Комментарии 35
В общем - цирк, который нужен только для закрытия ж бумажками от ответственности в случае взлома или утечки информации.
В UA ещё и софт для vpn надо на каждый комп покупать...
В общем - цирк, который нужен только
Кто был в армии (работал в госструктурах и любых крупных компаниях), тот в цирке не смеется. И в общем, правильно. Наличие инструкций резко уменьшает головняк у исполнителей на местах (и всяких ВЛАДГИСов уровнем выше) и увеличивает производительность труда. Только автор забыл добавить к определению ИС, что кроме софта и оборудования , ко всему этому должно прилагаться РУКОВОДСТВО (те самые инструкции, которых как раз и не хватало)!
В RU - аналогично
В общем - цирк...
Участвую в нем не первый год во всех статусах. По молодости также хи-хикал. Но возразить аксиоме - "наводим порядок когда ждём гостей", нечем.
Процесс, конечно, не перманентный, но лучше, чем его отсутствие...
Не надо работать с государством.
Примеры таких систем:
Государственные информационные системы (ГИС) – gosuslugi.ru, mos.ru и др.
Не подскажите ссылку на нормативку, которая однозначно относит упомянутые порталы к ГИС? И, кстати, а какой-нибудь nalog.ru — ГИС или так просто, госсайтик?
Портал госулуг есть в реестре федеральных ГИС (ФГИС): https://portal.eskigov.ru/fgis/237. Надеюсь, что информацию о технологиях просто не обновили и сейчас там не mySQL, Alt Linux 5 и Windows XP.
В том же реестре ФГИС можно найти налоговую систему: https://portal.eskigov.ru/fgis/303. Вопросы по технике те же. Ещё вопрос как АИС "Налог 3" соотносится с nalog.ru. Скорее всего, nalog.ru - это витрина для сервисов "Налог 3". При этом часть сервисов на nalog.ru могут не являться ГИС. Например, новостной портал.
Приказ о вводе в промэксплуатацию московского портала госуслуг есть на самом mos.ru: https://www.mos.ru/kgu/anticorruption/nezavisimaia-antikorruptcionnaia-ekspertiza/view/76863220/
В целом, вопрос ГИС это или неГИС нетривиальный и 149-ФЗ не даёт на него однозначного ответа. Об этом писали в т.ч. на Хабре: https://habr.com/ru/post/458732/. Наиболее понятный ответ для меня дал Контур: https://kontur.ru/articles/1609. Статья Контура от 2015 года. С тех пор реестр ФГИС отдали Минцифре. Сейчас он доступен по ссылке: https://portal.eskigov.ru/fgis/
Не знаю, как это выглядит со стороны госорганов, которые разрабатывают ИС. Обычно сталкивался с ГИС, когда заказчик уже уверен, что она ГИС :)
Для владельца ИС есть pro и contra отнесения к ГИС. Pro - если ошибочно не отнести систему к ГИС, можно получить штраф или не ввести ИС в пром в срок. Contra - ГИС не ввести в пром без аттестации по требованиям безопасности, а это затраты времени и денег.
Поскольку реестр ГИС ведёт Минцифра, на месте госоргана, который не понимает ГИС у него или неГИС, я бы отправил оф.запрос в Минцифру...
С сайтом сложно, потому что тот же mos.ru даёт пользователю доступ к десятку разных ГИСов. Возможно, среди сервисов mos.ru есть и неГИСы.
В определении ГИС или неГИС есть определённый бардак, но предлагаю взглянуть на проблему под другим углом.
Меня, как гражданина, больше заботят не данные госоргана, а мои собственные персональные данные. Их госорган обязан защищать, руководствуясь требованиями 21 приказа ФСТЭК.
Если сравнить требования 17 и 21 приказа ФСТЭК, то они во многом совпадают с точностью до названия систем (ГИС или ИСПДн). Поэтому портал госуслуг должен защищать данные граждан не хуже, чем коммерческий банк, даже если бы портал госуслуг не был бы ГИС.
