В пятницу я принимал участие в круглом столе для гос.организаций в рамках загородной конференции "Softline Security Club 2016". На нем мы обсуждали вопросы "импортозамещения" и "соответствия нормативным требованиям", а я готовил краткие вводные презентации и тезисы по обеим темам.
Коллеги в твиттере удивились моему термину "compliance для госов", поэтому я решил написать небольшую заметку по этому поводу.
Конечно же государственным организациям (государственные органы или государственные корпорации) не слишком будут интересны "классические" требования типа PCI DSS, ISO 27001, HIPPA, 382-П, но есть моменты, на которые стоит обратить внимание. Уже давно это не новости, но тут скорее обобщил важное:
1. Ожидаем новые требования к защите ИС (не только к ГосИС)
Законопроект " О внесении изменений в статью 16 Федерального закона «Об информации, информационных технологиях и о защите информации» " прошел уже все основные согласования и вполне может быть принят в конце этого года. А это значит, что в статью 16 основного для нас закона могут быть внесены следующие изменения:
1) часть 5 изложить в следующей редакции: «5. Требования о защите информации, содержащейся в государственных информационных системах, а также иных информационных системах, в которых на основании договоров или иных законных основаниях обрабатывается информация, обладателями которой являются государственные органы или государственные корпорации, устанавливаются федеральным органом исполнительной власти в области обеспечения безопасности и федеральным органом исполнительной власти, уполномоченным в области противодействия иностранным техническим разведкам и технической защиты информации, в пределах их полномочий. При создании и эксплуатации таких информационных систем используемые в целях защиты информации методы и способы ее защиты должны соответствовать указанным требованиям.»
Дадада, ожидаем новые требования! И не только к защите ГосИС, но и любых других (всех)... Я бы ожидал расширения области действия Приказа ФСТЭК России №17 и появления требований по ГосСОПКА...
Еще определят несколько обязательных верхнеуровневых мер (но тут все относительно просто):
2) дополнить частями 5.1 и 5.2 следующего содержания: «5.1. Операторы государственных информационных систем, а также иных информационных систем, в которых на основании договоров или иных законных основаниях обрабатывается информация, обладателями которой являются государственные органы или государственные корпорации, создают системы защиты информации и обеспечивают их функционирование в соответствии с требованиями о защите информации, предусмотренными частью 5 настоящей статьи. Создание и обеспечение функционирования систем защиты информации должно предусматривать:
1) назначение оператором лиц, ответственных за организацию защиты информации, а также за планирование и разработку, внедрение, мониторинг, поддержание и совершенствование мер защиты информации;
2) издание оператором документов, определяющих политику обеспечения защиты информации, в том числе локальных актов по организации защиты информации, а также локальных актов, устанавливающих процедуры, направленные на обеспечение защиты информации в соответствии с настоящим Федеральным законом;
3) планирование и разработку, внедрение, мониторинг, поддержание и совершенствование мер защиты информации в соответствии с требованиями о защите информации, предусмотренными частью 5 настоящей статьи;
4) осуществление внутреннего контроля соответствия защиты информации требованиям о защите информации, предусмотренным частью 5 настоящей статьи, политике оператора по обеспечению защиты информации, локальным актам оператора;
5) ознакомление работников оператора, непосредственно осуществляющих обработку и защиту информации, с требованиями о защите информации, документами, определяющими политику оператора по обеспечению защиты информации, локальными актами оператора и обучение указанных работников.
А еще на операторов ИС возложат обязанность по информированию о компьютерных инцидентах:
"5.2. Операторы государственных информационных систем, а также иных информационных систем, в которых на основании договоров или иных законных основаниях обрабатывается информация, обладателями которой являются государственные органы или государственные корпорации, информируют федеральный орган исполнительной власти в области обеспечения безопасности и федеральный орган исполнительной власти, уполномоченный в области противодействия иностранным техническим разведкам и технической защиты информации, о событиях безопасности, в результате которых нарушено или прекращено функционирование информационной системы и (или) нарушена безопасность обрабатываемой в информационной системе информации (компьютерных инцидентах).»."
2. Ждем регламентирующих требований и методических материалов по ГосСОПКА
Пока у нас в общем доступе есть лишь выписки из «Концепции государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ» и Указа Президента РФ от 15 января 2013 г. N 31с «О создании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ», и мы ждем утверждение законопроекта по КИИ (бывший "про КВО"), который бы задал законодательную основу для выстраивания отдельных элементов ГосСОПКА.
После этого появятся и обязательные требования, и методические рекомендации сборник анекдотов.
3. Ожидаем обновления Приказа ФСТЭК России №17
Об этом я писал еще в феврале , но напомню про изменения:
- Отказались от 4го класса защищенности ИС (всего будет 3).
- Появятся общие рекомендации по необходимым внутренним документам по ИБ.
- Сертификация СЗИ по 4НДВ для всех классов ИС будет обязательной.
- Будет пересмотрен перечень мер (выровнен с Приказом 31). Добавлены 9 новых групп: Защита информации при использовании мобильных устройств, Безопасная разработка ПО, Информирование и обучение персонала, Выявление инцидентов и реагирование на них и др.
- Возможно станет больше обязательных мер (это те "+" в таблице в приложении).
- Этап формирования модели угроз перенесут в стадию разработки системы защиты информации.
- Возможно пересмотрят (расширят) область действия документа.
4. Обращаем внимание, что все чаще стали упоминаться требования по мониторингу событий и инцидентов ИБ
Об этом в явном виде сказано в проекте закона с правками 149-ФЗ (см.п.1), новой Доктрине ИБ, положениях о ГосСОПКА, соответствующих мерах Приказов ФСТЭК России №17 и №21. Уже видно, что гос.организации пойдут по пути банковской отрасли, создавшей FinCERT и выпускающей рекомендации по реагированию на инциденты... Тема мониторинга и управления инцидентами ИБ (в том числе и уведомление о них), на мой взгляд, уже очень скоро перейдет из разряда рекомендательной в позицию "строго обязательно". Возможно по этому соответствующая услуга на аутсорсинге становится все популярнее и востребованной...
Но обратите внимание, что со стороны ФСТЭК России предъявляются требования по использованию такого рода услуг:
5. Тема импортозамещения для гос. органов и гос.компаний набирает обороты
Об этом я довольно подробно рассказываю на курсах РАНХиГС для MBA CSO ( вот ссылка на большую презентацию ), а для круглого стола SoftLine делал укороченную обзорную презентацию. Выкладываю несколько обновленных слайдов:
6. Тема защиты ПДн притихла, но остается обязательной
Про проверки выполнения требований по защите ПДн со стороны ФСТЭК России и ФСБ России мы слышим редко, но сбрасывать их со счетов я бы не рекомендовал. А вот РКН со своей стороны регулярно отчитывается о контроле и надзоре ( об этом писал тут )...
Вот такие вот важные моменты я выделяю в теме "compliance для госов".
Может что-то забыл и стоит добавить? Напишите об этом в комментариях...