Недавно мы организовали обсуждение нового порядка аттестации объектов информатизации, вступившего в силу с 1 сентября 2021 года. С материалами обсуждения рекомендуем ознакомиться тем, кто готов прочитать эту статью до конца. Для тех, кто не готов – достаточно ликбеза в первой части статьи.
После мероприятия к нам поступили десятки вопросов, на которые можно было бы и не отвечать, но, раз назвались груздем, лезем в кузов. Под катом вы найдёте ответы на первую часть вопросов.
Ликбез
Немного теории для медитации перед погружением в мир аттестации.
Информационная система (ИС) – это программное обеспечение (ПО) + оборудование (сервера, пользовательские устройства, маршрутизаторы, ИБП и т.д.) + люди (администраторы, пользователи).
Допустим, у частной компании есть электронная почта на виртуальном сервере. Информационная система в этом случае – это ПО сервера электронной почты, ПО системы виртуализации, железо, на котором работает система виртуализации, и ЦОД, где размещено это железо. Плюс пользовательские устройства, которые получают доступ к электронной почте. Плюс люди, которые всем этим пользуются и всё это обслуживают и защищают.
Существует категория информационных систем, безопасность данных в которых контролируется государством. К таким информационным системам предъявляется ряд обязательных требований. Примеры таких систем:
Государственные информационные системы (ГИС) – gosuslugi.ru, mos.ru и др.
Объекты критической информационной инфраструктуры (КИИ), к которым относятся различные ИС/АСУ*/ИТКС** в 13 сферах экономической деятельности – здравоохранение, наука, транспорт, связь, энергетика, банковская сфера, топливно-энергетический комплекс и др.
Информационные системы персональных данных – информационные системы банков, школ, поликлиник, визовых центров, интернет-магазинов, в которых хранятся персональные данные, с помощью которых можно идентифицировать человека. Например, ФИО, дата рождения, образование, доходы и др.
* АСУ – автоматизированная система управления, класс ИС для управления разного рода процессами. Автоматизированная, потому что в ней участвует человек. Если бы человек был системе не нужен, она была бы автоматической.
** ИТКС – информационно-телекоммуникационная система, класс ИС, которые отвечают за передачу данных. Например, сети сотовых операторов – это ИТКС.
Среди перечисленных систем есть такие, которые заботят государство больше остальных. Это ГИС и объекты КИИ. Ущерб от недоступности этих систем или утечки данных из них выше, чем у других систем. Сложно себе представить последствия отказа АСУ воздушным движением или Системы управления и мониторинга сети какого-нибудь оператора связи.
Владельцы ГИС и объектов КИИ должны подтверждать уполномоченным органам, что они выполняют обязательные требования по безопасности в информационных системах.
Процесс подтверждения выполнения требований называется АТТЕСТАЦИЕЙ.
При желании можно попытаться аттестовать любую информационную систему, но ГИС и объекты КИИ требуется аттестовать, даже если желания нет :)
Чтобы объективно оценить разнокалиберность проблем, связанных с проведением аттестации, мы решили посмотреть на них глазами персонажа по имени ГИСАДМИН, которому предстоит преодолеть все тернии аттестации.
По сценарию наш герой родился лет 30 назад в уездном городе π, где и работает по сей день в одной муниципальной конторе. Город небольшой, тихий, торопиться не принято, бывают перебои с кофе и пивом. Поэтому технарей мало.
ГИСАДМИН одновременно и АйТишник на все руки, и ИБэшник на всю голову, который иногда бьёт айтишника по рукам. В общем, человек тяжёлой судьбы.
В детстве ГИСАДМИН интересовался у родителей, почему его так странно назвали. Родители приводили разные доводы –во-первых, это красиво, а во-вторых, это перспективно. Услышав это, наш герой молча согласился и как-то сразу повзрослел.
О буднях провинциального админа
Пятница медленно переползала первую половину трудового дня. ГИСАДМИН, напевая don't worry be happy, предвкушал вечерние чипсы с пивом. Но резкий телефонный звонок рассеял сказочный мираж.
– ГИСАДМИН, ты готов к великим свершениям! – начал издалека шеф.
Эта увертюра повторялась каждый раз, когда нужно было работать в выходные, а платить сверхурочные было нечем.
– Михалыч, давай ближе к делу, – решительно потребовал ГИСАДМИН.
Шеф что-то пробурчал про племя молодое, незнакомое и скороговоркой объявил приговор:
– Намедни ввели в эксплуатацию областную систему контроля за бюджетом.
Отчёты теперь нужно подавать только через неё. Следующий отчёт во вторник.
К понедельнику подключишь к этой системе компьютер главбуха и её заместителя!
Инструкцию по подключению пришлю тебе на почту. Пароли, как обычно, наклеены на системных блоках.
