Рубрикатор |
Блоги | Алексей ЛУКАЦКИЙ |
Обязательное согласование моделей угроз и ТЗ для ГИС
19 мая 2017 |
Сначала ФСТЭК приняла поправки в 17-й приказ, которые синхронизировали порядок создания государственных информационных систем, установленный в ПП-676, с требованиями по ИБ 17-го приказа. А 11-го мая Правительство приняло инициированное Минкомсвязью Постановление Правительства №555 "О внесении изменений в требования к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации", которое целиком и полностью посвящено вопросам защиты информации.
Документ, вступающий в силу 23-го мая, обязал органы исполнительной власти во всех мероприятиях, связанных с ГИС, учитывать требования ФСТЭК и ФСБ по защите информации. Но самое главное, что по этому Постановлению требуется согласовывать модели угроз и ТЗ на созданию/модернизацию ГИС с ФСТЭК и ФСБ, должностные лица которых должны утверждать эти документы. Вот такой сюрприз! Причем для всех - и для пользователей ГИС, и для регуляторов.
Смею предположить, что ни ФСТЭК, ни ФСБ не имели отношения к данной норме, так как еще совсем недавно, когда я обсуждал этот вопрос с ними, они прямо говорили, что массовое утверждение модели угроз не входит в их компетенцию и у них нет ресурсов делать это для каждого госоргана, который к ним обращается. Поэтому они делали это в исключительных случаях, для значимых информационных систем. И тут вот такой поворот. Как из него будут выкручиваться, пока сложно сказать. Ведь методику моделирования угроз ФСТЭК не приняла до сих пор (с ФСБ ситуация чуть проще - у них зона ответственности меньше). И что делать законопослушным госорганам, которые с 23-го мая будут вынуждены отправлять свои модели угроз в ФСТЭК и ФСБ?
При этом, новое ПП-555 также фиксирует, что ГИС не может быть введена в эксплуатацию без:
- выполнения требований ФСТЭК и ФСБ, включая отсутствие соответствующего аттестата,
- записи в реестре о местонахождении элементов ГИС (они не могут находиться за пределами РФ),
- устранения нарушений, выявленных в рамках контроля и надзора за вводом в эксплуатацию отдельных ГИС,
- оформления прав на использование ее компонентов, являющихся объектами интеллектуальной собственности.
В ФСБ направлять свои модели угроз надо сразу в центральный аппарат -
терорганы не занимаются этими вопросами. По ФСТЭК возможно и удастся
распределить эту нагрузку между управлениями по федеральным округам, но
встанет вопрос компетенций и временных затрат на такие согласования.
Если же ФСТЭК тоже будет всех заворачивать в Москву, во 2-е Управление,
то оно просто "умрет" под ворохом таких запросов и на выработку других
документов (новых РД, методичек, новых приказов) сил у них уже не
останется - все погрязнет в рутине.
Пока вопросов больше, чем ответов. Совершенствование защиты информации -
это, конечно, хорошо и полезно, но вот так вот "менять коней на
переправе"?.. Если же перейти из плоскости теоретической в практическую,
то могу порекомендовать начать работу над моделью угроз (если у вас ее
еще нет) с сервиса, созданного Булатом Шамсутдиновым - www.threat-model.com.
Как и положено сервис базируется на банке данных угроз
ФСТЭК, а в качестве методологии взят за основу последний публичный
проект методики ФСТЭК, выложенный на сайте регулятора. На самом деле с
того момента этот проект был сильно переработан, но как точка отсчета
этот бесплатный сервис, созданный Булатом, подходит как нельзя лучше.
Удачи!
Источник: Бизнес без опасности
Оставить свой комментарий:
Комментарии по материалу
Данный материал еще не комментировался.