Главная » Блоги Экспертов И ИТ-Компаний » СОИБ. Анализ. Государственные информационные системы и информационные системы критически важных объектов

СОИБ. Анализ. Государственные информационные системы и информационные системы критически важных объектов

По материалам блога http://sborisov.blogspot.com/2012/07/blog-post_16.html

 

13 июля ФСТЭК России опубликовал на своем сайте Проект федерального закона "О внесении изменений в Федеральный закон 149-ФЗ "Об информации, информационных технологиях и о защите информации"

 

Планируется придать 2 новых толчка обеспечению ИБ (в дополнение к активно развивающейся защите персональных данных и платежных систем):

·        Защита информации в государственных информационных системах (ГИС)

·        Защита информации в информационных системах критически важных объектов (ИСКВО)

 

1.           В направлении защиты ГИС добавляются следующие требования к необходимым мероприятиям:

·        анализ уязвимостей и угроз (типа аудита ИБ)

·        разработка и реализация системы защиты информации  (типа проектирования СЗИ)

·        оценка соответствия системы защиты информации  (типа аттестации)  

·        применение средств защиты информации прошедших процедуру оценку соответствия (типа сертификации)

·        назначение ответственных за ЗИ

·        разработка политики обеспечения ЗИ

·        анализ и реагирование на инциденты ИБ

·        резервирование

·        контроль выполнения требований

Требования должны выполняться на всех стадиях создания и эксплуатации систем. То есть владельцы уже действующих систем обязаны будут выполнять мероприятия.

Детализацию требований устанавливает ФСТЭК Р и ФСБ Р. (Частично требования для защиты информации в ГИС уже есть  - см. ниже., но можно ожидать дополнительных документов)

 

Защита информации в ГИС детализируется также следующими нормативными актами:

 

·        Указ Президента Российской Федерации от 17 марта 2008 года N 351 «О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена»

 

(подключение ГИС к сети интернет через шлюзы,  сертификация, оценка соответствия СрЗИ)

 

·        Постановление Правительства Российской Федерации от 18 мая 2009 г. N 424 "Об особенностях подключения федеральных государственных информационных систем к информационно-телекоммуникационным сетям”

 

(защита от НСД, от DDoS, обеспечение непрерывности, оценка соответствия СрЗИ)

·        Приказ Федеральной службы безопасности Российской Федерации, Федеральной службы по техническому и экспортному контролю от 31 августа 2010 г. N 416/489 "Об утверждении Требований о защите информации, содержащейся в информационных системах общего пользования"

·        Приказ ФСТЭК России от 6 декабря 2011 г. N 638  “Об утверждении Требования к системам обнаружения вторжений”

(ГИС – СОВ 4 класса защиты)

·        Приказ Минкомсвязи от 25 августа 2009 г. N 104 "Об утверждении Требований по обеспечению целостности, устойчивости функционирования и безопасности информационных систем общего пользования"

(Межсетевые экраны, ИБП, резервирование и т.п. по аналогии с двойственным приказом ФСБ/ФСТЭК 416/489)

·        Приказ Минкомсвязи "Об утверждении Требований к информационным системам электронного документооборота федеральных органов исполнительной власти, учитывающих, в том числе необходимость обработки посредством данных систем служебной информации ограниченного распространения"

 

 

Проблема 1. Непонятно, легитимны ли требования по ЗИ из 2-х приказов Минкомсвязи? Так как в 149-ФЗ утверждено, что требования к ЗИ в ГИС устанавливают ФСБ Р и ФСТЭК Р.

Часть требований по ЗИ в ГИС устанавливается так-же в постановлениях правительства РФ, касающихся данного типа ГИС. Например, система территориального планирования. В требованиях к которой напрямую говорится о сертификатах СрЗИ.

 

 

2.           В направлении защиты ИСКВО предъявляются только следующие требования:

·        защита от НСД

·        защита и резервирование технических средств

·        реагирование на инциденты

·        обеспечение непрерывности ИСКВО

Требования должны выполняться на всех стадиях создания и эксплуатации систем. То есть владельцы уже действующих систем обязаны будут выполнять мероприятия.

Порядок классификации устанавливает Правительство РФ.  (этот документ будем ждать)

Детализацию требований устанавливает ФСТЭК Р и ФСБ Р. (уже есть серия документов ФСТЭК от 18 мая 2007 года по КСИИ: базовая модель угроз, методика определения актуальных угроз и общие требования по обеспечению ИБ в КСИИ. Но они не опубликованы. Так что можно ожидать нового комплекта документов)

 


Проблема 2. В федеральном законе нет определения критически важного объекта. Да, определение есть в документе Совета безопасности, но какую он имеет силу. А определения информационной системы критически важного объекта нет ни в нем ни в 149-ФЗ. А вопрос важный. К каким из сотни информационных систем на объекте относятся данные требования?

 

Заметка по этой теме у Лукацкого


Данный материал является частной записью члена сообщества Club.CNews.
Редакция CNews не несет ответственности за его содержание.
Комментарии
Другие публикации
RU, Краснодар
https://docshell.ru/, https://docshell.ru/
Информационные технологии



Забыл пароль?
Авторизоваться через
Зарегистрируйся сейчас!
Присоединяйся к нашему обществу для того чтобы познакомиться с новыми людьми, создать собственный блог, публиковать анонсы событий и объявления, а также участвовать в обсуждении публикаций CNews. Мы создали единое пространство для общения специалистов рынка информационных технологий и всех, кто интересуется современными технологиями. Регистрация =>