Новые требования к защите ГИС от ФСБ России

Дата: 08.12.2020. Автор: Сергей Борисов. Категории: Блоги экспертов по информационной безопасности
Новые требования к защите ГИС от ФСБ России

 

23 ноября 2020 на общественное обсуждение был выложен проект приказа ФСБ РоссииОб утверждении Требований о защите информации, содержащейся в государственных информационных системах, с использованием средств криптографической защиты информации.

7 декабря закончились обсуждения и вряд ли предвидятся серьезные изменения данного документа. У Валерия Комарова видел замечания только к терминологии и мелочам.

Я подготовил для вас видео обзор основных положений данного документа:

https://youtu.be/gdlwzo5-ors

Но здесь хочу обсудить несколько моментов которые не попали в видео:

·        В пункте 5 приказа ФСБ России №378 говорится об использовании использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации, но в пунктах 18, 21, 26 говорится о том, что для выполнения этого требования необходимо использовать СКЗИ класса КС1 и выше (то есть сертифицированные).

·        Хотя явных требований к оценке влияния среды функционирования не было в самом приказе №378, по эти требования были прописаны в документации на все СКЗИ, поэтому нельзя сказать что в новом приказе появились эти новые требования – скорее они теперь дублируются.

·        Ранее в ответах ФСБ России на вопросы по применению криптографии в ИСПДн получал аналогичную информацию о возможности определения угроз/нарушителей/класса СКЗИ для отдельных сегментов системы.

·        Сравнение правил выбора классов лишний раз показывает, что для ИСПДн были установлены слишком суровые классы криптозащиты. Фактически операторы случайно определившие у себя угрозы 1 и 2 типа автоматически ставили крест на своих ИСПДн. Для ГИС-ов минимальные классы сделали помягче.

·        Очевидно, что требование использовать максимальный класс СКЗИ при взаимодействии двух ИС приведет к тому, что когда все ИС будут соединены хотя бы в дерево (СМЭВ, ЕСИА, ЕБС, другие шины), то во всех таких системах должен будет применяться максимальный класс КА (при наличие хотя бы одной системы с КА).

·        Уже 6 лет прошло с момента утверждения приказа ФСБ России №378. Хорошо бы его привести к единому виду с новым приказом, для избежания двойных/несогласованных требований в случае когда ГИС – ИСПДн

 

 


Источник — Блог Сергея Борисова про ИБ.

Сергей Борисов

Об авторе Сергей Борисов

Работал в области ТЭК, нескольких банках, последние 10 лет в системной интеграции по ИБ. В данный момент работаю в области ИБ. Занимаюсь комплексными проектами СОИБ, СЗПДн, экспертизой в проблемных случаях, развитием и продвижением новых ИБ продуктов Все, что написано в этом блоге, отражает только личную точку зрения автора и не имеет никакого отношения к точке зрения его работодателя или иной организации, с которой автора связывают официальные отношения (если это не выделено особо).
Читать все записи автора Сергей Борисов

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *