Так ГИС или КИИ? Вот в чем вопрос.

С принятием Федерального закона «О безопасности критической информационной инфраструктуры РФ» добавится неопределенности в вопросе: какие ИС по каким требованиям защищать?.

Для государственных информационных систем существует, как известно, Приказ ФСТЭК №17. Для защиты информации в АСУ ПТП КВО скоро появится отдельный приказ. Граница между сферами действия этих документов, традиционно, весьма размыта.

Действительно, согласно законопроекту, "критическая информационная инфраструктура РФ – 

О пользе обезличивания ПДн

Продолжая разговор об обезличивании, попытаемся извлечь практическую пользу от обезличивания ПДн (тем более, что, как недавно рассказал Алексей Лукацкий, для государственных и муниципальных учреждений обезличка является обязательной). Поскольку «обезличенные данные» не являются персональными данными, их можно безбоязненно передавать по открытым каналам связи, что избавляет оператора от необходимости «связываться» с криптосредствами. Конечно, при этом встает проблема передачи информации, необходимой для последующего деобезличивания. Формально говоря, передавать ее по тому же каналу, что и «обезличенные данные» нельзя, поскольку вероятность перехвата ПДн нарушителем будет достаточно высока.

ПДн: вопросы обезличивания

Не смотря на издание Роскомнадзором Приказа №996 по обезличиванию ПДн и даже Методических рекомендаций по его применению, ряд вопросов, связанных с обезличкой, все же остается.

                         

Первый вопрос самый простой: являются ли обезличенные ПДн по-прежнему персональными данными или превращаются в какую-то иную информацию?. Сам Приказ 996 на этот вопрос прямо не отвечает, однако, Методрекомендации вводят понятие «обезличенных данных», из которого ясно видно, что ПДн, будучи обезличенными, перестают быть персональными данными. Проще говоря, после обезличивания они «исчезают» (во всяком случае, исчезают из ИСПДн, а с практической точки зрения это главное).

"Уязвимости" 17-го

Одна из главных «уязвимостей» 17-го приказа связана с тем, что в его разработке не принимали участия юристы. Писавшие приказ практики неплохо представляют себе топологию информационных систем, но мало думали над тем, какие юридические проблемы встанут перед его исполнителями, особенно, если они имеют дело с крупными ГИС федерального масштаба.

В реестре федеральных ГИС на сегодняшний день ни много, ни мало 324 наименования. Среди операторов ГИС – МЧС, МВД, Минкомсвязь, Минобраз и многие другие «монстры», информационные системы которых имеют сложную разветвленную структуру, охватывающую всю Россию. И в каждой ИС масса особенностей, обусловленных ее назначением, условиями эксплуатации, а  так же организационной структурой ведомства, являющегося оператором ГИС.

"Не применяется"

Нужно ли аттестовать ИСПДн, если ее оператором является государственный (муниципальный) орган, но сама ИСПДн при этом не является государственной информационной системой (ГИС)? Например, ИС бухгалтерии администрации Н-ской области? Вопрос, на первый взгляд, простой: последний документ, в котором прямо говорится об обязательности аттестации ИСПДн, не применяется с 2010 г (хотя формулировочка «не применяется» может поставить в тупик хорошего юриста). Какая еще аттестация?

При вторжении эта сторона улицы наиболее опасна!

Даже самый хороший методический документ можно испортить одним плохо определенным термином. Особенно, если этот термин ключевой.

О системах обнаружения вторжений говорят уже давно, и еще в декабре 2011 г ФСТЭК утвердила «Требования к системам обнаружения вторжений». Оценивать наличие угроз вторжений (или атак) нужно в ходе моделирования угроз безопасности информации, а в ряде случаев (например, при защите информации в ГИС 1 и 2 классов) применение СОВ стало обязательным. Однако, в подвешенном состоянии остается главный вопрос: что такое вторжение и как его отличить от других угроз безопасности информации?

Откроем методический документ ФСТЭК «Профиль защиты систем обнаружения вторжений» (любой из двенадцати). Читаем определение:

"Качество на прежнем уровне"

Какова эффективность работы регуляторов при проведении мероприятий по контролю и надзору в своей сфере? Не каждый регулятор спешит поделится такой информацией с широкой общественностью. Роскомнадзор в этом вопросе составляет счастливое исключение.

В Отчете о деятельности Роскомнадзора за 2012 г (отчет за 2013-й мы увидим еще не скоро) есть любопытный пункт (стр.155 Отчета):

«Доля судебных решений по исковым заявлениям, связанным с обжалованием решений территориального органа Роскомнадзора в сфере связи, принятых в пользу Роскомнадзора (в % от их общего числа в сфере связи, направленных объектами надзора в судебные органы): В 2011 и 2012 гг. показатель составил 62,2 % и 60,72 % соответственно».

В переводе на нормальный русский язык это означает, что из 100 случаев обжалования в суде результатов проверок операторов связи соответственно 37,8 и 39,28 жалоб суд признал обоснованными. Если еще проще, то