Разница между защитой ПДн и ГИС в том, что защищать ПДн можно без аттестации. То есть нет проверяющего с дубиной перед запуском в пром, но, если будет утечка, наказания не миновать.
Объективно за свои данные на mos.ru мне страшно меньше, чем в какой-то noname-анкете, где дети могут узнать, на какого персонажа мультфильма они больше похожи. Понимаю, что сравнение гиперболизировано. Но такие сервисы, как mos.ru или nalog.ru, находящиеся на виду и имеющие тысячи пользователей и за ними сотни разработчиков, айтишников и ибэшников, кажутся достаточно безопасным местом вне зависимости от их отнесения к ГИС.
Пардон за многабукафф ))
защита информационной системы, ее средств, систем связи и передачи данных;
Это как? Дедушка с берданкой при входе в ЦОД? Или TLS? Или SSL 2.0 — тоже защита? Я в упор не вижу конкретики, кроме общих слов про мир во всем мире.
Объективно за свои данные на mos.ru мне страшно меньше
И совершенно напрасно — habr.com/ru/post/542604 (на правах саморекламы) ;)
Вилами по воде...
Даже в ПДД есть неоднозначные правила.
https://www.zr.ru/content/articles/908043-8-samykh-neodnoznachnykh-punktov/
Я пробовал писать однозначные документы. Критиковали - за отсутствие выбора...
Если считаете, что дедушка дешевле/страшнее/эффективнее, приглашайте его на вход в ЦОД. Если канал свой прокладывать и сторожить дорого, пользуйтесь TLS.
Хотелось бы к этому стремиться, но есть несколько препятствий:
Всестороннее обсуждение приводит к тому, что эксперт каждого производителя будет пытаться перетянуть одеяло на себя. Просто бизнес, ничего личного. Это приводит к затягиванию процесса разработки и согласования документа.
Документ выйдет устаревшим. Даже если все эксперты будут белыми и пушистыми, разработка и согласование нормативного документа федерального уровня займёт два-три года. За это время часть технологий устареют.
Было бы здорово иметь публичные "лучшие практики", которые сообщество экспертов самостоятельно актуализирует, но заставить следовать им участников рынка будет непросто.
На уровне российских или московских гослуг или крупных банковских систем следование лучшим практикам проще траснформировать в деньги на компенсацию убытков. В конце концов, ИБ может быть атрибутом престижа.
Но в каком-нибудь далёком уезде к ИБ относятся как к налогам: "если их можно не платить, их нужно не платить". В этом случае рекомендации не работают. Только требования.
2. Ваши бы слова — да законтворцам в уши, которые пишут ФЗ за неделю левой пяткой, а потом за неделю проводят его через Госдуру и далее со всеми остановками ;)
Публичные практики есть, даже отечественные (вот, мы предлагаем одну из), а есть ГОСТы которые, которые можно рассматривать в таком же качестве, но они часто необязательные. В теории, на практике — как фишка ляжет. Вот кто мешает обязать применять те же ГОСТы (их качество оставим за скобками)?
Нужен, если технически реализуем (на iOS нет), и есть риск появления вредоносных файлов или ПО (например, у некоторого бортового ПО такого риска нет, как и потребности ставить антивирус).
Начиная от решения сделать условный ГОСТ до того, как его напишут, согласуют и примут как рекомендации, уходит 1-3 года. Даже если в течение этих 1-3 лет времени тратится меньше, чем хотелось бы.
Если применять все ГОСТ, систему в пром никогда не сдать, потому что их Очень много. С другой стороны, процесс сертификации ПО во ФСТЭК сейчас таков, что проще реализовать требования ГОСТ по безопасной разработке, чем не реализовать.
Предлагаю вернуться к исходному вопросу. "Если ГИС, то нужно 1, 2, 3." Если не вдаваться в степень детализации требований, для ИСПДн нужны те же самые 1, 2 и 3. Отличие только в том, что эти "1, 2, 3" нужно подтвердить до ввода в ГИС в пром.
