Комментарии 19
Спасибо за труд!
Не соглашусь с нашим мнением по Мифу №4 и Мифу №11, вы правы говоря, что аттестация с использованием типовых сегментов упоминается в 17 приказе только на этапе аттестации, но проблема вашего подхода в целом (и примеров которые вы привели по Мифу 4), в том что вы все-таки пытаетесь жестко зафиксировать состояние сегмента (указать в МУ и проектной документации серийные номера, зафиксировать оборудование и делаете тех паспорт), а это все как раз пережитки так называемой «старой школы».
В 4 мифе как раз и написано, что так делать не нужно, в модели угроз и проектных документах не указываются конкретные технические средства с серийными номерами. Описывается общая структура, используемые технологии и тд. Необходимость же техпаспорта в целом для системы, в которой планируются аттестационные испытания обусловлена перечнем работ в ходе этих самых испытаний, который приводится в ГОСТ. Одна из таких проверок — анализ полноты исходных данных, проверка их соответствия реальным условиям размещения, монтажа и эксплуатации автоматизированной системы, определение состава использованных для обработки, хранения и передачи информации основных технических средств и систем.
Перечень работ о которых вы говорите (программа аттестационных испытаний), как и анализ полноты исходных данных… (методика) разрабатываются органом по аттестации (организацией) и представляют собой документ, который называется программа и методики аттестационных испытаний и между прочим этот документ согласовывается с Заказчиком. Так вот, коллеги, ввиду того, что в ГОСТ на которые вы ссылаетесь технический паспорт указан только в качестве примера (рекомендации) и заказчик вам может отказать в согласовании ПМИ, в котором отражена необходимость проверки тех паспорта, еще раз подчеркиваю, необязательность и даже бессмысленность тех паспорта для ГИС.
В статье мы ссылаемся на ГОСТ РО 0043-003-2012 «Защита информации. Аттестация объектов информатизации. Программа и методики аттестационных испытаний», а есть еще «Защита информации. Аттестация объектов информатизации. Общие положения». Там побольше и поинтереснее про ПМИ. Можно тоже сказать что это все рекомендации. Заказчик конечно может не согласовать ПМИ, но если аргументы будут так себе, то аттестующий орган может обратиться во ФСТЭК. Точно так же аттестующий орган может не выдать аттестат, если заказчик не выполнил все требования. Документ, в котором зафиксировано состояние системы может называться не «Технический паспорт», а как угодно по-другому, но сути это меняет. В любом случае для аттестуемой системы должен быть техпаспорт или его аналог просто потому, что аттестационные испытания проводятся в отношении чего-то конкретного, а не чего-то абстрактного.
Извиняюсь, перепутал ГОСТы местами
Я прекрасно понимаю на какие ГОСТ вы ссылаетесь, а вот писать их полное название в силу ограничительной пометки на этих документах, я бы не стал )))
Заказчик тоже может так же обратиться во ФСТЭК, если аргументы лицензиата будут так себе.
"Технический паспорт" в такой формулировке, как документ фикструющий некие ключевые параметры ГИС имеет место быть, но этими параметрами далеко не обязательно должны быть перечень железа с серийными номерами. Мы все таки защищаем информацию и пытаемся фиксировать состояние и параметры системы с точки зрения обработки информации ибо если заменить один арм на другой, но выполняющий точно такие же функции, то это ни как не отразится на ГИС. А вот если появится новый процесс обработки информации, новый сегмент, то это уже совсем другая история.
С упоминанием ГОСТ нет никаких проблем. Сам ФСТЭК их упоминает в открытом документе здесь.
С заменой компьютера вы не правы. Если вы замените компьютер с последними обновлениями ОС и СЗИ на компьютер с критичными уязвимости и без антивируса, то это серьезно повлияет на безопасность информации. Система защищена настолько насколько защищен самый слабый ее узел. Плюс если администраторы ГИС не знают, что у них в системе творится это тоже тревожный звоночек. Ну и в упомянутом ГОСТ есть форма аттестата, приложением к которому по сути является техпаспорт. ФСТЭК говорит, что эта часть аттестата обязательна. Такие дела.
С заменой компьютера вы не правы. Если вы замените компьютер с последними обновлениями ОС и СЗИ на компьютер с критичными уязвимости и без антивируса, то это серьезно повлияет на безопасность информации. Система защищена настолько насколько защищен самый слабый ее узел. Плюс если администраторы ГИС не знают, что у них в системе творится это тоже тревожный звоночек. Ну и в упомянутом ГОСТ есть форма аттестата, приложением к которому по сути является техпаспорт. ФСТЭК говорит, что эта часть аттестата обязательна. Такие дела.
А можете привести пример такого техпаспорта на типовой сегмент? Что он все же в себя включает?
Да по сути тоже самое, что и обычный техпаспорт:
1. Наименование объекта
2. Расположение объекта
3. Классификация объекта
4. Сведения о вводе объекта в эксплуатацию
5. Состав технических средств
6. Состав программного обеспечения
7. Состав средств защиты информации
8. Схемы расположения технических средств относительно границ контролируемой зоны.
1. Наименование объекта
2. Расположение объекта
3. Классификация объекта
4. Сведения о вводе объекта в эксплуатацию
5. Состав технических средств
6. Состав программного обеспечения
7. Состав средств защиты информации
8. Схемы расположения технических средств относительно границ контролируемой зоны.
Дополню еще коллегу — проблема «старой школы» не в том, что они все фиксируют, а в игнорировании новой нормативной документации, в которой могут быть существенно расширены возможности в такой консервативной сфере (в плане законодательства) как ИБ.
Спасибо за статью. Хотелось узнать ваше видение другого вопроса компетенции ФСТЭК России об «Обеспечении безопасности субъектов КИИ». Согласно постановлению №452 от 13.04.2019 необходимо утвердить перечень объектов КИИ и направить регулятору до 01.09.2019.
А что конкретно вас интересует?
Последовательность действий (так сказать алгоритм). Сроки. Какие наказания предусмотрены по данной теме.
Алгоритм:
1. Определение, относится ли Ваша организация к субъектам КИИ (попадает ли под определение из 187 ФЗ);
2. В случае если попадает, то утверждается Приказ о создании комиссии по категорированию (состав и рекомендации по данному вопросу вынесены в п.11 и подпунктах к нему в ПП № 127);
3. Комиссия определяет перечень объектов КИИ, которые принадлежат Вашей организации и утверждает его (рекомендованная форма утверждения представлена в Информационном сообщении ФСТЭК № 240/25/3752 от 24 августа 2018 г);
После утверждения данный перечень в течении 10 рабочих дней должен быть направлен на согласование во ФСТЭК в печатном и электронном виде (п. 15 ПП № 127);
4. Далее комиссия формирует Акт категорирования (форма представлена в Приказе ФСТЭК России № 236 от 22 декабря 2017). Акт возможен как для каждого объекта отдельно, так и единый (с правками, которые были внесены ПП № 452).
Данный акт также необходимо отправить в течении 10 рабочих дней на согласование во ФСТЭК с момента его утверждения.
5. Дальнейшие работы по созданию системы защиты, приемочным испытаниям и прочим действиям, предусмотренным Приказом ФСТЭК России № 239 от 25 декабря 2017 года, необходимо будет проводить исходя из определенной комиссией категорией значимости.
Собственно, временной промежуток между утверждением перечня объектов и утверждением акта(ов) категорирования не указан, но из ПП № 452 можно сделать вывод, что данные работы должны быть проведены не позднее (как Вы писали выше) 01 сентября этого года, иначе могут последовать предписания и наказания за невыполнение.
Касательно наказаний по КИИ актуальны пока 2 варианта:
1. Статья 19.4 КоАП РФ — «Неповиновение законному распоряжению должностного лица органа, осуществляющего государственный надзор (контроль), должностного лица организации, уполномоченной в соответствии с федеральными законами на осуществление государственного надзора, должностного лица органа, осуществляющего муниципальный контроль», в случае если Вам ФСТЭК выписал предписание, а Вы его не выполнили;
2. Статья 274.1 УК РФ «Неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации», но данная статья больше подходит именно для нарушителей, которые пытаются как-то взломать или нанести вред значимому объекту КИИ.
На данный момент также рассматривается проект внесения изменений в КоАП касательно объектов КИИ, ознакомится можно по ссылке: regulation.gov.ru/projects?fbclid=IwAR14PGFrJOD8I4agi2sUC976AsII_VAqsE8yZxkHTJvmy5cJxppbq5kYEbw#npa=89944
1. Определение, относится ли Ваша организация к субъектам КИИ (попадает ли под определение из 187 ФЗ);
2. В случае если попадает, то утверждается Приказ о создании комиссии по категорированию (состав и рекомендации по данному вопросу вынесены в п.11 и подпунктах к нему в ПП № 127);
3. Комиссия определяет перечень объектов КИИ, которые принадлежат Вашей организации и утверждает его (рекомендованная форма утверждения представлена в Информационном сообщении ФСТЭК № 240/25/3752 от 24 августа 2018 г);
После утверждения данный перечень в течении 10 рабочих дней должен быть направлен на согласование во ФСТЭК в печатном и электронном виде (п. 15 ПП № 127);
4. Далее комиссия формирует Акт категорирования (форма представлена в Приказе ФСТЭК России № 236 от 22 декабря 2017). Акт возможен как для каждого объекта отдельно, так и единый (с правками, которые были внесены ПП № 452).
Данный акт также необходимо отправить в течении 10 рабочих дней на согласование во ФСТЭК с момента его утверждения.
5. Дальнейшие работы по созданию системы защиты, приемочным испытаниям и прочим действиям, предусмотренным Приказом ФСТЭК России № 239 от 25 декабря 2017 года, необходимо будет проводить исходя из определенной комиссией категорией значимости.
Собственно, временной промежуток между утверждением перечня объектов и утверждением акта(ов) категорирования не указан, но из ПП № 452 можно сделать вывод, что данные работы должны быть проведены не позднее (как Вы писали выше) 01 сентября этого года, иначе могут последовать предписания и наказания за невыполнение.
Касательно наказаний по КИИ актуальны пока 2 варианта:
1. Статья 19.4 КоАП РФ — «Неповиновение законному распоряжению должностного лица органа, осуществляющего государственный надзор (контроль), должностного лица организации, уполномоченной в соответствии с федеральными законами на осуществление государственного надзора, должностного лица органа, осуществляющего муниципальный контроль», в случае если Вам ФСТЭК выписал предписание, а Вы его не выполнили;
2. Статья 274.1 УК РФ «Неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации», но данная статья больше подходит именно для нарушителей, которые пытаются как-то взломать или нанести вред значимому объекту КИИ.
На данный момент также рассматривается проект внесения изменений в КоАП касательно объектов КИИ, ознакомится можно по ссылке: regulation.gov.ru/projects?fbclid=IwAR14PGFrJOD8I4agi2sUC976AsII_VAqsE8yZxkHTJvmy5cJxppbq5kYEbw#npa=89944
А как расшифровывается ГОСТ «РО»? Слышал про РВ — Регистр Военный, а тут даже гугл бессилен…
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Аттестация информационных систем по принципу типовых сегментов. Мифы и реальность