СКЗИ в ГИС. Проект приказа ФСБ.

Дата: 25.11.2020. Автор: Валерий Комаров. Категории: Блоги экспертов по информационной безопасности
СКЗИ в ГИС. Проект приказа ФСБ.

   Обсудим проект приказа ФСБ России Об утверждении Требований о защите информации, содержащейся в государственных информационных системах, с использованием средств криптографической защиты информации https://regulation.gov.ru/projects?fbclid=IwAR0BTUKGRlUtwnVGnm0mgi8E6aKPWyhiCvzN7TgEeciyTRugnQjbhri1-DY#npa=110754

  Общественное обсуждение продлится до 7 декабря 2020 года, призываю активно участвовать.

  Чем важен этот приказ для операторов ГИС? 

2. Настоящий приказ вступает в силу по истечении шести месяцев со дня его официального опубликования.

   Очень похоже на то, что для всех СКЗИ, используемых в ГИС, потребуется проводить определение класса СКЗИ по новым требованиям. И на это дается полгода, а потом проверка и штраф по ст.13.12 КоАП.

   Собственно сам проект приказа примечателен продолжением традиции по зоопарку терминов в ИБ.

   1. Есть привычный и много лет применяемый приказ ФСТЭК от 11 февраля 2013 г. N 17 ОБ УТВЕРЖДЕНИИ ТРЕБОВАНИЙ О ЗАЩИТЕ ИНФОРМАЦИИ, НЕ СОСТАВЛЯЮЩЕЙ ГОСУДАРСТВЕННУЮ ТАЙНУ, СОДЕРЖАЩЕЙСЯ В ГОСУДАРСТВЕННЫХ ИНФОРМАЦИОННЫХ СИСТЕМАХ, в котором есть Приложение № 1.Определение класса защищенности информационной системы

Сравним определения из действующего приказа ФСТЭК и проекта приказа ФСБ

ФСТЭК — Сегмент информационной системы— совокупность нескольких компонентов информационной системы, использующих общую (в том числе разделяемую) среду передачи и объединенных для единства решения функциональных задач.

ФСБКласс СКЗИ, подлежащих использованию для защиты информации, содержащейся в ГИС, определяется для каждой составной части ГИС, предназначенной для решения задач ГИС в пределах определенной территории или объекта (объектов) (далее – сегмент ГИС).  

    У ФСБ явно прописано, что сегмент ГИС определяется через территориальную отделенность частей ГИС. У ФСТЭК только решаемым функционалом. 

ФСТЭК — федеральный масштаб, если она функционирует на территории Российской Федерации (в пределах федерального округа) и имеет сегменты в субъектах Российской Федерации, муниципальных образованиях и (или) организациях.

 ФСБ  — федеральный масштаб, если она предназначена для решения задач ГИС на всей территории Российской Федерации или в пределах двух и более субъектов Российской Федерации

ФСТЭК — региональный масштаб, если она функционирует на территории субъекта Российской Федерации и имеет сегменты в одном или нескольких муниципальных образованиях и (или) подведомственных и иных организациях

ФСБ — региональный масштаб, если она предназначена для решения задач ГИС в пределах одного субъекта Российской Федерации.

ФСТЭК — объектовый масштаб, если она функционирует на объектах одного федерального органа государственной власти, органа государственной власти субъекта Российской Федерации, муниципального образования и (или) организации и не имеет сегментов в территориальных органах, представительствах, филиалах, подведомственных и иных организациях.

ФСБ — объектовый масштаб, если она предназначена для решения задач ГИС в пределах объекта (объектов) одного государственного органа, муниципального образования и (или) организации.

   Уровни значимости информации определяются одинаково. 

  Вопрос: зачем нужно вводить это разнообразие определений? Комиссия теперь должна определять масштаб ГИС по ФСТЭК для категорирования ГИС и масштаб ГИС по ФСБ для определения класса СКЗИ в этой ГИС? Что мешает просто сделать таблицу соответствия класса СКЗИ классам ГИС? И сегментация ГИС в проектных решениях по ФСТЭК и по ФСБ?

    2. Проект приказа содержит избыточный текст в п.18-п.20. Особенно п.20, в котором абзац Правило, указанное в абзаце первом настоящего пункта, применяется, если для защиты информации, содержащейся в ГИС (сегменте ГИС), в соответствии с таблицей, приведенной в приложении к настоящим Требованиям, необходимо использовать СКЗИ класса КС1, КС2 или КС3. просто не нужен, так как он не несет никакого практического смысла. При таком нарушителе используй класс СКЗИ -КВ и точка. (см.п.21 проекта Приказа).

    3. Пункты 16 и 17 написаны очень странно. Особенно п.17

17. Класс СКЗИ, подлежащих использованию для защиты информации во взаимодействующих между собой сегментах одной ГИС, определяется не ниже наименьшего класса СКЗИ, используемого для защиты информации в таких сегментах ГИС. 

   Я в каждом сегменте уже определил классы СКЗИ по требованиям приказа, откуда у меня появится класс СКЗИ ниже наименьшего для взаимодействующих сегментов?

   Такое ощущение, что речь идет об использовании СКЗИ для организации защищенного канала связи между сегментами ГИС при их взаимодействии, а не для защиты информации в самих взаимодействующих сегментах.

   4. Несколько удивляет Таблица определения класса СКЗИ, подлежащих использованию для защиты информации, содержащейся в ГИС (сегменте ГИС) в части регионального уровня: отсутствует КС2. Вполне возможно, что это обоснованно. Но как то странно.

 * Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе ЧаВо по КИИ на главной странице блога.

** Все новости блога на публичном Telegram-канале  t.me/ruporsecurite

*** YouTube — канал блога

**** Яндекс.Дзен https://zen.yandex.ru/id/5c7b7864fa818600ae3856a1

***** Публичный ТамТам-канал https://tt.me/blog_ruporsecurite


Источник — Блог о нюансах и особенностях законодательства в области информационной безопасности Валерия Комарова “Рупор бумажной безопасности”.

Валерий Комаров

Об авторе Валерий Комаров

Блог о нюансах и особенностях законодательства в области информационной безопасности Валерия Комарова "Рупор бумажной безопасности"
Читать все записи автора Валерий Комаров

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *