"Уязвимости" 17-го

Одна из главных «уязвимостей» 17-го приказа связана с тем, что в его разработке не принимали участия юристы. Писавшие приказ практики неплохо представляют себе топологию информационных систем, но мало думали над тем, какие юридические проблемы встанут перед его исполнителями, особенно, если они имеют дело с крупными ГИС федерального масштаба.

В реестре федеральных ГИС на сегодняшний день ни много, ни мало 324 наименования. Среди операторов ГИС – МЧС, МВД, Минкомсвязь, Минобраз и многие другие «монстры», информационные системы которых имеют сложную разветвленную структуру, охватывающую всю Россию. И в каждой ИС масса особенностей, обусловленных ее назначением, условиями эксплуатации, а  так же организационной структурой ведомства, являющегося оператором ГИС.

Многие федеральные системы состоят из множества региональных сегментов, которые, в свою очередь, делятся на районные, городские, местные, … Обработку информации в них осуществляют соответствующие региональные и местные подразделения. Их статус и обязанности по защите информации весьма туманен. Кто они? Операторы? Нет: в реестре указано, что оператором, к примеру, ВИС-СМЭВ, является МВД РФ. Заказчики? Тоже нет. Обладатели информации? Тем более нет. Они даже не уполномоченные лица, поскольку уполномоченное лицо это «лицо, обрабатывающее информацию, являющуюся государственным информационным ресурсом, по поручению обладателя информации (заказчика) или оператора и (или) предоставляющее им вычислительные ресурсы (мощности) для обработки информации на основании заключенного договора».

Между тем, кто-то должен определить угрозы, сформировать требования по защите информации и организовать аттестацию ГИС. Опять же, согласно Приказа 17, это должен сделать оператор.

Из этой юридической проблемы вытекает другая, практическая: как аттестовать федеральную ГИС и что должно быть написано в аттестате? С точки зрения 17-го приказа, в аттестате должно быть написано «ГИС такая-то соответствует требованиям таким-то. Орган по аттестации такой-то». Интересно, как это будет выглядеть на практике? Сколько на это уйдет времени, каков будет объем техпаспорта и заключения по результатам аттестационных испытаний? А если все-таки федеральную ГИС разрешат аттестовать посегментно, то с какого момента она будет считаться аттестованной? Вполне может статься, что пока последний сегмент города Усть-Кукуева будет аттестован, срок действия аттестатов, выданных на московские сегменты, уже истечет. И так до бесконечности.

Есть и другая проблема, связанная с обработкой информации одним уполномоченным лицом в интересах сразу нескольких операторов. Типичная ситуация: в региональном ЦОД на виртуальных серверах обрабатывается информация в интересах нескольких региональных министерств. Каждое из них должно аттестовать свой сегмент федеральной ГИС (Минздрав, Минсоц, Минобр и т.п.). Как они будут аттестовать свой сегмент ЦОДа? Где заканчивается зона ответственности одного оператора и начинается зона другого? Тем более, что нормального договора между госорганами и ЦОД, как правило, нет. Есть спущенная сверху бумажка: «обработку осуществлять в ОАО «Регионкоминформ». Теперь сверху придет другая бумажка: «срочно аттестовать ИС, в которой вы работаете». И что? Опять же встанет проблема: кто здесь оператор, кто заказчик, кто уполномоченное лицо? В терминологии приказа 17 оператором являются федеральные министерства, а ЦОД – уполномоченное лицо. А если открыть закон 149-ФЗ, то оператором в данном примере является ЦОД, а министерство – обладатель. И именно обладатель должен писать модель угроз. Хотелось бы на нее посмотреть. Как определить угрозы и аттестовать кучу клиентов, принадлежащих госоргану, и виртуальный сервер, принадлежащий коммерческой организации? Кто определит угрозы и требования по защите? Кто организует аттестацию? Никто не знает. И спросить не у кого.

Извините за «многабукф», но об этих проблемах мы еще будем долго писать и спорить.