Редакция CNews готова принять пресс-релизы компаний на адрес news@cnews.ru.
Приглашаем вас делиться комментариями о материалах CNews на наших страницах платформ Facebook, Telegram и Twitter.
23 ноября 2020 на общественное обсуждение был выложен проект приказа ФСБ России"Об утверждении Требований о защите информации, содержащейся в государственных информационных системах, с использованием средств криптографической защиты информации".
7 декабря закончились обсуждения и вряд ли предвидятся серьезные изменения данного документа. У Валерия Комарова видел замечания только к терминологии и мелочам.
Я подготовил для вас видео обзор основных положений данного документа:
Но здесь хочу обсудить несколько моментов которые не попали в видео:
· В пункте 5 приказа ФСБ России №378 говорится об использовании использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации, но в пунктах 18, 21, 26 говорится о том, что для выполнения этого требования необходимо использовать СКЗИ класса КС1 и выше (то есть сертифицированные).
· Хотя явных требований к оценке влияния среды функционирования не было в самом приказе №378, по эти требования были прописаны в документации на все СКЗИ, поэтому нельзя сказать что в новом приказе появились эти новые требования – скорее они теперь дублируются.
· Ранее в ответах ФСБ России на вопросы по применению криптографии в ИСПДн получал аналогичную информацию о возможности определения угроз/нарушителей/класса СКЗИ для отдельных сегментов системы.
· Сравнение правил выбора классов лишний раз показывает, что для ИСПДн были установлены слишком суровые классы криптозащиты. Фактически операторы случайно определившие у себя угрозы 1 и 2 типа автоматически ставили крест на своих ИСПДн. Для ГИС-ов минимальные классы сделали помягче.
· Очевидно, что требование использовать максимальный класс СКЗИ при взаимодействии двух ИС приведет к тому, что когда все ИС будут соединены хотя бы в дерево (СМЭВ, ЕСИА, ЕБС, другие шины), то во всех таких системах должен будет применяться максимальный класс КА (при наличие хотя бы одной системы с КА).
· Уже 6 лет прошло с момента утверждения приказа ФСБ России №378. Хорошо бы его привести к единому виду с новым приказом, для избежания двойных/несогласованных требований в случае когда ГИС – ИСПДн
Источник: https://sborisov.blogspot.com/2020/12/blog-post.html
Поделиться
Редакция CNews готова принять пресс-релизы компаний на адрес news@cnews.ru.
Приглашаем вас делиться комментариями о материалах CNews на наших страницах платформ Facebook, Telegram и Twitter.