Новое в жизненном цикле ГИС

23 мая вступают в силу поправки в Постановление Правительства №676 «О требованиях к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации». В чем суть поправок? В общем-то в том, что при принятии 676-го Постановления авторы почему-то проигнорировали необходимость защиты информации, обрабатываемой в ГИС. Скорее всего, просто не знали о существовании 17-го приказа ФСТЭК. И вот теперь все становится на свои места: на каждом этапе жизненного цикла ГИС (разработка рабочей документации на систему, разработка ПО,  пусконаладочные работы, проведение предварительных испытаний системы и т.д.) требуется и проведение мероприятий по ЗИ. Проще говоря, часть требований 17-го приказа включили в требования к жизненному циклу создаваемых ГИС. Ничего нового. За исключением одного «нюанса»: модель угроз и техническое задание на ГИС теперь нужно будет согласовывать с ФСБ и с ФСТЭК. Практика такого согласования встречалась и раньше, но не было обязаловки: регулятор в ряде случаев сам требовал от оператора или от разработчика направить МУ на согласование. Теперь это станет обязательным. Самое неприятное в этом требовании то, что ФСТЭК так и не придумала методику определения угроз для ГИС. Поэтому угадать «как правильно написать МУ» будет сложно. Большинство живут по методике 2008 г, что не совсем правильно. Кто-то приноровился работать по неутвержденному проекту новой методики, что еще менее правильно. Как говорится – куда ни кинь…

А второй проблемой здесь является то, что МУ следует писать на еще несуществующую систему, на которую даже нет технического задания. Очень сложно искать угрозы в системе, которой нет, а еще сложнее доказать, что они неактуальны. Возможно, такая картина устраивает регуляторов: неважно, какая у вас модель угроз, важно, как вы ее согласовали…

БДУ ФСТЭК: состояние и перспективы

Продолжу рассказ о конференции «Актуальные вопросы защиты информации». Кроме представителей центрального аппарата ФСТЭК, на конференции выступил представитель ГНИИИ ПТЗИ С.В. Соловьев с рассказом о Банке данных угроз и уязвимостей и о перспективах его развития.

На момент доклада в БДУ содержались сведения о 15377 уязвимостях и 194 угрозах. Разумеется, эти цифры будут пополняться, а работа с БДУ станет более удобной.

В 2016 г реализовано представление сведений об уязвимостях в формате XML. Соотношение количества уязвимостей по уровню их опасности в 2016 г выглядело следующим образом:

Низкая опасность – 2%

Средняя – 31%

Высокая – 64%

Критическая – 3%.

Соотношение критических уязвимостей по производителям ПО:

 Равнение на лидеров! :)

Наиболее популярные параметры при обращении к базе уязвимостей: тип ПО, вендор и уровень опасности уязвимости

В 2016 г реализовано еженедельное обновление базы уязвимостей, а сам БДУ перенесен в защищенный гос. сегмент RSNet.  Подготовлен калькулятор CVSS v.3.0.

Наиболее популярные уязвимости в 2016г:

Наиболее «популярное» ПО с точки зрения запросов о наличии уязвимостей:  

Вопросы сертификации СЗИ на ТБ-форуме

Наибольше внимание на конференции «Актуальные вопросы защиты информации» (8 февраля, г. Москва) представители ФСТЭК традиционно уделили вопросам сертификации СЗИ. Презентация начальника 2 управления ФСТЭК Д.Н. Шевцова так и называлась: «Проблемные вопросы сертификации СЗИ». Наибольшим вниманием со стороны регулятора в данной области пользуются следующие направления:

            -   Разработка и внедрение требований к СЗИ;
-   Качество поддержки сертифицированных СЗИ;
 -  Прекращение поддержки сертифицированных СЗИ;
-   Выявление и устранение уязвимостей в СЗИ заявителями на сертификацию, испытательными лабораториями и операторами ИС.

Дмитрий Николаевич напомнил, какие документы, определяющие требования к СЗИ были утверждены начиная с 2011 г. В 2017 году планируется утвердить требования:

Дальнейшие планы разработки требований озвучены не были, чтобы не подвергаться критике за то, что иногда заявленные сроки выхода документов не соблюдаются.

Поскольку после ввода в действие новых требований к МЭ возникло много вопросов, ФСТЭК готовит по этому поводу специальное инф. Сообщение, в котором будут разъяснены следующие вопросы:

Разумеется, находящиеся сейчас в эксплуатации МЭ, сертифицированные по требованиям 1997 года можно использовать до окончания срока действия сертификата. Продлять такие сертификаты ФСТЭК будет в индивидуальном порядке при условии отсутствия в них актуальных уязвимостей.

Так же в презентации показано, какие МЭ уже получили сертификаты на соответствие новым требованиям:

 В настоящее время процедуру сертификации проходит еще ряд продуктов.

