ГИС, ПЭМИН и иностранные спецслужбы

С высоких (и не очень) трибун представители ФСТЭК не раз заявляли, что защищать ГИС от утечек по техническим каналам (в т.ч. от утечек по каналам ПЭМИН) не обязательно. Заставлять оператора никто не будет, а необходимость такой защиты целиком определяется наличием актуальной угрозы. Об этом не раз писали и коллеги в своих блогах.

Но это с трибун и в блогах. А что на бумаге? Приказ 17 недвусмысленно требует (см. п.25): «Выбранные и реализованные в информационной системе в рамках ее системы защиты информации меры защиты информации должны обеспечивать: в информационных системах 1 класса защищенности – нейтрализацию (блокирование) угроз безопасности информации, связанных с действиями нарушителя с высоким потенциалом».

Несколько слов о новой Методике ФСТЭК

То, что ФСТЭК наконец-то сделала проект "Методики определения угроз ...", безусловно, хорошо. Наличие проекта Методики всяко лучше его отсутствия, особенно с учетом того, как долго регулятор ее обещал…

Судя по Информационному сообщению, ФСТЭК ожидает мнений и предложений по проекту Методики только от «специалистов в области информационной безопасности заинтересованных органов государственной власти и организаций», а мнение «неорганизованных» специалистов ей неинтересно. Ну и ладно, напишем здесь.

О "бумажной" защите ГИС

На прошедшем недавно форуме «Технологии безопасности» представители ФСТЭК пояснили, что при аттестации ГИС должна быть подтверждена, в том числе, и разработка оператором системы документов, регламентирующих процедуры защиты информации в ходе эксплуатации ИС. Возникает вопрос, сколько и каких документов должен разработать оператор и от чего это зависит?

В методическом  документе «Меры защитыинформации в государственных информационных системах» характеристика многих мер заканчивается словами: «Правила и процедуры … регламентируются в организационно-распорядительных документах оператора».

Сколько таких мер? Это зависит от класса ГИС. Например, в ГИС класса К3 я насчитал ни много, ни мало 34 меры, требующие описания правил и процедур своей реализации в ОРД оператора. Возможно, что-то упустил, но список все равно внушительный. Если кому не лень – читайте (в список не включены меры из группы «ЗСВ»).

"Личные, семейные и домашние нужды"

Что такое «личные и семейные нужды»? Эту формулировку мы часто встречаем в наших нормативных актах, но куда реже встречаем ее содержание.

Как известно, летом вступили в силу поправки в ФЗ-149, обязывающие Организаторов распространения информации в сети "Интернет" уведомить Роскомнадзор о начале осуществления такой деятельности. Законодатель милостиво позволил

Как уйти от оценки соответствия СЗИ?

Вокруг применения для защиты ПДн средств защиты, прошедших оценку соответствия, копий сломано немало. Сломаем еще одно, небольшое :)

Как выполнить Приказ ФСТЭК №21 и в то же время обойтись не только без сертифицированных СЗИ, но и вовсе без СЗИ, прошедших оценку соответствия?  Хотя бы частично?  Постановление Правительства РФ 1119 обязывает применять прошедшие оценку соответствия СЗИ только для защиты от актуальных угроз (см. п.13 Постановления). Стало быть, для реализации мер, изложенных в приказе ФСТЭК №21 (да и в приказе ФСБ №378) можно обойтись любыми СЗИ, если эта мера реализуется не в силу наличия актуальной угрозы, а просто потому, что определена приказом.
Простой пример: 2 уровень защищенности ПДн, СОВ обязательна, хошь-не хошь. Должно ли средство обнаружения вторжений быть сертифицированным (прошедшим испытания и пр...)? Должно, только если  угроза вторжений актуальна. А если нет - насчет оценки соответствия в Постановлении ничего не сказано. Берем и ставим любое СОВ.
Применим ли данный подход к СКЗИ? Теоретически да. Ставим несертифицированный VPN, делаем угрозу неактуальной, пишем сие в ЧМУ - и спим спокойно. Как вам идея?

Остается только одна маленькая проблема: доказать свою правоту ФСБ :)

Новое от ФСТЭК

ФСТЭК опубликовала новое информационное сообщение "О типичных ошибках, допускаемых соискателями лицензий при подготовке и представлении документов для получения лицензий на деятельность по технической защите конфиденциальной информации и на деятельность по разработке и производству средств защиты конфиденциальной информации".

Продолжная "лучшую практику" знакомства общественности со своей официальной точкой зрения, регулятор привел краткий обзор наиболее распространенных ошибок, которые допускают соискатели лицензий (особенно те, кто получет лицензию впервые и делает это самостоятельно). Как и следовало ожидать, наибольшие сложности возникают в случаях заключения договоров аренды на помещения, на контрольно-измерительное оборудование, а так же на подтверждение наличия на законном основании технической документации, нац. стандартов и методических документов (прежде всего "дсп"). Как ни странно, типичной ошибкой также является неправильно оформленное заявление о получении лицензии, хотя форма заявлений приведена в административных регламентах.
Ну и еще из полезного: приведены телефоны, по которым проводится консультирование по вопросам лицензирования в Центральном аппарате ФСТЭК и в управлениях по ФО. Правда, время звонка всего лишь вторник, четверг и всего лишь с 10.00 до 12.00. Не густо.

Конечно, информация не Бог весть какая подробная, но тем не менее. "Дорог не подарок, а внимание".

Что проверяет РКН в Уральском ФО?

Один из самых внушительных перечней документов, необходимых при проверке Роскомнадзором оператора персональных данных, размещен на сайте управления РКН по УрФО. В списке 20 пунктов, но многие пункты подразумевают предоставление нескольких дополнительных документов (регламенты, инструкции, журналы, списки и т.п.), таким образом, окончательное количество документов, необходимых для прохождения проверки РКН, остается неизвестным.

Смотрим: