Редакция CNews готова принять пресс-релизы компаний на адрес news@cnews.ru.
Приглашаем вас делиться комментариями о материалах CNews на наших страницах платформ Facebook, Telegram и Twitter.
По материалам блога http://sborisov.blogspot.com/2012/07/blog-post_16.html
13 июля ФСТЭК России опубликовал на своем сайте Проект федерального закона "О внесении изменений в Федеральный закон 149-ФЗ "Об информации, информационных технологиях и о защите информации"
Планируется придать 2 новых толчка обеспечению ИБ (в дополнение к активно развивающейся защите персональных данных и платежных систем):
· Защита информации в государственных информационных системах (ГИС)
· Защита информации в информационных системах критически важных объектов (ИСКВО)
1. В направлении защиты ГИС добавляются следующие требования к необходимым мероприятиям:
· анализ уязвимостей и угроз (типа аудита ИБ)
· разработка и реализация системы защиты информации (типа проектирования СЗИ)
· оценка соответствия системы защиты информации (типа аттестации)
· применение средств защиты информации прошедших процедуру оценку соответствия (типа сертификации)
· назначение ответственных за ЗИ
· разработка политики обеспечения ЗИ
· анализ и реагирование на инциденты ИБ
· резервирование
· контроль выполнения требований
Требования должны выполняться на всех стадиях создания и эксплуатации систем. То есть владельцы уже действующих систем обязаны будут выполнять мероприятия.
Детализацию требований устанавливает ФСТЭК Р и ФСБ Р. (Частично требования для защиты информации в ГИС уже есть - см. ниже., но можно ожидать дополнительных документов)
Защита информации в ГИС детализируется также следующими нормативными актами:
· Указ Президента Российской Федерации от 17 марта 2008 года N 351 «О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена»
(подключение ГИС к сети интернет через шлюзы, сертификация, оценка соответствия СрЗИ)
· Постановление Правительства Российской Федерации от 18 мая 2009 г. N 424 "Об особенностях подключения федеральных государственных информационных систем к информационно-телекоммуникационным сетям”
(защита от НСД, от DDoS, обеспечение непрерывности, оценка соответствия СрЗИ)
· Приказ Федеральной службы безопасности Российской Федерации, Федеральной службы по техническому и экспортному контролю от 31 августа 2010 г. N 416/489 "Об утверждении Требований о защите информации, содержащейся в информационных системах общего пользования"
· Приказ ФСТЭК России от 6 декабря 2011 г. N 638 “Об утверждении Требования к системам обнаружения вторжений”
(ГИС – СОВ 4 класса защиты)
· Приказ Минкомсвязи от 25 августа 2009 г. N 104 "Об утверждении Требований по обеспечению целостности, устойчивости функционирования и безопасности информационных систем общего пользования"
(Межсетевые экраны, ИБП, резервирование и т.п. по аналогии с двойственным приказом ФСБ/ФСТЭК 416/489)
· Приказ Минкомсвязи "Об утверждении Требований к информационным системам электронного документооборота федеральных органов исполнительной власти, учитывающих, в том числе необходимость обработки посредством данных систем служебной информации ограниченного распространения"
Проблема 1. Непонятно, легитимны ли требования по ЗИ из 2-х приказов Минкомсвязи? Так как в 149-ФЗ утверждено, что требования к ЗИ в ГИС устанавливают ФСБ Р и ФСТЭК Р.
Часть требований по ЗИ в ГИС устанавливается так-же в постановлениях правительства РФ, касающихся данного типа ГИС. Например, система территориального планирования. В требованиях к которой напрямую говорится о сертификатах СрЗИ.
2. В направлении защиты ИСКВО предъявляются только следующие требования:
· защита от НСД
· защита и резервирование технических средств
· реагирование на инциденты
· обеспечение непрерывности ИСКВО
Требования должны выполняться на всех стадиях создания и эксплуатации систем. То есть владельцы уже действующих систем обязаны будут выполнять мероприятия.
Порядок классификации устанавливает Правительство РФ. (этот документ будем ждать)
Детализацию требований устанавливает ФСТЭК Р и ФСБ Р. (уже есть серия документов ФСТЭК от 18 мая 2007 года по КСИИ: базовая модель угроз, методика определения актуальных угроз и общие требования по обеспечению ИБ в КСИИ. Но они не опубликованы. Так что можно ожидать нового комплекта документов)
Проблема 2. В федеральном законе нет определения критически важного объекта. Да, определение есть в документе Совета безопасности, но какую он имеет силу. А определения информационной системы критически важного объекта нет ни в нем ни в 149-ФЗ. А вопрос важный. К каким из сотни информационных систем на объекте относятся данные требования?
Поделиться
Редакция CNews готова принять пресс-релизы компаний на адрес news@cnews.ru.
Приглашаем вас делиться комментариями о материалах CNews на наших страницах платформ Facebook, Telegram и Twitter.