2019/09/20 16:33:22

Требования к защите информации в государственных информсистемах


Содержание

2019

Производителей ПО, которые не раскроют исходники, оставят без госзаказов в России

20 сентября 2019 года стало известно, что в России усложнили ИТ-компаниям правила сертификации, в результате чего производители программного обеспечения, которые откажусь раскрыть исходники ПО, могут остаться без госзаказов.

1 июня 2019 года Федеральная служба по техническому и экспортному контролю (ФСТЭК) ввела правила, согласно которым разработчики средств защиты информации должны с помощью специальных лабораторий оценить, соответствуют ли их средства новым требованиям, и представить данные во ФСТЭК для переоформления сертификата.

С 1 января 2019 года ряд ИТ-компаний может лишиться права работать с госорганами из-за усложнения правил сертификации

Как пояснили РБК несколько участников ИТ-рынка, новые требования предусматривают полный доступ к исходному коду продукта для проверки на предмет наличия недекларированных возможностей (так называемые закладки или скрытые функции, которые, например, приводят к нарушению конфиденциальности).

«
Чтобы начать процесс сертификации, любой вендор должен будет предоставить для анализа исходный код своих продуктов, но не все вендоры могут себе это позволить в связи с собственными политиками безопасности, — подтвердила изданию руководитель группы сертификации «Лаборатории Касперского» Карина Нападовская.
»

По словам руководителя службы информационной безопасности «Новых облачных технологий» Александра Буравцова, к 20 сентября 2019 года в реестре средств защиты информации нет средств, сертифицированных по новым правилам. С момента подачи заявки до внесения в реестр может пройти от полугода до нескольких лет, и даже сертификаты, выданные в конце августа 2019 года, оформлялись по старым требованиям, отметил он. 

Ранее ФСТЭК предупреждала, что с 1 января 2020 года она может приостановить действие сертификатов соответствия средств защиты информации, если разработчики и производители этих средств не проведут переоценку их соответствия уровням доверия. Это значит, что такие решения нельзя будет использовать в государственных ИТ-системах.[1]

Публикация изменений в требования к защите информации в государственных информсистемах

17 сентября 2019 года стало известно, что Федеральная служба по техническому и экспортному контролю опубликовала изменения в Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах[2]. Эти требования были утверждены еще в начале 2013 года, и вот теперь в них внесен ряд изменений.

ФСТЭК

Документ был утвержден еще 28 мая 2019 года, однако приказ опубликован только в сентябре 2019 года.

Всего вносятся изменения в 18 пунктов требований, причем большинство нововведений представляют собой дополнения или конкретизацию ранее изложенных положений.

Вступающие в силу изменения представляют, в первую очередь, интерес для центров обработки данных, которые предполагают размещать у себя государственные информационные системы, а также для операторов таких систем, которые могут пожелать разметить их в ЦОД.

Так, например, подчеркивается, что если информационная система создается на базе информационной-телекоммуникационной инфраструктуры ЦОД, то такая инфраструктура должна быть аттестована на соответствие требованиям ФСТЭК.

При этом аттестат соответствия теперь выдается на весь срок эксплуатации информационной системы, но оператор должен "обеспечивать поддержку соответствия системы защиты информации аттестату соответствия в рамках реализации мероприятий, предусмотренных пунктом 18 настоящих требований".

В обновленном варианте Требований перечисляются следующие мероприятия: анализ угроз безопасности информации, управление системой защиты информации, управление конфигурацией информационной системы и ее системой защиты информации, реагирование на инциденты, информирование и обучение персонала и контроль за обеспечением уровня защищенности информации, содержащейся в ИС. Также подразумевается, что для всех этих мероприятий заранее готовится план.

Раздел 18 дополнен также тремя пунктами - 18.5-18.7. В них регламентируются процедуры реагирования на инциденты с информационной безопасностью, в том числе анализ, принятие мер по устранению инцидентов, восстановление систем и профилактика рецидивов; обучение персонала, контроль за его осведомленностью и практические занятия; а также меры по контролю и обеспечению уровня защищенности информации в ИС.

Тренинги для персонала предполагается проводить не реже 1 раза в два года, мероприятия по контролю за обеспечением уровня защищенности информации в ИС - не реже одного раза в год.

«
По большому счету подобные мероприятия надо проводить намного чаще. Ландшафт киберугроз меняется постоянно, для того, чтобы персонал был готов справляться с угрозами, обучать его необходимо куда регулярнее,
считает Олег Галушкин, директор по информационной безопасности компании SEC Consult Services
»

Мероприятия по контролю за обеспечением уровня защищенности Требования ФСТЭК предлагают оператору проводить самостоятельно или с привлечением организации, имеющей лицензию на деятельность по технической защите конфиденциальной информации.

Также Требования освобождают операторов от принятия каких-либо дополнительных мер безопасности, если защитные системы ЦОД уже обеспечивают адекватное блокирование угроз для информационной системы, действующей на его базе. При этом оговаривается, что при проектировании вновь создаваемых или модернизируемых информационных систем, имеющих доступ к Интернету, должны использоваться только маршрутизаторы, сертифицированные в РФ на соответствие требованиям по безопасности информации.

Примечания