Недавно мы организовали обсуждение нового порядка аттестации объектов информатизации, вступившего в силу с 1 сентября 2021 года. С материалами обсуждения рекомендуем ознакомиться тем, кто готов прочитать эту статью до конца. Для тех, кто не готов – достаточно ликбеза в первой части статьи.
После мероприятия к нам поступили десятки вопросов, на которые можно было бы и не отвечать, но, раз назвались груздем, лезем в кузов. Под катом вы найдёте ответы на первую часть вопросов.
Ликбез
Немного теории для медитации перед погружением в мир аттестации.
Информационная система (ИС) – это программное обеспечение (ПО) + оборудование (сервера, пользовательские устройства, маршрутизаторы, ИБП и т.д.) + люди (администраторы, пользователи).
Допустим, у частной компании есть электронная почта на виртуальном сервере. Информационная система в этом случае – это ПО сервера электронной почты, ПО системы виртуализации, железо, на котором работает система виртуализации, и ЦОД, где размещено это железо. Плюс пользовательские устройства, которые получают доступ к электронной почте. Плюс люди, которые всем этим пользуются и всё это обслуживают и защищают.
Существует категория информационных систем, безопасность данных в которых контролируется государством. К таким информационным системам предъявляется ряд обязательных требований. Примеры таких систем:
Государственные информационные системы (ГИС) – gosuslugi.ru, mos.ru и др.
Объекты критической информационной инфраструктуры (КИИ), к которым относятся различные ИС/АСУ*/ИТКС** в 13 сферах экономической деятельности – здравоохранение, наука, транспорт, связь, энергетика, банковская сфера, топливно-энергетический комплекс и др.
Информационные системы персональных данных – информационные системы банков, школ, поликлиник, визовых центров, интернет-магазинов, в которых хранятся персональные данные, с помощью которых можно идентифицировать человека. Например, ФИО, дата рождения, образование, доходы и др.
* АСУ – автоматизированная система управления, класс ИС для управления разного рода процессами. Автоматизированная, потому что в ней участвует человек. Если бы человек был системе не нужен, она была бы автоматической.
** ИТКС – информационно-телекоммуникационная система, класс ИС, которые отвечают за передачу данных. Например, сети сотовых операторов – это ИТКС.
Среди перечисленных систем есть такие, которые заботят государство больше остальных. Это ГИС и объекты КИИ. Ущерб от недоступности этих систем или утечки данных из них выше, чем у других систем. Сложно себе представить последствия отказа АСУ воздушным движением или Системы управления и мониторинга сети какого-нибудь оператора связи.
Владельцы ГИС и объектов КИИ должны подтверждать уполномоченным органам, что они выполняют обязательные требования по безопасности в информационных системах.
Процесс подтверждения выполнения требований называется АТТЕСТАЦИЕЙ.
При желании можно попытаться аттестовать любую информационную систему, но ГИС и объекты КИИ требуется аттестовать, даже если желания нет :)
Чтобы объективно оценить разнокалиберность проблем, связанных с проведением аттестации, мы решили посмотреть на них глазами персонажа по имени ГИСАДМИН, которому предстоит преодолеть все тернии аттестации.
По сценарию наш герой родился лет 30 назад в уездном городе π, где и работает по сей день в одной муниципальной конторе. Город небольшой, тихий, торопиться не принято, бывают перебои с кофе и пивом. Поэтому технарей мало.
ГИСАДМИН одновременно и АйТишник на все руки, и ИБэшник на всю голову, который иногда бьёт айтишника по рукам. В общем, человек тяжёлой судьбы.
В детстве ГИСАДМИН интересовался у родителей, почему его так странно назвали. Родители приводили разные доводы –во-первых, это красиво, а во-вторых, это перспективно. Услышав это, наш герой молча согласился и как-то сразу повзрослел.
О буднях провинциального админа
Пятница медленно переползала первую половину трудового дня. ГИСАДМИН, напевая don't worry be happy, предвкушал вечерние чипсы с пивом. Но резкий телефонный звонок рассеял сказочный мираж.
– ГИСАДМИН, ты готов к великим свершениям! – начал издалека шеф.
Эта увертюра повторялась каждый раз, когда нужно было работать в выходные, а платить сверхурочные было нечем.
– Михалыч, давай ближе к делу, – решительно потребовал ГИСАДМИН.
Шеф что-то пробурчал про племя молодое, незнакомое и скороговоркой объявил приговор:
– Намедни ввели в эксплуатацию областную систему контроля за бюджетом.
Отчёты теперь нужно подавать только через неё. Следующий отчёт во вторник.
К понедельнику подключишь к этой системе компьютер главбуха и её заместителя!
Инструкцию по подключению пришлю тебе на почту. Пароли, как обычно, наклеены на системных блоках.
Придя в себя от почтового beep, ГИСАДМИН прочитал письмо от Михалыча. В нём был только адрес для подключения к системе контроля бюджета и контакты областного админа.
ГИСАДМИН воткнул свободный патч-корд в комп бухгалтера, включил его, ввёл пароль, набрал адрес областной системы в браузере и …. молчание было ему ответом.
Позвонил областному админу. Не дозвонился. Отправил на почту просьбу перезвонить и стал ждать.
Пока ждал поменял на бухгалтерских компах пароли, чтобы в следующий раз не приходить, когда они протухнут.
Смена пароля в бухгалтерии – это цирковое представление, которое начинается после появления на экране окна для его смены. Вариантов финальной сцены всего два – участники шоу либо зовут админа, либо меняют пароль, который в следующий раз не могут вспомнить.
За этим занятием ГИСАДМИНА и застал телефонный звонок из области.
– Добрый день, это Кузьмин? Вы просили перезвонить по подключению к областной ГИС.
– Здравствуйте, я не Кузьмин, я ГИСАДМИН. Мне нужно к понедельнику подключить два компьютера к вашей системе. Вы прислали адрес. В браузере он не открывается. Что делать?
– Да, хоть Пушкин. Для доступа нужна практика, а не философия.
ГИС аттестована. И это не аттестат о среднем образовании. Это подтверждение того, что в системе реализованы необходимые меры защиты. Без этого ГИС в эксплуатацию не ввести. Почитай на досуге 17 приказ ФСТЭК и Постановление Правительства 656. Там всё написано.
Мне нужно убедиться, что твои компы достаточно защищены. После внести информацию о них в аттестат. На компах нужен антивирус. Если операционка не сертифицирована, нужно установить средство защиты от НСД*. Для доступа понадобится VPN.
* НСД – несанкционированный доступ. Без сокращений в ИБ никуда. В данном контексте имеется в виду НСД к информации.
– Не так быстро, я записываю, – взмолился ГИСАДМИН.
– Для ГИСАДМИНов еще раз повторяю.
– На удаленном АРМе для подключения к ГИС должны быть установлены: анти-ви-рус, средство от ЭН-ЭС-ДЭ и ВИ-ПИ-ЭН! Записал? Смотри в слове НСД первую букву не перепутай. И последние две местами не меняй, чай не бухгалтер.
VPN клиента, как я понимаю, нет. Дистрибутив и инструкцию пришлю. После установки будет нужно запросить сертификат для каждого компа. Это написано в инструкции.
Запросы пришли мне на почту. Заодно заполни опросник по каждому компу, чтобы я мог внести эту информацию в аттестат. Почту пришли мне в SMS. Всё понял?
– Понял. Сегодня всё отправлю.
– Передай пользователям и начальнику, что у вас будет доступ только для загрузки и чтения данных. Выгрузить данные или документы из системы будет нельзя. Иначе придётся проводить аттестацию. И делать это придётся вам. Мы не можем отвечать за защиту данных ГИС на ваших компах.
– Я этого не знал, передам. Спасибо!
– Если будут вопросы, звони. Всем уездам нужно во вторник подавать отчёты. Подключились только два из двенадцати. Так что не только тебя ждут «весёлые» выходные. Держись, Чечеткин.
– Я ГИСАДМИН…
– Да, вкурил я твою шутку. Тогда зови меня ВЛАДГИС. Почти как Пельш, только ВЛАДелец ГИС.
