Обязательное согласование моделей угроз и ТЗ для ГИС (обзор ПП-555)

Обязательное согласование моделей угроз и ТЗ для ГИС (обзор ПП-555)
Есть такое Постановление Правительства под номером 676 от 6 июля 2015 года. Устанавливает оно требования к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации. И до недавнего времени это Постановление никоим образом не касалось вопросов защиты информации. Минкомсвязь, инициировавший данное Постановление, жил в своем ИТ-мире и никак не пересекался с миром ИБ, в котором правили ФСТЭК с ФСБ со своими нормативными актами. Но в конце 2015-го года Президент поручил множеству разных министерств и ведомств усовершенствовать защиту информации в Российской Федерации и, в частности, в государственных органах. А тут еще в Минкомсвязь нагрянул новый заместитель министра, г-н Соколов, который стал курировать вопросы информационной безопасности. И произошло чудо... Позиции Минкомсвязи и ИБ-регуляторов стали сближаться.

Сначала ФСТЭК приняла поправки в 17-й приказ, которые синхронизировали порядок создания государственных информационных систем, установленный в ПП-676, с требованиями по ИБ 17-го приказа. А 11-го мая Правительство приняло инициированное Минкомсвязью Постановление Правительства №555 "О внесении изменений в требования к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации", которое целиком и полностью посвящено вопросам защиты информации.

Документ, вступающий в силу 23-го мая, обязал органы исполнительной власти во всех мероприятиях, связанных с ГИС, учитывать требования ФСТЭК и ФСБ по защите информации. Но самое главное, что по этому Постановлению требуется согласовывать модели угроз и ТЗ на созданию/модернизацию ГИС с ФСТЭК и ФСБ, должностные лица которых должны утверждать эти документы. Вот такой сюрприз! Причем для всех - и для пользователей ГИС, и для регуляторов.

Смею предположить, что ни ФСТЭК, ни ФСБ не имели отношения к данной норме, так как еще совсем недавно, когда я обсуждал этот вопрос с ними, они прямо говорили, что массовое утверждение модели угроз не входит в их компетенцию и у них нет ресурсов делать это для каждого госоргана, который к ним обращается. Поэтому они делали это в исключительных случаях, для значимых информационных систем. И тут вот такой поворот. Как из него будут выкручиваться, пока сложно сказать. Ведь методику моделирования угроз ФСТЭК не приняла до сих пор (с ФСБ ситуация чуть проще - у них зона ответственности меньше). И что делать законопослушным госорганам, которые с 23-го мая будут вынуждены отправлять свои модели угроз в ФСТЭК и ФСБ?

При этом, новое ПП-555 также фиксирует, что ГИС не может быть введена в эксплуатацию без:
  • выполнения требований ФСТЭК и ФСБ, включая отсутствие соответствующего аттестата,
  • записи в реестре о местонахождении элементов ГИС (они не могут находиться за пределами РФ),
  • устранения нарушений, выявленных в рамках контроля и надзора за вводом в эксплуатацию отдельных ГИС,
  • оформления прав на использование ее компонентов, являющихся объектами интеллектуальной собственности.
В ФСБ направлять свои модели угроз надо сразу в центральный аппарат - терорганы не занимаются этими вопросами. По ФСТЭК возможно и удастся распределить эту нагрузку между управлениями по федеральным округам, но встанет вопрос компетенций и временных затрат на такие согласования. Если же ФСТЭК тоже будет всех заворачивать в Москву, во 2-е Управление, то оно просто "умрет" под ворохом таких запросов и на выработку других документов (новых РД, методичек, новых приказов) сил у них уже не останется - все погрязнет в рутине.

Пока вопросов больше, чем ответов. Совершенствование защиты информации - это, конечно, хорошо и полезно, но вот так вот "менять коней на переправе"?.. Если же перейти из плоскости теоретической в практическую, то могу порекомендовать начать работу над моделью угроз (если у вас ее еще нет) с сервиса, созданного Булатом Шамсутдиновым - www.threat-model.com .


Как и положено сервис базируется на банке данных угроз ФСТЭК, а в качестве методологии взят за основу последний публичный проект методики ФСТЭК, выложенный на сайте регулятора. На самом деле с того момента этот проект был сильно переработан, но как точка отсчета этот бесплатный сервис, созданный Булатом, подходит как нельзя лучше. Удачи!
Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Ищем уязвимости в системе и новых подписчиков!

Первое — находим постоянно, второе — ждем вас

Эксплойтните кнопку подписки прямо сейчас