понедельник, 15 февраля 2016 г.

Всё начнется с начала


О прошедшем на прошлой неделе ТБ-форуме коллеги уже рассказали (и, надеюсь, расскажут еще).
Приятно, что ФСТЭК делится с общественностью своими планами и просто точкой зрения.

В практике исполнения Приказа №17 накопилось много вопросов, на которые нет ответов в нормативке, а обещанные еще в 2013 (!) году методички так и не появились.
Что имеем на практике?
По-прежнему нет внятного ответа на пресловутый вопрос «что такое ГИС?», есть только мнения управлений ФСТЭК по федеральным округам (причем, мнения эти могут меняться). Планируемые поправки в 149-ФЗ может и внесут ясность в этот вопрос, но создадут другой: где взять деньги на аттестацию всего и вся? Надежды на то, что низший класс ГИС можно будет аттестовать «проще» вряд ли обоснованы: те же руководители управлений ФСТЭК в ФО займут позицию «Никаких низших классов, аттестовать все по максимуму. Это же госинформресурс!».

Ладно, мы не против аттестации всех госкомпьютеров. Но где давно обещанная методичка «Порядок аттестации ИС»? Аттестаторы до сих пор не понимают, какие документы требуется разрабатывать на аттестуемую ГИС и что писать в методике аттестационных испытаний.
Нужен ли тех. паспорт, и если нужен, какова его форма. Форма ТП приведена в СТР-К, но там не только все ОТСС нужно расписать по заводским номерам, но и ВТСС тоже. Представьте техпаспорт на федеральную ГИС, в которую входит несколько тысяч АРМ, а в помещениях находятся кондиционеры, микроволновки и прочие чайники. Любой проверяющий вправе требовать, чтобы все это было вписано в техпаспорт. Не надо вписывать? Докажите!

С методикой аттестации еще хуже. Формы методик из ГОСТов по аттестации для ГИС явно не подходят, а других нет. Изобретать самими? Это можно, но опять же любой проверяющий вправе сказать, что методика неверна. А какая верна, как надо делать? «Не знаю как, но не так» (с). Надо делать по ГОСТ, в нем ведь не оговорена возможность разработки собственной методики (правда, заточен он на РД АС и для ГИС малополезен).

Вот еще вопросы, возникающие в практике работы аттестаторов:


1.       Нужен ли перечень сведений конф. характера?
2.       Нужно ли описание технологического процесса ИС?
3.       Нужно ли показывать схемы коммуникаций в помещениях, где эксплуатируется АС (а если не нужно, как доказать неактуальность угроз утечек по тех. каналам?).
4.       Нужно ли предоставлять материалы предварительных испытаний, опытной эксплуатации и приёмочных испытаний? (Приказ этого требует, но проведение всех видов испытаний, а после этого еще и аттестационных, резко удорожает стоимость работ, даже в ГТ этого не требуют).
5.       И очень важный вопрос: требуется ли ежегодный контроль аттестованной ГИС и кто его может выполнить? В приказе об этом ничего, а вот ГОСТ однозначно обязывает его проводить. И как показывает практика, представители ФСТЭК всегда требуют делать то, что написано в ГОСТ (не смотря на его «рекомендательность»).
6.      Как отразить в методике испытаний и в самом Аттестате результаты анализа защищенности?

Приказу 17 скоро 3 года и народ кое-как приноровился его выполнять, в том смысле, что в отсутствие обещанных методичек (см. материалыТБ-форума-2014) сложилась определенная практика выполнения его требований. Что мы получим с выходом новой редакции 17-го приказа? Сложившаяся практика будет сломана, а как выполнять новые требования – спросить, как обычно, будет не у кого. Все начнется с начала.

Комментариев нет:

Отправить комментарий