Новое в жизненном цикле ГИС

23 мая вступают в силу поправки в Постановление Правительства №676 «О требованиях к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации». В чем суть поправок? В общем-то в том, что при принятии 676-го Постановления авторы почему-то проигнорировали необходимость защиты информации, обрабатываемой в ГИС. Скорее всего, просто не знали о существовании 17-го приказа ФСТЭК. И вот теперь все становится на свои места: на каждом этапе жизненного цикла ГИС (разработка рабочей документации на систему, разработка ПО,  пусконаладочные работы, проведение предварительных испытаний системы и т.д.) требуется и проведение мероприятий по ЗИ. Проще говоря, часть требований 17-го приказа включили в требования к жизненному циклу создаваемых ГИС. Ничего нового. За исключением одного «нюанса»: модель угроз и техническое задание на ГИС теперь нужно будет согласовывать с ФСБ и с ФСТЭК. Практика такого согласования встречалась и раньше, но не было обязаловки: регулятор в ряде случаев сам требовал от оператора или от разработчика направить МУ на согласование. Теперь это станет обязательным. Самое неприятное в этом требовании то, что ФСТЭК так и не придумала методику определения угроз для ГИС. Поэтому угадать «как правильно написать МУ» будет сложно. Большинство живут по методике 2008 г, что не совсем правильно. Кто-то приноровился работать по неутвержденному проекту новой методики, что еще менее правильно. Как говорится – куда ни кинь…

А второй проблемой здесь является то, что МУ следует писать на еще несуществующую систему, на которую даже нет технического задания. Очень сложно искать угрозы в системе, которой нет, а еще сложнее доказать, что они неактуальны. Возможно, такая картина устраивает регуляторов: неважно, какая у вас модель угроз, важно, как вы ее согласовали…

БДУ ФСТЭК: состояние и перспективы

Продолжу рассказ о конференции «Актуальные вопросы защиты информации». Кроме представителей центрального аппарата ФСТЭК, на конференции выступил представитель ГНИИИ ПТЗИ С.В. Соловьев с рассказом о Банке данных угроз и уязвимостей и о перспективах его развития.

На момент доклада в БДУ содержались сведения о 15377 уязвимостях и 194 угрозах. Разумеется, эти цифры будут пополняться, а работа с БДУ станет более удобной.

В 2016 г реализовано представление сведений об уязвимостях в формате XML. Соотношение количества уязвимостей по уровню их опасности в 2016 г выглядело следующим образом:

Низкая опасность – 2%

Средняя – 31%

Высокая – 64%

Критическая – 3%.

Соотношение критических уязвимостей по производителям ПО:

 Равнение на лидеров! :)

Наиболее популярные параметры при обращении к базе уязвимостей: тип ПО, вендор и уровень опасности уязвимости

В 2016 г реализовано еженедельное обновление базы уязвимостей, а сам БДУ перенесен в защищенный гос. сегмент RSNet.  Подготовлен калькулятор CVSS v.3.0.

Наиболее популярные уязвимости в 2016г:

Наиболее «популярное» ПО с точки зрения запросов о наличии уязвимостей:  

Вопросы сертификации СЗИ на ТБ-форуме

Наибольше внимание на конференции «Актуальные вопросы защиты информации» (8 февраля, г. Москва) представители ФСТЭК традиционно уделили вопросам сертификации СЗИ. Презентация начальника 2 управления ФСТЭК Д.Н. Шевцова так и называлась: «Проблемные вопросы сертификации СЗИ». Наибольшим вниманием со стороны регулятора в данной области пользуются следующие направления:

            -   Разработка и внедрение требований к СЗИ;
-   Качество поддержки сертифицированных СЗИ;
 -  Прекращение поддержки сертифицированных СЗИ;
-   Выявление и устранение уязвимостей в СЗИ заявителями на сертификацию, испытательными лабораториями и операторами ИС.

Дмитрий Николаевич напомнил, какие документы, определяющие требования к СЗИ были утверждены начиная с 2011 г. В 2017 году планируется утвердить требования:

Дальнейшие планы разработки требований озвучены не были, чтобы не подвергаться критике за то, что иногда заявленные сроки выхода документов не соблюдаются.

Поскольку после ввода в действие новых требований к МЭ возникло много вопросов, ФСТЭК готовит по этому поводу специальное инф. Сообщение, в котором будут разъяснены следующие вопросы:

Разумеется, находящиеся сейчас в эксплуатации МЭ, сертифицированные по требованиям 1997 года можно использовать до окончания срока действия сертификата. Продлять такие сертификаты ФСТЭК будет в индивидуальном порядке при условии отсутствия в них актуальных уязвимостей.

Так же в презентации показано, какие МЭ уже получили сертификаты на соответствие новым требованиям:

 В настоящее время процедуру сертификации проходит еще ряд продуктов.

Что больше всего беспокоит ФСТЭК в области сертификации и эксплуатации СЗИ? Этому посвящен следующий слайд:

"Особенности" получения лицензий ФСТЭК

На прошедшей 8 февраля конференции «Актуальные вопросы защиты информации» немало внимания было уделено вопросам получения лицензий ФСТЭК. Представители регулятора объясняли суть изменений, внесенных в Постановления Правительства РФ №79 и №171. Начальник отдела лицензирования Н.И. Мищенко подробно рассказал о новых требованиях к специалистам, наличие которых обязательно для получения лицензии, о появившемся новом виде услуг по мониторингу ИБ. В новой редакции 79-го постановления четко определено, какие виды работ организации могут выполнять для собственных нужд без лицензии, а на какие работы необходимо получать лицензию даже «для себя».

В выступлении Н.И. Мищенко чувствовалось желание сделать вопросы, касающиеся лицензирования, более понятными для соискателей. Представитель ФСТЭК рекомендовал обращаться за консультациями в управления ФСТЭК по Федеральным округам или в отдел лицензирования центрального аппарата и обещал помощь со стороны своих подчиненных. Более того, ФСТЭК готовит специальные методические рекомендации, в которых процедура подготовки организаций к получению лицензий будет расписана подробно. За стремление облегчить участь соискателей и сделать процедуру лицензирования прозрачной и понятной хочется сказать ФСТЭК России спасибо.

Не обошлось, конечно, и без «ложки дегтя».

Сколько ждать обещанного?

Если не ошибаюсь, методические документы, посвященные выполнению требований 17-го приказа, ФСТЭК впервые пообещала 15 июля 2013 г. Обещанного принято ждать 3 года, а в данном случае прошло уже 3,5. Сколько же еще ждать?

Из общения с коллегами из ФСТЭК пришел я к такому выводу.

Методические документы (по разработке МУ, по аттестации ИС, по обновлению ПО, по выявлению уязвимостей) практически готовы. Задержка с их утверждением обусловлена тем, что ФСТЭК намерена расширить сферу применения самого 17-го приказа: по требованиям приказа нужно будет защищать не только информацию ограниченного доступа, обрабатываемую в ГИС, но весь государственный информационный ресурс (в том числе общедоступный). Для такого расширения в Федеральный закон от 2006г №149-ФЗ  вносятся соответствующие поправки. Вслед за изменениями в законе будет выпущена новая редакция 17-го приказа, а вслед за ней – и новые методички. Вот такая схема.

Решение Правительства о внесении законопроекта в Госдуму состоялось 10 декабря, представляет законопроект зам. директора ФСТЭК А.В. Куц.  Так что ждать осталось не так уж долго….