Ну, а по жизни я Володя. Но для тебя – ВЛАДГИС.
Прошли выходные. К понедельнику компьютеры были готовы. Во вторник уездный город π отправил в область отчёт. В среду ГИСАДМИН получил отгул, и, находясь под впечатлением от чипсов, пива и ВЛАДГИСа, сделал первую запись в Дневнике ГИСАДМИНА.
Аттестация проводится на этапе создания информационной системы или при изменении её конфигурации – включении или исключении из состава системы АРМ, телекоммуникационного оборудования или средств защиты.
При подключении новых АРМ к ранее аттестованной информационной системе не нужно проводить переаттестацию, если соблюдены требования по составу и настройкам средств защиты типовых компонентов.
Владелец информационной системы должен вносить информацию об изменениях её конфигурации в Технический паспорт информационной системы.
Внешние пользователи с неаттестованными АРМ могут получать доступ к аттестованным информационным системам, если это предусмотрено Техническим паспортом. Условия предоставления доступа указываются в разделе «Условия эксплуатации информационной (автоматизированной) системы» Технического паспорта.
Эпилог
Почти все события в статье вымышленные. Совпадения с реальными людьми и фактами практически случайны. Появятся ли следующие записи в Дневнике ГИСАДМИНА – решать вам.
Ждем ваши «за» и «не за» в комментариях.
Комментарии (35)
ifap
24.10.2021 16:16Примеры таких систем:
Государственные информационные системы (ГИС) – gosuslugi.ru, mos.ru и др.
Не подскажите ссылку на нормативку, которая однозначно относит упомянутые порталы к ГИС? И, кстати, а какой-нибудь nalog.ru — ГИС или так просто, госсайтик?
oassur
25.10.2021 10:59+1Портал госулуг есть в реестре федеральных ГИС (ФГИС): https://portal.eskigov.ru/fgis/237. Надеюсь, что информацию о технологиях просто не обновили и сейчас там не mySQL, Alt Linux 5 и Windows XP.
В том же реестре ФГИС можно найти налоговую систему: https://portal.eskigov.ru/fgis/303. Вопросы по технике те же. Ещё вопрос как АИС "Налог 3" соотносится с nalog.ru. Скорее всего, nalog.ru - это витрина для сервисов "Налог 3". При этом часть сервисов на nalog.ru могут не являться ГИС. Например, новостной портал.
Приказ о вводе в промэксплуатацию московского портала госуслуг есть на самом mos.ru: https://www.mos.ru/kgu/anticorruption/nezavisimaia-antikorruptcionnaia-ekspertiza/view/76863220/
В целом, вопрос ГИС это или неГИС нетривиальный и 149-ФЗ не даёт на него однозначного ответа. Об этом писали в т.ч. на Хабре: https://habr.com/ru/post/458732/. Наиболее понятный ответ для меня дал Контур: https://kontur.ru/articles/1609. Статья Контура от 2015 года. С тех пор реестр ФГИС отдали Минцифре. Сейчас он доступен по ссылке: https://portal.eskigov.ru/fgis/
ifap
25.10.2021 11:41Да вот и я о том же: есть положение о ГИС, есть объявление того или иного портала ГИС «в инициативном порядке», а не хочешь — не объявляй. Утрирую, конечно, но все выглядит именно так.
oassur
25.10.2021 11:58Не знаю, как это выглядит со стороны госорганов, которые разрабатывают ИС. Обычно сталкивался с ГИС, когда заказчик уже уверен, что она ГИС :)
Для владельца ИС есть pro и contra отнесения к ГИС. Pro - если ошибочно не отнести систему к ГИС, можно получить штраф или не ввести ИС в пром в срок. Contra - ГИС не ввести в пром без аттестации по требованиям безопасности, а это затраты времени и денег.
Поскольку реестр ГИС ведёт Минцифра, на месте госоргана, который не понимает ГИС у него или неГИС, я бы отправил оф.запрос в Минцифру...
ifap
25.10.2021 12:28Я смотрю со стороны гражданина: вот сайт, если он ГИС, то должно быть соблюдено 1,2,3. Если нет — спрос другой. Я полагаю, что он должен быть ГИС, владелец — полагает иначе или просто не задумывался. По идее должна быть четкая «методичка»: что обязано быть ГИСом, а что нет, и «арбитр» к которому можно обратиться при сомнениях. По факту имеем мутные требования, которые что дышло, и пять арбитров (Минцифры, Минэк, ФСБ, ФСО, ФСТЭК), каждый из которых контролирует (нет) свою часть этой методички.
oassur
25.10.2021 12:46С сайтом сложно, потому что тот же mos.ru даёт пользователю доступ к десятку разных ГИСов. Возможно, среди сервисов mos.ru есть и неГИСы.
В определении ГИС или неГИС есть определённый бардак, но предлагаю взглянуть на проблему под другим углом.
Меня, как гражданина, больше заботят не данные госоргана, а мои собственные персональные данные. Их госорган обязан защищать, руководствуясь требованиями 21 приказа ФСТЭК.
Если сравнить требования 17 и 21 приказа ФСТЭК, то они во многом совпадают с точностью до названия систем (ГИС или ИСПДн). Поэтому портал госуслуг должен защищать данные граждан не хуже, чем коммерческий банк, даже если бы портал госуслуг не был бы ГИС.
Разница между защитой ПДн и ГИС в том, что защищать ПДн можно без аттестации. То есть нет проверяющего с дубиной перед запуском в пром, но, если будет утечка, наказания не миновать.
Объективно за свои данные на mos.ru мне страшно меньше, чем в какой-то noname-анкете, где дети могут узнать, на какого персонажа мультфильма они больше похожи. Понимаю, что сравнение гиперболизировано. Но такие сервисы, как mos.ru или nalog.ru, находящиеся на виду и имеющие тысячи пользователей и за ними сотни разработчиков, айтишников и ибэшников, кажутся достаточно безопасным местом вне зависимости от их отнесения к ГИС.
Пардон за многабукафф ))
ifap
25.10.2021 13:05Да вилами по воде тот приказ:
защита информационной системы, ее средств, систем связи и передачи данных;
Это как? Дедушка с берданкой при входе в ЦОД? Или TLS? Или SSL 2.0 — тоже защита? Я в упор не вижу конкретики, кроме общих слов про мир во всем мире.Объективно за свои данные на mos.ru мне страшно меньше
И совершенно напрасно — habr.com/ru/post/542604 (на правах саморекламы) ;)
Egorushca
25.10.2021 13:24-1Вилами по воде...
Даже в ПДД есть неоднозначные правила.
https://www.zr.ru/content/articles/908043-8-samykh-neodnoznachnykh-punktov/
Я пробовал писать однозначные документы. Критиковали - за отсутствие выбора...
Если считаете, что дедушка дешевле/страшнее/эффективнее, приглашайте его на вход в ЦОД. Если канал свой прокладывать и сторожить дорого, пользуйтесь TLS.ifap
25.10.2021 13:39А потом придет ФСТЭК и справедливо укажет, что на берданку антивирус не установить, ergo, требования приказа не соблюдены ;) Я — за жесткую и однозначную кодификацию в таких случаях. Разумеется, после всестороннего обдумывания и обсуждения, а не «мы подумали и я решил».
oassur
25.10.2021 15:42Хотелось бы к этому стремиться, но есть несколько препятствий:
Всестороннее обсуждение приводит к тому, что эксперт каждого производителя будет пытаться перетянуть одеяло на себя. Просто бизнес, ничего личного. Это приводит к затягиванию процесса разработки и согласования документа.
Документ выйдет устаревшим. Даже если все эксперты будут белыми и пушистыми, разработка и согласование нормативного документа федерального уровня займёт два-три года. За это время часть технологий устареют.
Было бы здорово иметь публичные "лучшие практики", которые сообщество экспертов самостоятельно актуализирует, но заставить следовать им участников рынка будет непросто.
На уровне российских или московских гослуг или крупных банковских систем следование лучшим практикам проще траснформировать в деньги на компенсацию убытков. В конце концов, ИБ может быть атрибутом престижа.
Но в каком-нибудь далёком уезде к ИБ относятся как к налогам: "если их можно не платить, их нужно не платить". В этом случае рекомендации не работают. Только требования.
ifap
25.10.2021 18:211. До уровня конретных (брендовых) решений еще тонны нормативки придется исписать, пока экспертам придется тянуть общее одеяло: антивирус в принципе нужен или нет, включаем его в Требования?
2. Ваши бы слова — да законтворцам в уши, которые пишут ФЗ за неделю левой пяткой, а потом за неделю проводят его через Госдуру и далее со всеми остановками ;)
Публичные практики есть, даже отечественные (вот, мы предлагаем одну из), а есть ГОСТы которые, которые можно рассматривать в таком же качестве, но они часто необязательные. В теории, на практике — как фишка ляжет. Вот кто мешает обязать применять те же ГОСТы (их качество оставим за скобками)?
oassur
25.10.2021 19:13Нужен, если технически реализуем (на iOS нет), и есть риск появления вредоносных файлов или ПО (например, у некоторого бортового ПО такого риска нет, как и потребности ставить антивирус).
Начиная от решения сделать условный ГОСТ до того, как его напишут, согласуют и примут как рекомендации, уходит 1-3 года. Даже если в течение этих 1-3 лет времени тратится меньше, чем хотелось бы.
Если применять все ГОСТ, систему в пром никогда не сдать, потому что их Очень много. С другой стороны, процесс сертификации ПО во ФСТЭК сейчас таков, что проще реализовать требования ГОСТ по безопасной разработке, чем не реализовать.
oassur
25.10.2021 14:57Предлагаю вернуться к исходному вопросу. "Если ГИС, то нужно 1, 2, 3." Если не вдаваться в степень детализации требований, для ИСПДн нужны те же самые 1, 2 и 3. Отличие только в том, что эти "1, 2, 3" нужно подтвердить до ввода в ГИС в пром.
Иногда требования закрывают оргмерами типа деда с берданкой, наличия СКУД или жалюзи на окнах (чтобы супостат не подглядел лишнего через окно).
Обоснованность применения оргмер при проверке или аттестации ещё нужно обосновать. Например, на iOS нельзя написать антивирус. В принципе нельзя. Поэтому риски ИБ нужно закрывать иначе. Например, запретив пользователю устанавливать приложения не из App Store - организационно или технически.
За вашу статью и работу, которую проделали до её написания - спасибо. Надеюсь, что владельцы ИС, которые вы проверили, с ней ознакомились и запланировали доработки.
oassur
25.10.2021 15:13Более конкретно требования к реализации мер прописаны в методических рекомендациях: https://fstec.ru/tekhnicheskaya-zashchita-informatsii/dokumenty/114-spetsialnye-normativnye-dokumenty/805-metodicheskij-dokument
Здесь тоже есть не вся конкретика. Но уровень детализации заметно выше, чем у 17 приказа.
Поскольку требования 17 и 21 приказов во многом схожи, можно при защите ИСПДн использовать эти же рекомендации.
ifap
25.10.2021 18:24По ссылке на PDF — 404 Материал не найден.
oassur
25.10.2021 18:44На странице https://fstec.ru/tekhnicheskaya-zashchita-informatsii/dokumenty/114-spetsialnye-normativnye-dokumenty/805-metodicheskij-dokument нужно нажать на "Методический документ" слева сверху.