Что больше всего беспокоит ФСТЭК в области сертификации и эксплуатации СЗИ? Этому посвящен следующий слайд:

"Особенности" получения лицензий ФСТЭК

На прошедшей 8 февраля конференции «Актуальные вопросы защиты информации» немало внимания было уделено вопросам получения лицензий ФСТЭК. Представители регулятора объясняли суть изменений, внесенных в Постановления Правительства РФ №79 и №171. Начальник отдела лицензирования Н.И. Мищенко подробно рассказал о новых требованиях к специалистам, наличие которых обязательно для получения лицензии, о появившемся новом виде услуг по мониторингу ИБ. В новой редакции 79-го постановления четко определено, какие виды работ организации могут выполнять для собственных нужд без лицензии, а на какие работы необходимо получать лицензию даже «для себя».

В выступлении Н.И. Мищенко чувствовалось желание сделать вопросы, касающиеся лицензирования, более понятными для соискателей. Представитель ФСТЭК рекомендовал обращаться за консультациями в управления ФСТЭК по Федеральным округам или в отдел лицензирования центрального аппарата и обещал помощь со стороны своих подчиненных. Более того, ФСТЭК готовит специальные методические рекомендации, в которых процедура подготовки организаций к получению лицензий будет расписана подробно. За стремление облегчить участь соискателей и сделать процедуру лицензирования прозрачной и понятной хочется сказать ФСТЭК России спасибо.

Не обошлось, конечно, и без «ложки дегтя».

Сколько ждать обещанного?

Если не ошибаюсь, методические документы, посвященные выполнению требований 17-го приказа, ФСТЭК впервые пообещала 15 июля 2013 г. Обещанного принято ждать 3 года, а в данном случае прошло уже 3,5. Сколько же еще ждать?

Из общения с коллегами из ФСТЭК пришел я к такому выводу.

Методические документы (по разработке МУ, по аттестации ИС, по обновлению ПО, по выявлению уязвимостей) практически готовы. Задержка с их утверждением обусловлена тем, что ФСТЭК намерена расширить сферу применения самого 17-го приказа: по требованиям приказа нужно будет защищать не только информацию ограниченного доступа, обрабатываемую в ГИС, но весь государственный информационный ресурс (в том числе общедоступный). Для такого расширения в Федеральный закон от 2006г №149-ФЗ  вносятся соответствующие поправки. Вслед за изменениями в законе будет выпущена новая редакция 17-го приказа, а вслед за ней – и новые методички. Вот такая схема.

Решение Правительства о внесении законопроекта в Госдуму состоялось 10 декабря, представляет законопроект зам. директора ФСТЭК А.В. Куц.  Так что ждать осталось не так уж долго….

ГОСТ по разработке безопасного ПО

Кроме ГОСТ Р 56938-2016, о котором я писал в предыдущем посте, в тот же день, 1.06.2016 г утвержден еще один давно обещанный ФСТЭК ГОСТ: ГОСТ Р  56939-2016 «Защита информации. Разработка безопасного программного обеспечения. Общие требования».

Целью стандарта является предотвращение появления и устранение уязвимостей программного обеспечения, возникающих в процессе его разработки. ГОСТ «устанавливает общие требования к содержанию и порядку выполнения работ, связанных с созданием безопасного (защищенного) ПО и формированием среды обеспечения оперативного устранения выявленных пользователями ошибок ПО и уязвимостей программы».

Новый ГОСТ от ФСТЭК

1 июня 2017 г вводится в действие новый ГОСТ Р 56938-2016 «Защита информации. Защита информации при использовании технологий виртуализации. Общие положения». В стандарте приведена терминология в области виртуализации, в частности, даны определения понятиям «виртуальная инфраструктура», «виртуализация», «гипервизор» (введены три типа гипервизоров), «виртуальная машина» и др. Наличие определений всегда полезно для единства понимания ключевых терминов и уменьшения бесплодных дискуссий.

Исключительно автоматизированные штрафы

Недавние скандалы со штрафами за пересечение тенью автомобиля сплошной линии разметки приоткрыли завесу над тем, кто на самом деле принимает решение о наложении штрафа. В «письмах счастья», которые получают водители, написано, что решение о наложении штрафа принял, якобы, старший лейтенант Пупкин. И даже факсимиле подписи Пупкина там имеется. На деле же, как видим, решение принимает сама система. То есть автоматически. Или как написано в законе «О персональных данных», «исключительно автоматизировано».

А что еще по этому поводу написано в законе?

Обязательные справочники

Итак, свершилось: с 1 июля вступили силу ряд статей ФЗ «О стандартизации в Российской Федерации» (162-ФЗ). Следовательно, с 1 июля документы по стандартизации «в отношении продукции (товаров, работ, услуг), используемой в целях защиты сведений, составляющих гос. тайну или относимых к охраняемой в соответствии с законодательством РФ иной информации ограниченного доступа» применяются по принципу обязательности. Как это обычно бывает, после введения новой законодательной нормы возникает ряд вопросов

Всё начнется с начала

О прошедшем на прошлой неделе ТБ-форуме коллеги уже рассказали (и, надеюсь, расскажут еще).

Приятно, что ФСТЭК делится с общественностью своими планами и просто точкой зрения.

В практике исполнения Приказа №17 накопилось много вопросов, на которые нет ответов в нормативке, а обещанные еще в 2013 (!) году методички так и не появились.

Что имеем на практике?

По-прежнему нет внятного ответа на пресловутый вопрос «что такое ГИС?», есть только мнения управлений ФСТЭК по федеральным округам (причем, мнения эти могут меняться). Планируемые поправки в 149-ФЗ может и внесут ясность в этот вопрос, но создадут другой: где взять деньги на аттестацию всего и вся? Надежды на то, что низший класс ГИС можно будет аттестовать «проще» вряд ли обоснованы: те же руководители управлений ФСТЭК в ФО займут позицию «Никаких низших классов, аттестовать все по максимуму. Это же госинформресурс!».

Роль и место ИБ в новой Стратегии нац. безопасности РФ

В канун Нового года Президент утвердил новую Стратегию национальной безопасности РФ (взамен Стратегии НБ РФ до 2020 г, т.е. 2020 года решено не дожидаться). Вообще-то эксперты предрекали утверждение новой Доктрины информационной безопасности, но Президент, как водится, поступил неожиданно, хотя и более логично: Доктрина ИБ должна вытекать из Стратегии НБ, а не наоборот.

Поскольку информационная безопасность – одна из компонент нац. безопасности, в «Стратегии …» можно найти несколько пунктов, прямо или косвенно относящихся к вопросам ИБ. Давайте вкратце посмотрим, что говорит «Стратегия …» об ИБ, а заодно и об информационных технологиях.

А почему нельзя?

Специалисты уже давно и много говорят о том, как нехорошо, когда госчиновники используют для служебной переписки зарубежные почтовые сервисы. А сегодня, выступая во Владивостоке, об этом в очередной раз повторил и секретарь Совбеза РФ. И даже призвал наказывать чиновников за пользование Google, Yahoo, WhatsApp и других вредоносных сервисов.

С точки зрения ИБ, г-н Патрушев абсолютно прав: из каждого американского софта торчат (ну, или потенциально могут торчать) уши Обамы. С этим не поспоришь. А как обстоит дело в юридической плоскости? Что нарушает чиновник, заводя себе почту на gmail.com? Какие сведения могут стать доступными врагу?

Новые требования к ГИС

Не смотря на ряд  публикаций коллег на тему «Что такое государственная информационная система» и «чем отличается ГИС от обычных ИС», понятие «ГИС» по-прежнему остается достаточно размытым. Ряд специалистов и многие представители регуляторов (ФСТЭК, Минкомсвязи) по-прежнему считают, что любой компьютер, купленный за бюджетные деньги, есть ГИС. Доказать обратное, опираясь на ФЗ-149 – сложно, а на Постановление Правительства 2012 г №644 – и вовсе невозможно. Совсем недавно обучавшиеся у меня  коллеги из Дальневосточного ФО говорили, что местная ФСТЭК считает все информационные системы государственных и даже муниципальных (!) органов ГИС-ами и, как следствие, требует привести их в соответствие Приказу 17. Почему требует, она, конечно, не объясняет.

ГИС, ПЭМИН и иностранные спецслужбы

С высоких (и не очень) трибун представители ФСТЭК не раз заявляли, что защищать ГИС от утечек по техническим каналам (в т.ч. от утечек по каналам ПЭМИН) не обязательно. Заставлять оператора никто не будет, а необходимость такой защиты целиком определяется наличием актуальной угрозы. Об этом не раз писали и коллеги в своих блогах.

Но это с трибун и в блогах. А что на бумаге? Приказ 17 недвусмысленно требует (см. п.25): «Выбранные и реализованные в информационной системе в рамках ее системы защиты информации меры защиты информации должны обеспечивать: в информационных системах 1 класса защищенности – нейтрализацию (блокирование) угроз безопасности информации, связанных с действиями нарушителя с высоким потенциалом».

Несколько слов о новой Методике ФСТЭК

То, что ФСТЭК наконец-то сделала проект "Методики определения угроз ...", безусловно, хорошо. Наличие проекта Методики всяко лучше его отсутствия, особенно с учетом того, как долго регулятор ее обещал…

Судя по Информационному сообщению, ФСТЭК ожидает мнений и предложений по проекту Методики только от «специалистов в области информационной безопасности заинтересованных органов государственной власти и организаций», а мнение «неорганизованных» специалистов ей неинтересно. Ну и ладно, напишем здесь.

