Pages - Menu

Страницы

18.5.17

Обязательное согласование моделей угроз и ТЗ для ГИС (обзор ПП-555)

Есть такое Постановление Правительства под номером 676 от 6 июля 2015 года. Устанавливает оно требования к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации. И до недавнего времени это Постановление никоим образом не касалось вопросов защиты информации. Минкомсвязь, инициировавший данное Постановление, жил в своем ИТ-мире и никак не пересекался с миром ИБ, в котором правили ФСТЭК с ФСБ со своими нормативными актами. Но в конце 2015-го года Президент поручил множеству разных министерств и ведомств усовершенствовать защиту информации в Российской Федерации и, в частности, в государственных органах. А тут еще в Минкомсвязь нагрянул новый заместитель министра, г-н Соколов, который стал курировать вопросы информационной безопасности. И произошло чудо... Позиции Минкомсвязи и ИБ-регуляторов стали сближаться.

Сначала ФСТЭК приняла поправки в 17-й приказ, которые синхронизировали порядок создания государственных информационных систем, установленный в ПП-676, с требованиями по ИБ 17-го приказа. А 11-го мая Правительство приняло инициированное Минкомсвязью Постановление Правительства №555 "О внесении изменений в требования к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации", которое целиком и полностью посвящено вопросам защиты информации.

Документ, вступающий в силу 23-го мая, обязал органы исполнительной власти во всех мероприятиях, связанных с ГИС, учитывать требования ФСТЭК и ФСБ по защите информации. Но самое главное, что по этому Постановлению требуется согласовывать модели угроз и ТЗ на созданию/модернизацию ГИС с ФСТЭК и ФСБ, должностные лица которых должны утверждать эти документы. Вот такой сюрприз! Причем для всех - и для пользователей ГИС, и для регуляторов.

Смею предположить, что ни ФСТЭК, ни ФСБ не имели отношения к данной норме, так как еще совсем недавно, когда я обсуждал этот вопрос с ними, они прямо говорили, что массовое утверждение модели угроз не входит в их компетенцию и у них нет ресурсов делать это для каждого госоргана, который к ним обращается. Поэтому они делали это в исключительных случаях, для значимых информационных систем. И тут вот такой поворот. Как из него будут выкручиваться, пока сложно сказать. Ведь методику моделирования угроз ФСТЭК не приняла до сих пор (с ФСБ ситуация чуть проще - у них зона ответственности меньше). И что делать законопослушным госорганам, которые с 23-го мая будут вынуждены отправлять свои модели угроз в ФСТЭК и ФСБ?

При этом, новое ПП-555 также фиксирует, что ГИС не может быть введена в эксплуатацию без:
  • выполнения требований ФСТЭК и ФСБ, включая отсутствие соответствующего аттестата,
  • записи в реестре о местонахождении элементов ГИС (они не могут находиться за пределами РФ),
  • устранения нарушений, выявленных в рамках контроля и надзора за вводом в эксплуатацию отдельных ГИС,
  • оформления прав на использование ее компонентов, являющихся объектами интеллектуальной собственности.
В ФСБ направлять свои модели угроз надо сразу в центральный аппарат - терорганы не занимаются этими вопросами. По ФСТЭК возможно и удастся распределить эту нагрузку между управлениями по федеральным округам, но встанет вопрос компетенций и временных затрат на такие согласования. Если же ФСТЭК тоже будет всех заворачивать в Москву, во 2-е Управление, то оно просто "умрет" под ворохом таких запросов и на выработку других документов (новых РД, методичек, новых приказов) сил у них уже не останется - все погрязнет в рутине.

Пока вопросов больше, чем ответов. Совершенствование защиты информации - это, конечно, хорошо и полезно, но вот так вот "менять коней на переправе"?.. Если же перейти из плоскости теоретической в практическую, то могу порекомендовать начать работу над моделью угроз (если у вас ее еще нет) с сервиса, созданного Булатом Шамсутдиновым - www.threat-model.com.


