На прошедшей DLP Russia я в очередной раз говорил о законодательстве в области информационной безопасности, а точнее о тенденциях его развития. Тогда я высказал мысль, что раньше безопасники жаловались, что у нас очень неадекватные и неактуальные документы и жить по ним нельзя. А сейчас ситуация ровно обратная - документов с требованиями выходит столько, что впору уже прекращать работу этого принтера и начинать разбираться с уже выпущенными нормативными документами. Масла в огонь подливается огромным количеством регуляторов, которые так и норовят выпустить в свет очередное свое творение и застолбить себе имя в истории. И дело не столько в ФСТЭК, ФСБ или ЦБ (с ними нормально удается сосуществовать), сколько в других регуляторах, которые вдруг выплеснут ни с того, ни с сего обязательный нормативный документ, которые залезает на чужую поляну и мало что не учитывает уже разработанных требований, так еще и конфликтует с другими.
Вот возьмем к примеру наше Правительство, которое через ФМС России, разработало Концепцию введения удостоверения личности гражданина Российской Федерации в виде пластиковой карты в качестве основного документа, удостоверяющего личность. Ну почему нельзя было в разделе по информационной безопасности этой концепции просто написать, что требования по ИБ должны соответствовать правовым актам ФСТЭК в области защиты персональных данных? Нет, надо изголяться и надергивать требования из разных документов. Зачем? Чтобы в очередной раз убедились, что на этом пластике будет работать сертифицированная в ФСБ криптография? Или что разработчики из ФМС и Правительства мало знакомы с российским законодательством, если позволяют себе использовать термин "отраслевой стандарт"? Вот зачем?
А еще случай хотите? Возьмем к примеру такую простую сущность, как сайт государственного органа, размещенный в государственном сегменте сети Интернет. И представим, что надо его защитить от супостатов заморских, так и норовящих открытые данные с этого сайта украсть, а админов его в полон забрать. Какие требования могут распространяться на такой сайт?
На первый взгляд все просто - есть приказ ФСТЭК №17 (почти как Балтика №9), который, распространяясь на все государевы информационные системы, должен и покрывать сайт как бык корову. Ан нет, и другие желающие найдутся. Во-первых, Минкомсвязь с его 149-м приказом от 27.06.2013. Новехонький такой приказ. Называется "Об утверждении Требований к технологическим, программным и лингвистическим средствам, необходимым для размещения информации государственными органами и органами местного самоуправления в сети "Интернет" в форме открытых данных, а также для обеспечения ее использования". И там есть, как ни странно, раздел по защите информации. Странно потому, что у Минкомсвязи свое понимание защиты информации. Оно неплохое и нехорошее, оно свое. И оно плохо сочетается с требованиями ФСТЭК и ФСБ.
А еще у Минкомсвязи есть приказ №104 от 25.08.2009. Называется он - "Об утверждении Требований по обеспечению целостности, устойчивости функционирования и безопасности информационных систем общего пользования" и разработан он в целях реализации пункта 2 постановления Правительства Российской Федерации от 18 мая 2009 года N 424 "Об особенностях подключения федеральных государственных систем к информационно-телекоммуникационным сетям". Парадокс, но во исполнении этого же Постановления (только пункта 3, посвященного защите информации) нашими традиционными регуляторами ФСТЭК и ФСБ на двоих разработан в 2010-м году совместный приказ от 31.08.2010 №416/489. Спрашивается и в чем разница между информационной безопасностью во 2-м пункте и защитой информацией в 3-м?..
А есть еще приказ Минэкономразвития (ну эти-то куда суются) №470 от 16.11.2009 "О Требованиях к технологическим, программным и лингвистическим средствам обеспечения пользования официальными сайтами федеральных органов исполнительной власти". И там... фанфары... тоже есть раздел про защиту информации. Вы думали это все? Нет, это еще не все..
Напоследок добавлю полено (или поленом) от ФСО, которая 07.08.2009 выпустила приказ №487 "Об утверждении Положения о сегменте информационно-телекоммуникационной сети "Интернет" для федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации". Если сайт размещается в этом сегменте, то будьте добры соответствовать еще и требованиям Федеральной службы охраны.
Стоп-стоп-стоп... Не все это, судари и сударыни. У нас же еще есть Верховный Главнокомандующий, который в 2008-м году разродился указом 351-м от 17-го марта "О мерах по обеспечению информационной безопасности российской федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена". В нем тоже немало про возможность передачи государственной информационной собственности по сети Интернет и особенно за пределы Российской Федерации, а точнее про запрет такой передачи (это в Интернет-то).
Ну теперь-то все? Похоже, что да. С требованиями по защите все, исключая, быть может, ФСБшные требования по защите персональных данных. Но они пока не вышли. Подытожим. У нас есть 7 нормативных актов, устанавливающих разные требования по защите информации к сайтам государственных органов, размещаемых в сети Интернет. Авторами этих нормативных актов являются 5 органов государственной власти (ФСТЭК, ФСБ, Минкомсвязь, Минэкономразвития и ФСО) и один Президент. Немного ли для одного простенького сайта?