Придя в себя от почтового beep, ГИСАДМИН прочитал письмо от Михалыча. В нём был только адрес для подключения к системе контроля бюджета и контакты областного админа.
ГИСАДМИН воткнул свободный патч-корд в комп бухгалтера, включил его, ввёл пароль, набрал адрес областной системы в браузере и …. молчание было ему ответом.
Позвонил областному админу. Не дозвонился. Отправил на почту просьбу перезвонить и стал ждать.
Пока ждал поменял на бухгалтерских компах пароли, чтобы в следующий раз не приходить, когда они протухнут.
Смена пароля в бухгалтерии – это цирковое представление, которое начинается после появления на экране окна для его смены. Вариантов финальной сцены всего два – участники шоу либо зовут админа, либо меняют пароль, который в следующий раз не могут вспомнить.
За этим занятием ГИСАДМИНА и застал телефонный звонок из области.
– Добрый день, это Кузьмин? Вы просили перезвонить по подключению к областной ГИС.
– Здравствуйте, я не Кузьмин, я ГИСАДМИН. Мне нужно к понедельнику подключить два компьютера к вашей системе. Вы прислали адрес. В браузере он не открывается. Что делать?
– Да, хоть Пушкин. Для доступа нужна практика, а не философия.
ГИС аттестована. И это не аттестат о среднем образовании. Это подтверждение того, что в системе реализованы необходимые меры защиты. Без этого ГИС в эксплуатацию не ввести. Почитай на досуге 17 приказ ФСТЭК и Постановление Правительства 656. Там всё написано.
Мне нужно убедиться, что твои компы достаточно защищены. После внести информацию о них в аттестат. На компах нужен антивирус. Если операционка не сертифицирована, нужно установить средство защиты от НСД*. Для доступа понадобится VPN.
* НСД – несанкционированный доступ. Без сокращений в ИБ никуда. В данном контексте имеется в виду НСД к информации.
– Не так быстро, я записываю, – взмолился ГИСАДМИН.
– Для ГИСАДМИНов еще раз повторяю.
– На удаленном АРМе для подключения к ГИС должны быть установлены: анти-ви-рус, средство от ЭН-ЭС-ДЭ и ВИ-ПИ-ЭН! Записал? Смотри в слове НСД первую букву не перепутай. И последние две местами не меняй, чай не бухгалтер.
VPN клиента, как я понимаю, нет. Дистрибутив и инструкцию пришлю. После установки будет нужно запросить сертификат для каждого компа. Это написано в инструкции.
Запросы пришли мне на почту. Заодно заполни опросник по каждому компу, чтобы я мог внести эту информацию в аттестат. Почту пришли мне в SMS. Всё понял?
– Понял. Сегодня всё отправлю.
– Передай пользователям и начальнику, что у вас будет доступ только для загрузки и чтения данных. Выгрузить данные или документы из системы будет нельзя. Иначе придётся проводить аттестацию. И делать это придётся вам. Мы не можем отвечать за защиту данных ГИС на ваших компах.
– Я этого не знал, передам. Спасибо!
– Если будут вопросы, звони. Всем уездам нужно во вторник подавать отчёты. Подключились только два из двенадцати. Так что не только тебя ждут «весёлые» выходные. Держись, Чечеткин.
– Я ГИСАДМИН…
– Да, вкурил я твою шутку. Тогда зови меня ВЛАДГИС. Почти как Пельш, только ВЛАДелец ГИС.
Ну, а по жизни я Володя. Но для тебя – ВЛАДГИС.
Прошли выходные. К понедельнику компьютеры были готовы. Во вторник уездный город π отправил в область отчёт. В среду ГИСАДМИН получил отгул, и, находясь под впечатлением от чипсов, пива и ВЛАДГИСа, сделал первую запись в Дневнике ГИСАДМИНА.
Аттестация проводится на этапе создания информационной системы или при изменении её конфигурации – включении или исключении из состава системы АРМ, телекоммуникационного оборудования или средств защиты.
При подключении новых АРМ к ранее аттестованной информационной системе не нужно проводить переаттестацию, если соблюдены требования по составу и настройкам средств защиты типовых компонентов.
Владелец информационной системы должен вносить информацию об изменениях её конфигурации в Технический паспорт информационной системы.
Внешние пользователи с неаттестованными АРМ могут получать доступ к аттестованным информационным системам, если это предусмотрено Техническим паспортом. Условия предоставления доступа указываются в разделе «Условия эксплуатации информационной (автоматизированной) системы» Технического паспорта.
Эпилог
Почти все события в статье вымышленные. Совпадения с реальными людьми и фактами практически случайны. Появятся ли следующие записи в Дневнике ГИСАДМИНА – решать вам.
Ждем ваши «за» и «не за» в комментариях.
