23 мая вступают в силу поправки в Постановление
Правительства №676 «О требованиях к порядку создания, развития, ввода в
эксплуатацию, эксплуатации и вывода из эксплуатации государственных
информационных систем и дальнейшего хранения содержащейся в их базах данных
информации». В чем суть поправок? В общем-то в том, что при принятии 676-го
Постановления авторы почему-то проигнорировали необходимость защиты информации,
обрабатываемой в ГИС. Скорее всего, просто не знали о существовании 17-го
приказа ФСТЭК. И вот теперь все становится на свои места: на каждом этапе
жизненного цикла ГИС (разработка рабочей документации на систему, разработка
ПО, пусконаладочные работы, проведение
предварительных испытаний системы и т.д.) требуется и проведение мероприятий по
ЗИ. Проще говоря, часть требований 17-го приказа включили в требования к
жизненному циклу создаваемых ГИС. Ничего нового. За исключением одного «нюанса»:
модель угроз и техническое задание на ГИС теперь нужно будет согласовывать с
ФСБ и с ФСТЭК. Практика такого согласования встречалась и раньше, но не было
обязаловки: регулятор в ряде случаев сам требовал от оператора или от
разработчика направить МУ на согласование. Теперь это станет обязательным. Самое
неприятное в этом требовании то, что ФСТЭК так и не придумала методику
определения угроз для ГИС. Поэтому угадать «как правильно написать МУ» будет сложно.
Большинство живут по методике 2008 г, что не совсем правильно. Кто-то
приноровился работать по неутвержденному проекту новой методики, что еще менее
правильно. Как говорится – куда ни кинь…
А второй проблемой здесь является то, что МУ следует
писать на еще несуществующую систему, на которую даже нет технического задания.
Очень сложно искать угрозы в системе, которой нет, а еще сложнее доказать, что
они неактуальны. Возможно, такая картина устраивает регуляторов: неважно, какая
у вас модель угроз, важно, как вы ее согласовали…
Комментариев нет:
Отправить комментарий