В случае использования ресурсов сети связи оператора связи для нужд государственного управления, обороны страны, безопасности государства и обеспечения правопорядка, персонал, обеспечивающий управление сетью связи оператора связи, должен иметь допуск к сведениям, составляющим государственную тайну"
ЗЫ. А операторов связи мне жаль ;-(
Алексей, вот честно скажу, иногда я Вас не понимаю. Мы оба прекрасно знаем, что кодирование не обеспечивает защиту секрета, соответственно используя кодирование оператор обеспчивал только целостность канала, но не как не защиту часных переговоров. Криптуха им самой судьбой на лбу вибита аршинными буквами. А что до требований сертификации, так то гос интерес, не более. ;) Что расстраиваться, тем более вроде в Омске (?) есть у вас сертифицированное производство, не стоит. Или ошибаюсь, я из этой части в последнее время выпал...
ОтветитьУдалитьКодирование - это такой полузаконный способ использовать несертифицированное шифрование.
ОтветитьУдалитьКроме того, у Cisco нет, например, сертифицированных СКЗИ, а про сертификацию в ФСБ средств управления вообще - еще даже требований нет, т.е. в ближайшие лет дцать таких средств просто не появится (правда я что-то и в ССС особо не наблюдал сертифицированных решений по управлению оборудованием связи - а требование было ;) ).
Правилный приказ
ОтветитьУдалитьДействие пункта 2.1 статьи 12 ФЗ "О связи" (в редакции ФЗ от 14 февраля 2010 г. N 10-ФЗ) распространяется на правоотношения, возникшие с 1 января 2010 г. Соответственно, на поляну уже существующих операторов связи тут не очень-то и наступили.
ОтветитьУдалитьПо поводу же проекта (его, похоже, удалили с сайта Минкомсвязи): обратите внимание, что в первых трех пунктах речь идет не о сетях связи в целом, а о системах управления этими сетями (в законе "О связи" дано определение этому термину) и о защите информации именно этих систем, а не абонентских линий. И в целом, как мне кажется (с учетом того, как сейчас защищены СУС, у большинства операторов), серьезных последствий для них это не повлечет.
Требование допуска персонала к гостайне для участия в тендерах на госзаказы услуг связи (я прочел этот пункт именно так) вряд ли можно назвать обоснованным, в той формулировке, в которой он там представлен, да.
doom: У нас есть сертифицированная СКЗИ; совместно с С-Терра СиЭсПи.
ОтветитьУдалитьВладимиру: Дело в том, что СУС неразрывно связана с управляемым оборудованием. Одно вытекает из другого ;-(
Doom: действительно не заметил, что действие относится только к системам управления.
ОтветитьУдалить2 Алексей:
ОтветитьУдалитьНу все-таки говорить, что S-terra это ваше совместное решение - не совсем верно. 7000-ка на UCS еще нет :)
Почему нет? Уже год, как есть. А сертификат на них с февраля.
ОтветитьУдалить