вторник, 16 мая 2017 г.

Новое в жизненном цикле ГИС

23 мая вступают в силу поправки в Постановление Правительства №676 «О требованиях к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации». В чем суть поправок? В общем-то в том, что при принятии 676-го Постановления авторы почему-то проигнорировали необходимость защиты информации, обрабатываемой в ГИС. Скорее всего, просто не знали о существовании 17-го приказа ФСТЭК. И вот теперь все становится на свои места: на каждом этапе жизненного цикла ГИС (разработка рабочей документации на систему, разработка ПО,  пусконаладочные работы, проведение предварительных испытаний системы и т.д.) требуется и проведение мероприятий по ЗИ. Проще говоря, часть требований 17-го приказа включили в требования к жизненному циклу создаваемых ГИС. Ничего нового. За исключением одного «нюанса»: модель угроз и техническое задание на ГИС теперь нужно будет согласовывать с ФСБ и с ФСТЭК. Практика такого согласования встречалась и раньше, но не было обязаловки: регулятор в ряде случаев сам требовал от оператора или от разработчика направить МУ на согласование. Теперь это станет обязательным. Самое неприятное в этом требовании то, что ФСТЭК так и не придумала методику определения угроз для ГИС. Поэтому угадать «как правильно написать МУ» будет сложно. Большинство живут по методике 2008 г, что не совсем правильно. Кто-то приноровился работать по неутвержденному проекту новой методики, что еще менее правильно. Как говорится – куда ни кинь…

А второй проблемой здесь является то, что МУ следует писать на еще несуществующую систему, на которую даже нет технического задания. Очень сложно искать угрозы в системе, которой нет, а еще сложнее доказать, что они неактуальны. Возможно, такая картина устраивает регуляторов: неважно, какая у вас модель угроз, важно, как вы ее согласовали…

Комментариев нет:

Отправить комментарий