четверг, 16 июля 2015 г.

Новые требования к ГИС


Не смотря на ряд  публикаций коллег на тему «Что такое государственная информационная система» и «чем отличается ГИС от обычных ИС», понятие «ГИС» по-прежнему остается достаточно размытым. Ряд специалистов и многие представители регуляторов (ФСТЭК, Минкомсвязи) по-прежнему считают, что любой компьютер, купленный за бюджетные деньги, есть ГИС. Доказать обратное, опираясь на ФЗ-149 – сложно, а на Постановление Правительства 2012 г №644 – и вовсе невозможно. Совсем недавно обучавшиеся у меня  коллеги из Дальневосточного ФО говорили, что местная ФСТЭК считает все информационные системы государственных и даже муниципальных (!) органов ГИС-ами и, как следствие, требует привести их в соответствие Приказу 17. Почему требует, она, конечно, не объясняет.

воскресенье, 5 июля 2015 г.

ГИС, ПЭМИН и иностранные спецслужбы


С высоких (и не очень) трибун представители ФСТЭК не раз заявляли, что защищать ГИС от утечек по техническим каналам (в т.ч. от утечек по каналам ПЭМИН) не обязательно. Заставлять оператора никто не будет, а необходимость такой защиты целиком определяется наличием актуальной угрозы. Об этом не раз писали и коллеги в своих блогах.

Но это с трибун и в блогах. А что на бумаге? Приказ 17 недвусмысленно требует (см. п.25): «Выбранные и реализованные в информационной системе в рамках ее системы защиты информации меры защиты информации должны обеспечивать: в информационных системах 1 класса защищенности – нейтрализацию (блокирование) угроз безопасности информации, связанных с действиями нарушителя с высоким потенциалом».