22 Июля, 2014

Насколько легитимен Приказ ФСТЭК №17?

Andrey Prozorov
Сегодня в очередной раз перечитывал различные ФЗ, Постановления Правительства РФ и Прикзы ФСТЭК. И посетила меня одна мысль, которую не мог не проверить...


Смотрите, как интересно получается:

Шаг 1. 149-ФЗ определяет базовый термин "государственная информационная система" (далее - Гос.ИС). Давайте попробуем найти требования, которые предъявляются к Гос.ИС, а точнее к ее защите.

Шаг 2. Первое, что мне бросилось в глаза:
Правительство Российской Федерации вправе устанавливать требования к порядку создания и ввода в эксплуатацию отдельных государственных информационных систем.
Обратите внимание, что Правительство РФ всего лишь "вправе"... Хм, уже интересно. Напомню, что про ПДн было вполне конкретно прописано, что оно "устанавливает требования к защите". Ладно, смотрим дальше:
Технические средства, предназначенные для обработки информации, содержащейся в государственных информационных системах, в том числе программно-технические средства и средства защиты информации, должны соответствовать требованиям законодательства Российской Федерации о техническом регулировании.
По сути, это отсыл к 184-ФЗ "О техническом регулировании", он нам не интересен.

Шаг 3. Далее находим отсыл к ФСБ России и ФСТЭК России:
Требования о защите информации, содержащейся в государственных информационных системах, устанавливаются федеральным органом исполнительной власти в области обеспечения безопасности и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий. При создании и эксплуатации государственных информационных систем используемые в целях защиты информации методы и способы ее защиты должны соответствовать указанным требованиям.
Вот тут бы и закончить, вспомнив про Приказ 17, который и говорит про эти требования, но пытливый ум решил копнуть чуть глубже...

Шаг 4.Смотрим Положение о ФСТЭК России, а точнее функции ведомства. Их не много:
1) Обеспечение безопасности (некриптографическими методами) информации в системах информационной и телекоммуникационной инфраструктуры, оказывающих существенное влияние на безопасность государства в информационной сфере (далее - ключевые системы информационной инфраструктуры), в том числе в функционирующих в составе критически важных объектов Российской Федерации информационных системах и телекоммуникационных сетях, деструктивные информационные воздействия на которые могут привести к значительным негативным последствиям (далее - безопасность информации в ключевых системах информационной инфраструктуры).
2) Противодействие иностранным техническим разведкам на территории Российской Федерации (далее - противодействие техническим разведкам).
3) Обеспечение защиты (некриптографическими методами) информации, содержащей сведения, составляющие государственную тайну, иной информации с ограниченным доступом, предотвращение ее утечки по техническим каналам, несанкционированного доступа к ней, специальных воздействий на информацию (носители информации) в целях ее добывания, уничтожения, искажения и блокирования доступа к ней на территории Российской Федерации (далее - техническая защита информации).
4) Защита информации при разработке, производстве, эксплуатации и утилизации неинформационных излучающих комплексов, систем и устройств.
5) Осуществление экспортного контроля.

Обращу внимание, что в явном виде про защиту Гос,ИС ни чего не сказано ни тут, ни далее в документе. 

Ну, попробуем "притянуть за уши", ведь если мы этого не сделаем, то у ФСТЭК России не будет полномочий по защите Гос.ИС, а значит они не смогут выполнить положение 149-ФЗ про требования к защите, которое я упомянул выше. А это в свою очередь приведет нас к проблеме легитимности Приказа №17. Т.е. если у ФСТЭК России нет полномочий на издание такого такого документа, то Операторы Гос.ИС формально могут его рассматривать его не как "требования", а лишь в качестве "рекомендаций".

Шаг 5. Защиту Гос.ИС можно "подвести" либо под "обеспечение безопасности ключевых систем информационной инфраструктуры" (п.1), либо под "обеспечение защиты (некриптографическими методами) ... иной информации с ограниченным доступом" (п.3). Остальные пункты скорее не про Гос.ИС.

Я вполне допускаю, что некоторые Гос.ИС вполне могут быть и "ключевыми системами", критерии отнесения к ним определены, на мой взгляд, не очень конкретно и не являются общедоступными, как и перечень "ключевых систем". Но нам важно другое, что вполне себе могут существовать Гос.ИС НЕ ЯВЛЯЮЩИЕСЯ "ключевыми системами".

Аналогично существуют и Гос.ИС, в которых НЕ ОБРАБАТЫВАЕТСЯинформация ограниченного доступа. Это легко проверить: заходим в описание некоторых (выборочно) систем из официального перечня и смотрим пункт "Сведения о наличии (отсутствии) в ФГИС сведений, отнесенных в соответствии с законодательством РФ к информации ограниченного доступа". Для некоторых Гос.ИС в данном пункте написано "Без ограничений" (т.е. не обрабатывается информация ограниченного доступа). Бинго!!!

Попробуем сделать вывод

Таким образом, у нас в РФ вполне могут быть Гос.ИС, которые не подпадают под контроль и другие функции ФСТЭК России... А значит и Приказ №17 вполне может не являться обязательным для некоторых операторов Гос.ИС (чьи ИС не являются "ключевыми" и не обрабатывают информацию ограниченного доступа). 

И не говорит ли это о том, что и, в принципе. весь Приказ №17 тогда носит лишь рекомендательный характер? :))))


Вот такое вот рассуждение, вывод и дополнительный вопрос. Как считаете, корректны ли они? Может где-то есть ошибка/недочет! Напишите об этом в комментарии.