Как и положено сервис базируется на банке данных угроз ФСТЭК, а в качестве методологии взят за основу последний публичный проект методики ФСТЭК, выложенный на сайте регулятора. На самом деле с того момента этот проект был сильно переработан, но как точка отсчета этот бесплатный сервис, созданный Булатом, подходит как нельзя лучше. Удачи!

16 комментариев:

  1. Алексей, здравствуйте!

    Подскажите, пожалуйста - по Вашему мнению - указанные требования не распространяются на муниципальные информационные системы?
    Согласно 149-ФЗ:
    Статья 13. Информационные системы
    1. Информационные системы включают в себя:
    1) государственные информационные системы - федеральные информационные системы и региональные информационные системы, созданные на основании соответственно федеральных законов, законов субъектов Российской Федерации, на основании правовых актов государственных органов;
    2) муниципальные информационные системы, созданные на основании решения органа местного самоуправления;
    3) иные информационные системы.

    ОтветитьУдалить
  2. Нет. ПП-555 только на ГИС распространяется; не на МИС

    ОтветитьУдалить
  3. В соответствии с п.12 статьи 1 законопроекта № 416052-6 "О внесении изменений в Федеральный закон "О персональных данных"...", получается, что вообще все операторы ПД будут согласовывать свои модели угроз с ФСБ и ФСТЭК?

    ОтветитьУдалить
  4. Нет. Там имеется ввиду, что оператор МОЖЕТ разработать свою модель угроз. Сейчас он по закону не может этого делать

    ОтветитьУдалить
  5. Мне кажется, что многие захотят согласовать свою модель угроз с регуляторами, чтобы иметь официальный документ на руках. И вот тогда регуляторы действительно захлебнуться в бумаге.

    ОтветитьУдалить
  6. Так как регуляторы не обязаны, то они будут посылать всех операторов, исключая госы

    ОтветитьУдалить
  7. В тексте законопроекта написано, что "Указанные локальные акты подлежат согласованию с ФОИВами...". Интересно будет узнать мотивировку отказов.

    ОтветитьУдалить
  8. Начинать надо сначала статьи. Там написано, что "операторы вправе", то есть они могут и не согласовывать. К тому же, эту статью мы писали в 13-м году. Сейчас я бы поменял текстовку

    ОтветитьУдалить
  9. Если бы я хотел подстраховаться от претензий регуляторов, то я бы этим правом воспользовался. Остаётся ждать дальнейшей судьбы этого законопроекта.

    ОтветитьУдалить
  10. У регуляторов не может быть претензий - они не имеют права проверять коммерческих операторов ПДн

    ОтветитьУдалить
  11. Ну теоретически то решением Правительства Российской Федерации могут быть наделены соответствующими полномочиями

    ОтветитьУдалить
  12. "Техническое задание на создание системы и модель угроз безопасности информации утверждаются должностным лицом органа исполнительной власти, на которое возложены соответствующие полномочия"
    Откуда следует, что этот орган - ФСТЭК или ФСБ? Почему вы решили, что представители ФСБ и ФСТЭК должны утверждать модели угроз?

    ОтветитьУдалить
  13. а нужно ли согласовывать модель угроз информационной системы, которая давно введена в эксплуатацию и уже имеет аттестат?

    ОтветитьУдалить
  14. Подскажите пожалуйста it-шнику на хлипкие плечи которого взгромоздили защиту персональных данных
    Модель угроз пытался согласовать с 8 центром ФСБ, на что получил ответ:
    "В соответсвии с ч. 7 ст.19 Федерального Закона №152, с федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, подлежат согласованию только проекты нормативно-правовых актов, указанных в ч.5 ст. 19 Закона 152
    Это какой НПА нужно сочитнить на основании модели угроз, дабы его согласовать с ФСБ?

    ОтветитьУдалить
  15. Модели угроз на информационные системы персональных данных, не являющиеся государственными информационными системами - согласованию со ФСТЭК и ФСБ России не подлежат.
    ФСБ в своем ответе имели ввиду проект НПА об утверждении перечня актуальных угроз ПДн (например: http://docs.cntd.ru/document/555604172)

    ОтветитьУдалить

Примечание. Отправлять комментарии могут только участники этого блога.