Обсудим проект приказа ФСБ России "Об утверждении Требований о защите информации, содержащейся в государственных информационных системах, с использованием средств криптографической защиты информации" https://regulation.gov.ru/projects?fbclid=IwAR0BTUKGRlUtwnVGnm0mgi8E6aKPWyhiCvzN7TgEeciyTRugnQjbhri1-DY#npa=110754
Общественное обсуждение продлится до 7 декабря 2020 года, призываю активно участвовать.
name='more'>Чем важен этот приказ для операторов ГИС?
"2. Настоящий приказ вступает в силу по истечении шести месяцев со дня его официального опубликования."
Очень похоже на то, что для всех СКЗИ, используемых в ГИС, потребуется проводить определение класса СКЗИ по новым требованиям. И на это дается полгода, а потом проверка и штраф по ст.13.12 КоАП.
Собственно сам проект приказа примечателен продолжением традиции по "зоопарку" терминов в ИБ.
1. Есть привычный и много лет применяемый приказ ФСТЭК от 11 февраля 2013 г. N 17 "ОБ УТВЕРЖДЕНИИ ТРЕБОВАНИЙ О ЗАЩИТЕ ИНФОРМАЦИИ, НЕ СОСТАВЛЯЮЩЕЙ ГОСУДАРСТВЕННУЮ ТАЙНУ, СОДЕРЖАЩЕЙСЯ В ГОСУДАРСТВЕННЫХ ИНФОРМАЦИОННЫХ СИСТЕМАХ", в котором есть Приложение № 1."Определение класса защищенности информационной системы"
Сравним определения из действующего приказа ФСТЭК и проекта приказа ФСБ
ФСТЭК - Сегмент информационной системы— совокупность нескольких компонентов информационной системы, использующих общую (в том числе разделяемую) среду передачи и объединенных для единства решения функциональных задач.
ФСБ - Класс СКЗИ, подлежащих использованию для защиты информации, содержащейся в ГИС, определяется для каждой составной части ГИС, предназначенной для решения задач ГИС в пределах определенной территории или объекта (объектов) (далее – сегмент ГИС).
У ФСБ явно прописано, что сегмент ГИС определяется через территориальную отделенность частей ГИС. У ФСТЭК только решаемым функционалом.
ФСТЭК - федеральный масштаб, если она функционирует на территории Российской Федерации (в пределах федерального округа) и имеет сегменты в субъектах Российской Федерации, муниципальных образованиях и (или) организациях.
ФСБ - федеральный масштаб, если она предназначена для решения задач ГИС на всей территории Российской Федерации или в пределах двух и более субъектов Российской Федерации
ФСТЭК - региональный масштаб, если она функционирует на территории субъекта Российской Федерации и имеет сегменты в одном или нескольких муниципальных образованиях и (или) подведомственных и иных организациях
ФСБ - региональный масштаб, если она предназначена для решения задач ГИС в пределах одного субъекта Российской Федерации.
ФСТЭК - объектовый масштаб, если она функционирует на объектах одного федерального органа государственной власти, органа государственной власти субъекта Российской Федерации, муниципального образования и (или) организации и не имеет сегментов в территориальных органах, представительствах, филиалах, подведомственных и иных организациях.
ФСБ - объектовый масштаб, если она предназначена для решения задач ГИС в пределах объекта (объектов) одного государственного органа, муниципального образования и (или) организации.
Уровни значимости информации определяются одинаково.
Вопрос: зачем нужно вводить это разнообразие определений? Комиссия теперь должна определять масштаб ГИС по ФСТЭК для категорирования ГИС и масштаб ГИС по ФСБ для определения класса СКЗИ в этой ГИС? Что мешает просто сделать таблицу соответствия класса СКЗИ классам ГИС? И сегментация ГИС в проектных решениях по ФСТЭК и по ФСБ?
2. Проект приказа содержит избыточный текст в п.18-п.20. Особенно п.20, в котором абзац "Правило, указанное в абзаце первом настоящего пункта, применяется, если для защиты информации, содержащейся в ГИС (сегменте ГИС), в соответствии с таблицей, приведенной в приложении к настоящим Требованиям, необходимо использовать СКЗИ класса КС1, КС2 или КС3." просто не нужен, так как он не несет никакого практического смысла. При таком нарушителе используй класс СКЗИ -КВ и точка. (см.п.21 проекта Приказа).
3. Пункты 16 и 17 написаны очень странно. Особенно п.17
17. Класс СКЗИ, подлежащих использованию для защиты информации во взаимодействующих между собой сегментах одной ГИС, определяется не ниже наименьшего класса СКЗИ, используемого для защиты информации в таких сегментах ГИС.
Я в каждом сегменте уже определил классы СКЗИ по требованиям приказа, откуда у меня появится класс СКЗИ " ниже наименьшего" для взаимодействующих сегментов?
Такое ощущение, что речь идет об использовании СКЗИ для организации защищенного канала связи между сегментами ГИС при их взаимодействии, а не для защиты информации в самих взаимодействующих сегментах.
4. Несколько удивляет "Таблица определения класса СКЗИ, подлежащих использованию для защиты информации, содержащейся в ГИС (сегменте ГИС)" в части регионального уровня: отсутствует КС2. Вполне возможно, что это обоснованно. Но как то странно.
* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.
*** YouTube - канал блога
**** Яндекс.Дзен https://zen.yandex.ru/id/5c7b7864fa818600ae3856a1
***** Публичный ТамТам-канал https://tt.me/blog_ruporsecurite