О "бумажной" защите ГИС

На прошедшем недавно форуме «Технологии безопасности» представители ФСТЭК пояснили, что при аттестации ГИС должна быть подтверждена, в том числе, и разработка оператором системы документов, регламентирующих процедуры защиты информации в ходе эксплуатации ИС. Возникает вопрос, сколько и каких документов должен разработать оператор и от чего это зависит?

В методическом  документе «Меры защитыинформации в государственных информационных системах» характеристика многих мер заканчивается словами: «Правила и процедуры … регламентируются в организационно-распорядительных документах оператора».

Сколько таких мер? Это зависит от класса ГИС. Например, в ГИС класса К3 я насчитал ни много, ни мало 34 меры, требующие описания правил и процедур своей реализации в ОРД оператора. Возможно, что-то упустил, но список все равно внушительный. Если кому не лень – читайте (в список не включены меры из группы «ЗСВ»).

"Личные, семейные и домашние нужды"

Что такое «личные и семейные нужды»? Эту формулировку мы часто встречаем в наших нормативных актах, но куда реже встречаем ее содержание.

Как известно, летом вступили в силу поправки в ФЗ-149, обязывающие Организаторов распространения информации в сети "Интернет" уведомить Роскомнадзор о начале осуществления такой деятельности. Законодатель милостиво позволил

Как уйти от оценки соответствия СЗИ?

Вокруг применения для защиты ПДн средств защиты, прошедших оценку соответствия, копий сломано немало. Сломаем еще одно, небольшое :)

Как выполнить Приказ ФСТЭК №21 и в то же время обойтись не только без сертифицированных СЗИ, но и вовсе без СЗИ, прошедших оценку соответствия?  Хотя бы частично?  Постановление Правительства РФ 1119 обязывает применять прошедшие оценку соответствия СЗИ только для защиты от актуальных угроз (см. п.13 Постановления). Стало быть, для реализации мер, изложенных в приказе ФСТЭК №21 (да и в приказе ФСБ №378) можно обойтись любыми СЗИ, если эта мера реализуется не в силу наличия актуальной угрозы, а просто потому, что определена приказом.
Простой пример: 2 уровень защищенности ПДн, СОВ обязательна, хошь-не хошь. Должно ли средство обнаружения вторжений быть сертифицированным (прошедшим испытания и пр...)? Должно, только если  угроза вторжений актуальна. А если нет - насчет оценки соответствия в Постановлении ничего не сказано. Берем и ставим любое СОВ.
Применим ли данный подход к СКЗИ? Теоретически да. Ставим несертифицированный VPN, делаем угрозу неактуальной, пишем сие в ЧМУ - и спим спокойно. Как вам идея?

Остается только одна маленькая проблема: доказать свою правоту ФСБ :)

Новое от ФСТЭК

ФСТЭК опубликовала новое информационное сообщение "О типичных ошибках, допускаемых соискателями лицензий при подготовке и представлении документов для получения лицензий на деятельность по технической защите конфиденциальной информации и на деятельность по разработке и производству средств защиты конфиденциальной информации".

Продолжная "лучшую практику" знакомства общественности со своей официальной точкой зрения, регулятор привел краткий обзор наиболее распространенных ошибок, которые допускают соискатели лицензий (особенно те, кто получет лицензию впервые и делает это самостоятельно). Как и следовало ожидать, наибольшие сложности возникают в случаях заключения договоров аренды на помещения, на контрольно-измерительное оборудование, а так же на подтверждение наличия на законном основании технической документации, нац. стандартов и методических документов (прежде всего "дсп"). Как ни странно, типичной ошибкой также является неправильно оформленное заявление о получении лицензии, хотя форма заявлений приведена в административных регламентах.
Ну и еще из полезного: приведены телефоны, по которым проводится консультирование по вопросам лицензирования в Центральном аппарате ФСТЭК и в управлениях по ФО. Правда, время звонка всего лишь вторник, четверг и всего лишь с 10.00 до 12.00. Не густо.

Конечно, информация не Бог весть какая подробная, но тем не менее. "Дорог не подарок, а внимание".

Что проверяет РКН в Уральском ФО?

Один из самых внушительных перечней документов, необходимых при проверке Роскомнадзором оператора персональных данных, размещен на сайте управления РКН по УрФО. В списке 20 пунктов, но многие пункты подразумевают предоставление нескольких дополнительных документов (регламенты, инструкции, журналы, списки и т.п.), таким образом, окончательное количество документов, необходимых для прохождения проверки РКН, остается неизвестным.

Смотрим: