Пересмотр защиты ГИС

ФСТЭК опубликовала информационное письмо с сообщением о начале планового пересмотра практики использования Приказа №17, который определяет требования к ИБ государственных информационных систем.

В документе говорится: «По результатам проведенного анализа в IV квартале 2015 г. планируется внесение изменений в Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, а в I квартале 2016 г. – утверждение второй редакции методического документа ФСТЭК России «Меры защиты информации в государственных информационных системах». При этом указывается, что предложения по совершенствованию документов могут быть направлены по электронной почте (prikaz_17@fstec.ru) до 15 апреля 2015 г.

Собственно, Приказ №17 ФСТЭК был первым из принятых в 2014 г. документов, которые можно отнести к новому поколению руководящих документов. Требования к защите государственных информационных систем закреплены в «трёхглавом» законе ФЗ-149, который за два года несколько раз менялся, поэтому возникла необходимость в пересмотре требований Приказа №17 в соответствии с новыми реалиями. Впрочем, и ранее ФСТЭК сообщала, что намерена раз в два года пересматривать свои руководящие документы.

Пока эксперты не торопятся высказывать мнения о том, что именно нужно менять в Приказе №17. Некоторые из них предпочитают самостоятельно общаться с регулятором, а некоторые ещё не сформировали свои позиции – впрочем, до 15 апреля ещё есть время. Пока же изменения формулируются лишь на уровне общих идей.

«КРОК, как правило, участвует в обсуждении изменений в законопроектах и требованиях регуляторов, касающихся информационной безопасности, – рассказывает Евгений Дружинин, ведущий эксперт по информационной безопасности компании КРОК, – поэтому практика внесения предложений у нас уже наработана. Если найдутся временные ресурсы, поучаствуем в обсуждении и на сей раз. Так, у нас есть принципиальные предложения по совершенствованию текста Приказа №17 в отношении вопросов взаимодействия информационных систем разных классов защищенности, в том числе при их «вложенности» друг в друга. Пока в Приказе это не отражено, но на практике подобные вопросы возникают очень часто.»

Есть и более радикальные предложения. Например, Александр Соколов, соруководитель Комитета АП КИТ по вопросам информационной безопасности, говорит: «При проектировании информационных систем или разработке мер защиты достаточно часто отсутствуют необходимые сертифицированные средства защиты информации (СрЗИ). Тогда в соответствии с п. 15.1 Приказа необходимо либо разрабатывать (дорабатывать) и сертифицировать СрЗИ под свой уникальный набор мер защиты, либо комплектовать систему защиты из имеющихся на рынке средств. Поэтому целесообразно типизировать объекты ИС по набору мер защиты и приравнять классы защищенности ИС к классам СрЗИ (с соответствующими требованиями к ним). Это позволит сформулировать типовой набор мер (требований к СрЗИ) и организовать сертификацию партии или производства СрЗИ по таким требованиям, а имеющийся набор требований к классам СрЗИ «разложить» по уровням защищенности ИС. Ассоциация предприятий компьютерных и информационных технологий высоко оценивает законодательную инициативу ФСТЭК России и готова организовать сбор и обобщение предложений, а также их публичное обсуждение».