Иногда требования закрывают оргмерами типа деда с берданкой, наличия СКУД или жалюзи на окнах (чтобы супостат не подглядел лишнего через окно).
Обоснованность применения оргмер при проверке или аттестации ещё нужно обосновать. Например, на iOS нельзя написать антивирус. В принципе нельзя. Поэтому риски ИБ нужно закрывать иначе. Например, запретив пользователю устанавливать приложения не из App Store - организационно или технически.
За вашу статью и работу, которую проделали до её написания - спасибо. Надеюсь, что владельцы ИС, которые вы проверили, с ней ознакомились и запланировали доработки.
Более конкретно требования к реализации мер прописаны в методических рекомендациях: https://fstec.ru/tekhnicheskaya-zashchita-informatsii/dokumenty/114-spetsialnye-normativnye-dokumenty/805-metodicheskij-dokument
Здесь тоже есть не вся конкретика. Но уровень детализации заметно выше, чем у 17 приказа.
Поскольку требования 17 и 21 приказов во многом схожи, можно при защите ИСПДн использовать эти же рекомендации.
На странице https://fstec.ru/tekhnicheskaya-zashchita-informatsii/dokumenty/114-spetsialnye-normativnye-dokumenty/805-metodicheskij-dokument нужно нажать на "Методический документ" слева сверху.
У меня так скачивается.
Согласен. Конкретного ответа на этот вопрос нет. Но если мы рассматриваем граждан как конечных бенефициаров от ИБ портала госуслуг, то можно в первом приближении считать, что требования по защите ГИС не меньше (а на самом деле почти эквивалентны) требованиям по защите ИСПДн, которой гослуслуги и nalog.ru точно являются.
Не уверен, но ест вопрос. А может ли обычный админ этим всем заниматься?
Насколько я понимаю, этими телодвижениями должен заниматься специальный человек, с соответствующим образованием или как минимум с соответствующими служебными обязанностями. Что-то вроде инженер по информационной безопасности или как-то ещё.
Думаю что у большинства админов, ни того ни другого нет. А следовательно все эти действия есть превышение служебных полномочий.
Совмещение повсеместно. Формально достаточно внутреннего приказа.
А как быть с требованиями по образованию?
К примеру я человек со средним техническим образованием, разве имею право выполнять работу где требуется высшее техническое образование? Даже если будет приказ о совмещении. Законен ли будет вообще такой приказ?
И помниться с этого года запрещено совмещение по информационной безопасности.
Не флейма ради вопросы, но в попытке разобраться.
Разделение ИТ и ИБ - это best practive. Как и разделение разработчиков и тестировщиков или как разделение менеджеров и юристов. Желательно, чтобы эти роли выполняли разные люди. Но когда людей мало, они начинают исполнять несколько ролей одновременно.
Формально эта проблема прикрывается внутренним приказом или тем, что сотрудника берут на несколько ставок одновременно. Админ ИТ по совместительству подрабатывает админом ИБ.
Это повсеместно создаёт конфликты интересов. С точки зрения ИТ нужно действовать быстро, а с точки зрения ИБ безопасно. Это редко одно и то же. Поэтому и вымышленному герою статьи приходится иногда бить себя по рукам :)
Читал, что с этого года такие совмещения запрещены. Или я не то читал?
Может быть это я мало читаю (: Дайте ссылочку, пожалуйста.
Увы,
1.Для аттестации (даже тех ГИС, где вы Владелец) необходима лицензия на деятельность по ТЗКИ.
2.Лицензионными требованиями, предъявляемыми к соискателю лицензии на осуществление деятельности по ТЗКИ, являются (п.5 Регламента):
а) наличие у соискателя лицензии юридического лица - специалистов, находящихся в штате соискателя лицензии, имеющих высшее профессиональное образование в области технической защиты информации либо высшее техническое или среднее профессиональное (техническое) образование и прошедших переподготовку или повышение квалификации по вопросам технической защиты информации.
Провинциальный взгляд на аттестацию государевых информационных систем