Что же предполагается изменить в методах защиты и кого касаются изменения?
Стоит обратить внимание на то, что проект касается защиты «государственных информационных системах, а также иных информационных системах, в которых на основании договоров или иных законных основаниях содержится (обрабатывается) информация, обладателями которой являются государственные органы или государственные корпорации». Напомним, что требования по защите государственных информационных систем были описаны в семнадцатом приказе ФСТЭК РФ. Проект закона указывает, что требования данного приказа распространяются не только на государственные ИС, но и на все организации, работающие с данными, полученными от них.
Требования о защите информации, содержащейся в государственных информационных системах, а также иных информационных системах, в которых на основании договоров или иных законных основаниях содержится (обрабатывается) информация, обладателями которой являются государственные органы или государственные корпорации, устанавливаются федеральным органом исполнительной власти в области обеспечения безопасности и федеральным органом исполнительной власти, уполномоченным в области противодействия иностранным техническим разведкам и технической защиты информации, в пределах их полномочий. При создании и эксплуатации таких информационных систем используемые в целях защиты информации методы и способы ее защиты должны соответствовать указанным требованиям
При этом «cоздание и обеспечение функционирования систем защиты информации должно предусматривать»:
1) назначение оператором лиц, ответственных за организацию защиты информации, а также за планирование и разработку, внедрение, мониторинг, поддержание и совершенствование мер защиты информации;
2) издание оператором документов, определяющих политику обеспечения защиты информации, в том числе локальных актов по организации защиты информации, а также локальных актов, устанавливающих процедуры, направленные на обеспечение защиты информации в соответствии с настоящим Федеральным законом;
4) осуществление внутреннего контроля (аудита) соответствия защиты информации требованиям о защите информации..., политике оператора по обеспечению защиты информации, локальным актам оператора;
5) ознакомление работников оператора, непосредственно осуществляющих обработку и защиту информации, с требованиями о защите информации, документами, определяющими политику оператора по обеспечению защиты информации, локальными актами оператора и обучение указанных работников.
Самое интересное традиционно находится в конце проекта закона:
Операторы государственных информационных систем, а также иных информационных систем, в которых на основании договоров или иных законных основаниях содержится (обрабатывается) информация, обладателями которой являются государственные органы или государственные корпорации, информируют федеральный орган исполнительной власти в области обеспечения безопасности и федеральный орган исполнительной власти, уполномоченный в области противодействия иностранным техническим разведкам и технической защиты информации, о событиях безопасности, в результате которых нарушено или прекращено функционирование информационной системы и (или) нарушена безопасность обрабатываемой в информационной системе информации (компьютерных инцидентах).
Предполагается, что все организации, работающие так или иначе с государственными органами и получающие при этом от них данные должны будут передавать данные о инцидентах безопасности. Логично предположить, что вслед за данным проектом закона последует регламент, согласно которому потребуется передавать данные в формате, удовлетворяющем условиям принятия данных в базу данных инцидентов, которая будет вестись ФСТЭК.
Комментарии (7)
teecat
05.07.2016 15:28Насколько я понял предполагается, что будет переписан до конца года 17й приказ. Вряд-ли требования данного проекта будут касаться всех, кто работает с госсистемами — так придется требовать защищаться и всех посетителей портала госуслуг, если они что с него скачивают. Скорее всего требования коснутся тех, кто непосредственно работает с госорганизациями. Но как вы понимаете — все что может быть истолковано неверно, будет истолковано неверно. По практике правоприменения 152-ФЗ такого достаточно
teecat
05.07.2016 15:35+2Пожалуй добавлю в тему компьютерных инцидентов. В случае того же суда с организации, в которой произошел инцидент, могут потребовать доказать, что все было так, а не иначе. Пример — http://www.securitylab.ru/blog/personal/tsarev/301194.php. С организации потребовали доказать факт наличия установленного антивируса на момент инцидента:
Сторона истца не смогла подтвердить апелляционному суду, что в момент совершения платежа на компьютере было установлено антивирусное или иное программное обеспечение, задачей которого являлась воспрепятствование несанкционированному доступу злоумышленников к компьютеру, что противоречит инструкциям к системе «Сбербанк Онлайн» (лист 18).
Т.е. факт наличия антивируса Клиент ДОЛЖЕН подтверждать. Причем это можно сделать ТОЛЬКО экспертизой.
Тоесть разворачивание системы, обеспечивающей обработку инцидентов безопасности — вещь и затратная и не простая, содержащая много малоизвестных подводных камней
webkumo
05.07.2016 19:33Интересный вопрос — а как это доказать?
PS: паспортные данные, ИНН и прочие документы — это ведь тоже данные, которыми обладают гос. органы? Т.е. все банки (и прочие, хранящие паспорта в цифровом виде) автоматом попадают? Или это просто кривая формулировка и правоприменительная практика так далеко не зайдёт?teecat
05.07.2016 22:03Интересный вопрос. Для SAAS-решений и систем с централизованным управлением чисто по логам можно узнать время подключения станции, ее адрес. Для однопользовательских решений наверно за основу можно взять логи. Но тут уже сомнительнее. Я поинтересуюсь у юристов
teecat
08.07.2016 17:24В общем мы посоветовались. С точки зрения юристов:
— должен быть отчет экспертов. Ну это очевидно
— экспертам должны быть заданы верные вопросы, на которые они ответят в отчете. Как ни грустно, но большинство пострадавших не готовы к инцидентами не знают что спрашивать. Соответственно встает вопрос выбора экспертов, которые смогут сами себе сформулировать вопросы, которые удовлетворят следственные органы/суд и тд
С точки зрения технической. Все упирается в сохранность логов и (если есть) централизованного управления. Легче всего в случае антивируса как услуги и если при этом есть биллинг по времени использования. Чуть хуже при обычном централизованном управлении — все зависит от того, что пишется (какая информация о станции) в базы в каком продукте.
И естественно отдельный вопрос — подделки времени установки решения
k3NGuru
Правильно ли я понимаю, что сети/производители/розница работающая с ЕГАИС (а без него сейчас официально никак не продать алкоголь), теперь будут обязаны передавать данные о инцидентах безопасности?
BigW
нет, вы пользователи, а речь про оператора…