СКЗИ в ГИС. Проект приказа ФСБ.

   Обсудим проект приказа ФСБ России "Об утверждении Требований о защите информации, содержащейся в государственных информационных системах, с использованием средств криптографической защиты информации"  https://regulation.gov.ru/projects?fbclid=IwAR0BTUKGRlUtwnVGnm0mgi8E6aKPWyhiCvzN7TgEeciyTRugnQjbhri1-DY#npa=110754

  Общественное обсуждение продлится до 7 декабря 2020 года, призываю активно участвовать.

  Чем важен этот приказ для операторов ГИС? 

"2. Настоящий приказ вступает в силу по истечении шести месяцев со дня его официального опубликования."

   Очень похоже на то, что для всех СКЗИ, используемых в ГИС, потребуется проводить определение класса СКЗИ по новым требованиям. И на это дается полгода, а потом проверка и штраф по ст.13.12 КоАП.

   Собственно сам проект приказа примечателен продолжением традиции по "зоопарку" терминов в ИБ.

   1. Есть привычный и много лет применяемый приказ ФСТЭК от 11 февраля 2013 г. N 17 "ОБ УТВЕРЖДЕНИИ ТРЕБОВАНИЙ О ЗАЩИТЕ ИНФОРМАЦИИ, НЕ СОСТАВЛЯЮЩЕЙ ГОСУДАРСТВЕННУЮ ТАЙНУ, СОДЕРЖАЩЕЙСЯ В ГОСУДАРСТВЕННЫХ ИНФОРМАЦИОННЫХ СИСТЕМАХ", в котором есть Приложение № 1."Определение класса защищенности информационной системы"

Сравним определения из действующего приказа ФСТЭК и проекта приказа ФСБ

ФСТЭК - Сегмент информационной системы— совокупность нескольких компонентов информационной системы, использующих общую (в том числе разделяемую) среду передачи и объединенных для единства решения функциональных задач.

ФСБ - Класс СКЗИ, подлежащих использованию для защиты информации, содержащейся в ГИС, определяется для каждой составной части ГИС, предназначенной для решения задач ГИС в пределах определенной территории или объекта (объектов) (далее – сегмент ГИС).  

    У ФСБ явно прописано, что сегмент ГИС определяется через территориальную отделенность частей ГИС. У ФСТЭК только решаемым функционалом. 

ФСТЭК - федеральный масштаб, если она функционирует на территории Российской Федерации (в пределах федерального округа) и имеет сегменты в субъектах Российской Федерации, муниципальных образованиях и (или) организациях.

 ФСБ  - федеральный масштаб, если она предназначена для решения задач ГИС на всей территории Российской Федерации или в пределах двух и более субъектов Российской Федерации

ФСТЭК - региональный масштаб, если она функционирует на территории субъекта Российской Федерации и имеет сегменты в одном или нескольких муниципальных образованиях и (или) подведомственных и иных организациях

ФСБ - региональный масштаб, если она предназначена для решения задач ГИС в пределах одного субъекта Российской Федерации.

ФСТЭК - объектовый масштаб, если она функционирует на объектах одного федерального органа государственной власти, органа государственной власти субъекта Российской Федерации, муниципального образования и (или) организации и не имеет сегментов в территориальных органах, представительствах, филиалах, подведомственных и иных организациях.

ФСБ - объектовый масштаб, если она предназначена для решения задач ГИС в пределах объекта (объектов) одного государственного органа, муниципального образования и (или) организации.

   Уровни значимости информации определяются одинаково. 

  Вопрос: зачем нужно вводить это разнообразие определений? Комиссия теперь должна определять масштаб ГИС по ФСТЭК для категорирования ГИС и масштаб ГИС по ФСБ для определения класса СКЗИ в этой ГИС? Что мешает просто сделать таблицу соответствия класса СКЗИ классам ГИС? И сегментация ГИС в проектных решениях по ФСТЭК и по ФСБ?

    2. Проект приказа содержит избыточный текст в п.18-п.20. Особенно п.20, в котором абзац "Правило, указанное в абзаце первом настоящего пункта, применяется, если для защиты информации, содержащейся в ГИС (сегменте ГИС), в соответствии с таблицей, приведенной в приложении к настоящим Требованиям, необходимо использовать СКЗИ класса КС1, КС2 или КС3." просто не нужен, так как он не несет никакого практического смысла. При таком нарушителе используй класс СКЗИ -КВ и точка. (см.п.21 проекта Приказа).

    3. Пункты 16 и 17 написаны очень странно. Особенно п.17

17. Класс СКЗИ, подлежащих использованию для защиты информации во взаимодействующих между собой сегментах одной ГИС, определяется не ниже наименьшего класса СКЗИ, используемого для защиты информации в таких сегментах ГИС. 

   Я в каждом сегменте уже определил классы СКЗИ по требованиям приказа, откуда у меня появится класс СКЗИ " ниже наименьшего" для взаимодействующих сегментов?

   Такое ощущение, что речь идет об использовании СКЗИ для организации защищенного канала связи между сегментами ГИС при их взаимодействии, а не для защиты информации в самих взаимодействующих сегментах.

   4. Несколько удивляет "Таблица определения класса СКЗИ, подлежащих использованию для защиты информации, содержащейся в ГИС (сегменте ГИС)" в части регионального уровня: отсутствует КС2. Вполне возможно, что это обоснованно. Но как то странно.

 * Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.