Есть такое Постановление Правительства под номером 676 от 6 июля 2015 года. Устанавливает оно требования к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации. И до недавнего времени это Постановление никоим образом не касалось вопросов защиты информации. Минкомсвязь, инициировавший данное Постановление, жил в своем ИТ-мире и никак не пересекался с миром ИБ, в котором правили ФСТЭК с ФСБ со своими нормативными актами. Но в конце 2015-го года Президент поручил множеству разных министерств и ведомств усовершенствовать защиту информации в Российской Федерации и, в частности, в государственных органах. А тут еще в Минкомсвязь нагрянул новый заместитель министра, г-н Соколов, который стал курировать вопросы информационной безопасности. И произошло чудо... Позиции Минкомсвязи и ИБ-регуляторов стали сближаться.
Сначала ФСТЭК приняла поправки в 17-й приказ, которые синхронизировали порядок создания государственных информационных систем, установленный в ПП-676, с требованиями по ИБ 17-го приказа. А 11-го мая Правительство приняло инициированное Минкомсвязью Постановление Правительства №555 "О внесении изменений в требования к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации", которое целиком и полностью посвящено вопросам защиты информации.
Документ, вступающий в силу 23-го мая, обязал органы исполнительной власти во всех мероприятиях, связанных с ГИС, учитывать требования ФСТЭК и ФСБ по защите информации. Но самое главное, что по этому Постановлению требуется согласовывать модели угроз и ТЗ на созданию/модернизацию ГИС с ФСТЭК и ФСБ, должностные лица которых должны утверждать эти документы. Вот такой сюрприз! Причем для всех - и для пользователей ГИС, и для регуляторов.
Смею предположить, что ни ФСТЭК, ни ФСБ не имели отношения к данной норме, так как еще совсем недавно, когда я обсуждал этот вопрос с ними, они прямо говорили, что массовое утверждение модели угроз не входит в их компетенцию и у них нет ресурсов делать это для каждого госоргана, который к ним обращается. Поэтому они делали это в исключительных случаях, для значимых информационных систем. И тут вот такой поворот. Как из него будут выкручиваться, пока сложно сказать. Ведь методику моделирования угроз ФСТЭК не приняла до сих пор (с ФСБ ситуация чуть проще - у них зона ответственности меньше). И что делать законопослушным госорганам, которые с 23-го мая будут вынуждены отправлять свои модели угроз в ФСТЭК и ФСБ?
При этом, новое ПП-555 также фиксирует, что ГИС не может быть введена в эксплуатацию без:
Сначала ФСТЭК приняла поправки в 17-й приказ, которые синхронизировали порядок создания государственных информационных систем, установленный в ПП-676, с требованиями по ИБ 17-го приказа. А 11-го мая Правительство приняло инициированное Минкомсвязью Постановление Правительства №555 "О внесении изменений в требования к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации", которое целиком и полностью посвящено вопросам защиты информации.
Документ, вступающий в силу 23-го мая, обязал органы исполнительной власти во всех мероприятиях, связанных с ГИС, учитывать требования ФСТЭК и ФСБ по защите информации. Но самое главное, что по этому Постановлению требуется согласовывать модели угроз и ТЗ на созданию/модернизацию ГИС с ФСТЭК и ФСБ, должностные лица которых должны утверждать эти документы. Вот такой сюрприз! Причем для всех - и для пользователей ГИС, и для регуляторов.
Смею предположить, что ни ФСТЭК, ни ФСБ не имели отношения к данной норме, так как еще совсем недавно, когда я обсуждал этот вопрос с ними, они прямо говорили, что массовое утверждение модели угроз не входит в их компетенцию и у них нет ресурсов делать это для каждого госоргана, который к ним обращается. Поэтому они делали это в исключительных случаях, для значимых информационных систем. И тут вот такой поворот. Как из него будут выкручиваться, пока сложно сказать. Ведь методику моделирования угроз ФСТЭК не приняла до сих пор (с ФСБ ситуация чуть проще - у них зона ответственности меньше). И что делать законопослушным госорганам, которые с 23-го мая будут вынуждены отправлять свои модели угроз в ФСТЭК и ФСБ?
При этом, новое ПП-555 также фиксирует, что ГИС не может быть введена в эксплуатацию без:
- выполнения требований ФСТЭК и ФСБ, включая отсутствие соответствующего аттестата,
- записи в реестре о местонахождении элементов ГИС (они не могут находиться за пределами РФ),
- устранения нарушений, выявленных в рамках контроля и надзора за вводом в эксплуатацию отдельных ГИС,
- оформления прав на использование ее компонентов, являющихся объектами интеллектуальной собственности.