Может все-таки вернуться к идее единого госоргана по вопросам информационной безопасности? Не такая уж и глупая идея...
Вот возьмем к примеру наше Правительство, которое через ФМС России, разработало Концепцию введения удостоверения личности гражданина Российской Федерации в виде пластиковой карты в качестве основного документа, удостоверяющего личность. Ну почему нельзя было в разделе по информационной безопасности этой концепции просто написать, что требования по ИБ должны соответствовать правовым актам ФСТЭК в области защиты персональных данных? Нет, надо изголяться и надергивать требования из разных документов. Зачем? Чтобы в очередной раз убедились, что на этом пластике будет работать сертифицированная в ФСБ криптография? Или что разработчики из ФМС и Правительства мало знакомы с российским законодательством, если позволяют себе использовать термин "отраслевой стандарт"? Вот зачем?
А еще случай хотите? Возьмем к примеру такую простую сущность, как сайт государственного органа, размещенный в государственном сегменте сети Интернет. И представим, что надо его защитить от супостатов заморских, так и норовящих открытые данные с этого сайта украсть, а админов его в полон забрать. Какие требования могут распространяться на такой сайт?
На первый взгляд все просто - есть приказ ФСТЭК №17 (почти как Балтика №9), который, распространяясь на все государевы информационные системы, должен и покрывать сайт как бык корову. Ан нет, и другие желающие найдутся. Во-первых, Минкомсвязь с его 149-м приказом от 27.06.2013. Новехонький такой приказ. Называется "Об утверждении Требований к технологическим, программным и лингвистическим средствам, необходимым для размещения информации государственными органами и органами местного самоуправления в сети "Интернет" в форме открытых данных, а также для обеспечения ее использования". И там есть, как ни странно, раздел по защите информации. Странно потому, что у Минкомсвязи свое понимание защиты информации. Оно неплохое и нехорошее, оно свое. И оно плохо сочетается с требованиями ФСТЭК и ФСБ.
А еще у Минкомсвязи есть приказ №104 от 25.08.2009. Называется он - "Об утверждении Требований по обеспечению целостности, устойчивости функционирования и безопасности информационных систем общего пользования" и разработан он в целях реализации пункта 2 постановления Правительства Российской Федерации от 18 мая 2009 года N 424 "Об особенностях подключения федеральных государственных систем к информационно-телекоммуникационным сетям". Парадокс, но во исполнении этого же Постановления (только пункта 3, посвященного защите информации) нашими традиционными регуляторами ФСТЭК и ФСБ на двоих разработан в 2010-м году совместный приказ от 31.08.2010 №416/489. Спрашивается и в чем разница между информационной безопасностью во 2-м пункте и защитой информацией в 3-м?..
А есть еще приказ Минэкономразвития (ну эти-то куда суются) №470 от 16.11.2009 "О Требованиях к технологическим, программным и лингвистическим средствам обеспечения пользования официальными сайтами федеральных органов исполнительной власти". И там... фанфары... тоже есть раздел про защиту информации. Вы думали это все? Нет, это еще не все..
Напоследок добавлю полено (или поленом) от ФСО, которая 07.08.2009 выпустила приказ №487 "Об утверждении Положения о сегменте информационно-телекоммуникационной сети "Интернет" для федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации". Если сайт размещается в этом сегменте, то будьте добры соответствовать еще и требованиям Федеральной службы охраны.
Стоп-стоп-стоп... Не все это, судари и сударыни. У нас же еще есть Верховный Главнокомандующий, который в 2008-м году разродился указом 351-м от 17-го марта "О мерах по обеспечению информационной безопасности российской федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена". В нем тоже немало про возможность передачи государственной информационной собственности по сети Интернет и особенно за пределы Российской Федерации, а точнее про запрет такой передачи (это в Интернет-то).
Ну теперь-то все? Похоже, что да. С требованиями по защите все, исключая, быть может, ФСБшные требования по защите персональных данных. Но они пока не вышли. Подытожим. У нас есть 7 нормативных актов, устанавливающих разные требования по защите информации к сайтам государственных органов, размещаемых в сети Интернет. Авторами этих нормативных актов являются 5 органов государственной власти (ФСТЭК, ФСБ, Минкомсвязь, Минэкономразвития и ФСО) и один Президент. Немного ли для одного простенького сайта?
Может все-таки вернуться к идее единого госоргана по вопросам информационной безопасности? Не такая уж и глупая идея...
Как обычно у нас, семь нянек, а дитя в "противозачаточном" состоянии.
ОтветитьУдалитьА хоть в одном из этих законов есть про SDLC, пентест, анализ кода и тп? Или опять все "зашищено" на бумаге должно быть?
ОтветитьУдалитьВидимо все как обычно ...
Зато у нас есть единый орган по контролю за оборотом наркотиков. Хоть в этой сфере всё здорово, правда?
ОтветитьУдалить