У меня так скачивается.
ifap
26.10.2021 02:35Хм, Огнелис — 404, Хромой — скачал…
2014 год, автор слышал про антивирус, поэтому посвятил ему целую главу. Остальное — опять вилами по воде, т.е. все понятно, но что конкретно?
ifap
25.10.2021 18:22Исходный вопрос все-таки еще общее: ГИС это… и по пунктам, конкретно, без оценочных суждений и возможности толкований. От этого уже плясать: «тогда 1,2,3».
oassur
25.10.2021 19:15Согласен. Конкретного ответа на этот вопрос нет. Но если мы рассматриваем граждан как конечных бенефициаров от ИБ портала госуслуг, то можно в первом приближении считать, что требования по защите ГИС не меньше (а на самом деле почти эквивалентны) требованиям по защите ИСПДн, которой гослуслуги и nalog.ru точно являются.
ifap
26.10.2021 02:37Считать-то мы с Вами можем что угодно, только кого это волнует? Вот я прокуратуру тыкаю носом: статья, пункт, конкретные требования, а вот — конкретное их нарушение. И прокуратура мне регулярно отвечает: в настоящее время ведутся работы по устранению нарушений. Нормально, да: мера прокурорского реагирования — наблюдение за устранением нарушения.
2PAE
25.10.2021 07:46Не уверен, но ест вопрос. А может ли обычный админ этим всем заниматься?
Насколько я понимаю, этими телодвижениями должен заниматься специальный человек, с соответствующим образованием или как минимум с соответствующими служебными обязанностями. Что-то вроде инженер по информационной безопасности или как-то ещё.
Думаю что у большинства админов, ни того ни другого нет. А следовательно все эти действия есть превышение служебных полномочий.
Egorushca
25.10.2021 10:49Совмещение повсеместно. Формально достаточно внутреннего приказа.
2PAE
25.10.2021 13:39А как быть с требованиями по образованию?
К примеру я человек со средним техническим образованием, разве имею право выполнять работу где требуется высшее техническое образование? Даже если будет приказ о совмещении. Законен ли будет вообще такой приказ?
И помниться с этого года запрещено совмещение по информационной безопасности.
Не флейма ради вопросы, но в попытке разобраться.
oassur
25.10.2021 11:14Разделение ИТ и ИБ - это best practive. Как и разделение разработчиков и тестировщиков или как разделение менеджеров и юристов. Желательно, чтобы эти роли выполняли разные люди. Но когда людей мало, они начинают исполнять несколько ролей одновременно.
Формально эта проблема прикрывается внутренним приказом или тем, что сотрудника берут на несколько ставок одновременно. Админ ИТ по совместительству подрабатывает админом ИБ.
Это повсеместно создаёт конфликты интересов. С точки зрения ИТ нужно действовать быстро, а с точки зрения ИБ безопасно. Это редко одно и то же. Поэтому и вымышленному герою статьи приходится иногда бить себя по рукам :)
2PAE
25.10.2021 13:40Читал, что с этого года такие совмещения запрещены. Или я не то читал?
Egorushca
25.10.2021 15:53Увы,
1.Для аттестации (даже тех ГИС, где вы Владелец) необходима лицензия на деятельность по ТЗКИ.
2.Лицензионными требованиями, предъявляемыми к соискателю лицензии на осуществление деятельности по ТЗКИ, являются (п.5 Регламента):а) наличие у соискателя лицензии юридического лица - специалистов, находящихся в штате соискателя лицензии, имеющих высшее профессиональное образование в области технической защиты информации либо высшее техническое или среднее профессиональное (техническое) образование и прошедших переподготовку или повышение квалификации по вопросам технической защиты информации.
andreykp
В общем - цирк, который нужен только для закрытия ж бумажками от ответственности в случае взлома или утечки информации.
В UA ещё и софт для vpn надо на каждый комп покупать...
sergeyns
Кто был в армии (работал в госструктурах и любых крупных компаниях), тот в цирке не смеется. И в общем, правильно. Наличие инструкций резко уменьшает головняк у исполнителей на местах (и всяких ВЛАДГИСов уровнем выше) и увеличивает производительность труда. Только автор забыл добавить к определению ИС, что кроме софта и оборудования , ко всему этому должно прилагаться РУКОВОДСТВО (те самые инструкции, которых как раз и не хватало)!
Egorushca
ИС без руководства - не ИС
Egorushca
В RU - аналогично
Egorushca
Участвую в нем не первый год во всех статусах. По молодости также хи-хикал. Но возразить аксиоме - "наводим порядок когда ждём гостей", нечем.
Процесс, конечно, не перманентный, но лучше, чем его отсутствие...