ФСТЭК не доверяют?

ФСТЭК не доверяют?
13 октября 2010 года в Министерстве юстиции под номером 18704 был зарегистрирован прелюбопытнейший документ  - приказ ФСБ РФ и Федеральной службы по техническому и экспортному контролю от 31 августа 2010 г. N 416/489 "Об утверждении Требований о защите информации, содержащейся в информационных системах общего пользования". Требования Приказа распространяются на федеральные государственные информационные системы, созданные или используемые в целях реализации полномочий федеральных органов исполнительной власти и содержащие сведения о деятельности Правительства Российской Федерации и федеральных органов исполнительной власти, обязательные для размещения в информационно-телекоммуникационной сети Интернет. Как всегда, не обошлось без терминологической неразберихи. Так, Andrey_CM отмечает , что, согласно 149-ФЗ, существуют государственные информационные системы (федеральные информационные системы и региональные информационные системы, созданные на основании соответственно федеральных законов, законов субъектов Российской Федерации, на основании правовых актов государственных органов) и муниципальные информационные системы (созданные на основании решения органа местного самоуправления), Приказ же распространяется на федеральные государственные информационные системы, и такой "синтез" не совсем понятен. Кроме того, Приказ является обязательным для операторов информационных систем общего пользования при их разработке и эксплуатации информационных, однако расшифровка термина "оператор ИСОП" в нем отсутствует, поэтому приходится только догадываться, о ком же идет речь. В целом, подход стандартный: конфиденциальность, целостность, доступность, антивирусы, обнаружение атак, запись и хранение сетевого трафика, разграничение и контроль доступа, МЭ, криптография, ТСО, видеонаблюдение, резервное копирование, гарантированное питание. Однако есть и интересные моменты. Первое, что стоит отметить, это пункт 4 документа: "информация, содержащаяся в информационной системе общего пользования, является общедоступной". Стало быть, любые персональные данные, размещаемые в таких системах, (например, информация о доходах чиновников и их родственниках), являются общедоступными. Документ предусматривает разделение ИСОП на 2 класса, самый критичный (первый класс) ИСОП - нарушение целостности и доступности информации в которых может привести к угрозе безопасности страны. Сам по себе факт признания госрегуляторами того, что не только нарушение свойств конфиденциальности информации, но и ее целостности и доступности, способно привести к угрозе безопасности страны, вызывает удивление. Но есть более интересный тренд. Все (!) технические средства защиты, используемые в системах 1 класса, должны иметь сертификат ФСБ. Повторюсь - не только криптография, а ВСЕ - включая антивирусы, межсетевые экраны и средства обнаружения атак. Сертифицированные ФСТЭК средства защиты могут использоваться только во 2 классе ИСОП (те, что не попали в 1 класс), да и то с приставкой ИЛИ: дословно - "сертифицированные ФСБ России и (или) ФСТЭК России с учетом их компетенции". До сих пор компетенции по сертификации средств защиты информации были четко поделены между ФСТЭК и ФСБ. Не означает ли появление этого документа начала передела сфер влияния между государственными регуляторами?
защита информации фсб фстэк
Alt text