В ФСБ направлять свои модели угроз надо сразу в центральный аппарат - терорганы не занимаются этими вопросами. По ФСТЭК возможно и удастся распределить эту нагрузку между управлениями по федеральным округам, но встанет вопрос компетенций и временных затрат на такие согласования. Если же ФСТЭК тоже будет всех заворачивать в Москву, во 2-е Управление, то оно просто "умрет" под ворохом таких запросов и на выработку других документов (новых РД, методичек, новых приказов) сил у них уже не останется - все погрязнет в рутине.
Пока вопросов больше, чем ответов. Совершенствование защиты информации - это, конечно, хорошо и полезно, но вот так вот "менять коней на переправе"?.. Если же перейти из плоскости теоретической в практическую, то могу порекомендовать начать работу над моделью угроз (если у вас ее еще нет) с сервиса, созданного Булатом Шамсутдиновым - www.threat-model.com.
Как и положено сервис базируется на банке данных угроз ФСТЭК, а в качестве методологии взят за основу последний публичный проект методики ФСТЭК, выложенный на сайте регулятора. На самом деле с того момента этот проект был сильно переработан, но как точка отсчета этот бесплатный сервис, созданный Булатом, подходит как нельзя лучше. Удачи!
Как и положено сервис базируется на банке данных угроз ФСТЭК, а в качестве методологии взят за основу последний публичный проект методики ФСТЭК, выложенный на сайте регулятора. На самом деле с того момента этот проект был сильно переработан, но как точка отсчета этот бесплатный сервис, созданный Булатом, подходит как нельзя лучше. Удачи!
16 коммент.:
Алексей, здравствуйте!
Подскажите, пожалуйста - по Вашему мнению - указанные требования не распространяются на муниципальные информационные системы?
Согласно 149-ФЗ:
Статья 13. Информационные системы
1. Информационные системы включают в себя:
1) государственные информационные системы - федеральные информационные системы и региональные информационные системы, созданные на основании соответственно федеральных законов, законов субъектов Российской Федерации, на основании правовых актов государственных органов;
2) муниципальные информационные системы, созданные на основании решения органа местного самоуправления;
3) иные информационные системы.
Нет. ПП-555 только на ГИС распространяется; не на МИС
В соответствии с п.12 статьи 1 законопроекта № 416052-6 "О внесении изменений в Федеральный закон "О персональных данных"...", получается, что вообще все операторы ПД будут согласовывать свои модели угроз с ФСБ и ФСТЭК?
Нет. Там имеется ввиду, что оператор МОЖЕТ разработать свою модель угроз. Сейчас он по закону не может этого делать
Мне кажется, что многие захотят согласовать свою модель угроз с регуляторами, чтобы иметь официальный документ на руках. И вот тогда регуляторы действительно захлебнуться в бумаге.
Так как регуляторы не обязаны, то они будут посылать всех операторов, исключая госы
В тексте законопроекта написано, что "Указанные локальные акты подлежат согласованию с ФОИВами...". Интересно будет узнать мотивировку отказов.
Начинать надо сначала статьи. Там написано, что "операторы вправе", то есть они могут и не согласовывать. К тому же, эту статью мы писали в 13-м году. Сейчас я бы поменял текстовку
Если бы я хотел подстраховаться от претензий регуляторов, то я бы этим правом воспользовался. Остаётся ждать дальнейшей судьбы этого законопроекта.
У регуляторов не может быть претензий - они не имеют права проверять коммерческих операторов ПДн
Ну теоретически то решением Правительства Российской Федерации могут быть наделены соответствующими полномочиями
"Техническое задание на создание системы и модель угроз безопасности информации утверждаются должностным лицом органа исполнительной власти, на которое возложены соответствующие полномочия"
Откуда следует, что этот орган - ФСТЭК или ФСБ? Почему вы решили, что представители ФСБ и ФСТЭК должны утверждать модели угроз?
Из ПП-555
а нужно ли согласовывать модель угроз информационной системы, которая давно введена в эксплуатацию и уже имеет аттестат?
Подскажите пожалуйста it-шнику на хлипкие плечи которого взгромоздили защиту персональных данных
Модель угроз пытался согласовать с 8 центром ФСБ, на что получил ответ:
"В соответсвии с ч. 7 ст.19 Федерального Закона №152, с федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, подлежат согласованию только проекты нормативно-правовых актов, указанных в ч.5 ст. 19 Закона 152
Это какой НПА нужно сочитнить на основании модели угроз, дабы его согласовать с ФСБ?
Модели угроз на информационные системы персональных данных, не являющиеся государственными информационными системами - согласованию со ФСТЭК и ФСБ России не подлежат.
ФСБ в своем ответе имели ввиду проект НПА об утверждении перечня актуальных угроз ПДн (например: http://docs.cntd.ru/document/555604172)
Отправить комментарий