А почему нельзя?

Специалисты уже давно и много говорят о том, как нехорошо, когда госчиновники используют для служебной переписки зарубежные почтовые сервисы. А сегодня, выступая во Владивостоке, об этом в очередной раз повторил и секретарь Совбеза РФ. И даже призвал наказывать чиновников за пользование Google, Yahoo, WhatsApp и других вредоносных сервисов.

С точки зрения ИБ, г-н Патрушев абсолютно прав: из каждого американского софта торчат (ну, или потенциально могут торчать) уши Обамы. С этим не поспоришь. А как обстоит дело в юридической плоскости? Что нарушает чиновник, заводя себе почту на gmail.com? Какие сведения могут стать доступными врагу?

Новые требования к ГИС

Не смотря на ряд  публикаций коллег на тему «Что такое государственная информационная система» и «чем отличается ГИС от обычных ИС», понятие «ГИС» по-прежнему остается достаточно размытым. Ряд специалистов и многие представители регуляторов (ФСТЭК, Минкомсвязи) по-прежнему считают, что любой компьютер, купленный за бюджетные деньги, есть ГИС. Доказать обратное, опираясь на ФЗ-149 – сложно, а на Постановление Правительства 2012 г №644 – и вовсе невозможно. Совсем недавно обучавшиеся у меня  коллеги из Дальневосточного ФО говорили, что местная ФСТЭК считает все информационные системы государственных и даже муниципальных (!) органов ГИС-ами и, как следствие, требует привести их в соответствие Приказу 17. Почему требует, она, конечно, не объясняет.

ГИС, ПЭМИН и иностранные спецслужбы

С высоких (и не очень) трибун представители ФСТЭК не раз заявляли, что защищать ГИС от утечек по техническим каналам (в т.ч. от утечек по каналам ПЭМИН) не обязательно. Заставлять оператора никто не будет, а необходимость такой защиты целиком определяется наличием актуальной угрозы. Об этом не раз писали и коллеги в своих блогах.

Но это с трибун и в блогах. А что на бумаге? Приказ 17 недвусмысленно требует (см. п.25): «Выбранные и реализованные в информационной системе в рамках ее системы защиты информации меры защиты информации должны обеспечивать: в информационных системах 1 класса защищенности – нейтрализацию (блокирование) угроз безопасности информации, связанных с действиями нарушителя с высоким потенциалом».

Несколько слов о новой Методике ФСТЭК

То, что ФСТЭК наконец-то сделала проект "Методики определения угроз ...", безусловно, хорошо. Наличие проекта Методики всяко лучше его отсутствия, особенно с учетом того, как долго регулятор ее обещал…

Судя по Информационному сообщению, ФСТЭК ожидает мнений и предложений по проекту Методики только от «специалистов в области информационной безопасности заинтересованных органов государственной власти и организаций», а мнение «неорганизованных» специалистов ей неинтересно. Ну и ладно, напишем здесь.

О "бумажной" защите ГИС

На прошедшем недавно форуме «Технологии безопасности» представители ФСТЭК пояснили, что при аттестации ГИС должна быть подтверждена, в том числе, и разработка оператором системы документов, регламентирующих процедуры защиты информации в ходе эксплуатации ИС. Возникает вопрос, сколько и каких документов должен разработать оператор и от чего это зависит?

В методическом  документе «Меры защитыинформации в государственных информационных системах» характеристика многих мер заканчивается словами: «Правила и процедуры … регламентируются в организационно-распорядительных документах оператора».

Сколько таких мер? Это зависит от класса ГИС. Например, в ГИС класса К3 я насчитал ни много, ни мало 34 меры, требующие описания правил и процедур своей реализации в ОРД оператора. Возможно, что-то упустил, но список все равно внушительный. Если кому не лень – читайте (в список не включены меры из группы «ЗСВ»).