Концепция конференция была продуманной. Представители ФСТЭК доложились о ключевых направлениях своей нормотворческой деятельности в области защиты информации, а затем приглашенные лицензиаты (Инфотекс, Крафтвей, Эшелон, Код безопасности, ЦБИ, СИС) доложились о том, как они уже принятые или планируемые нормативные акты используют на практике и с чем сталкиваются. Получился такой симбиоз ФСТЭК и лицензиатов, «дующих в одну дуду». Не хватало только потребителей, которые бы рассказывали, как они на деле сталкиваются с новыми документами ФСТЭК, но тут, видимо, просто времени не было — ни на выступления потребителей (и так 4,5 часа без единого перерыва), ни на апробацию документов реальной жизнью.
В Твиттере я вел прямой репортаж и сейчас, для тех, кто моего Твиттера не читает, я перескажу ключевые тезисы, прозвучавшие на конференции, сопроводив их соответствующими фотографиями. Сразу прошу прощения за качество фото — снимал из президиума (получилось под углом) и на смартфон. Но при увеличении все неплохо должно читаться. У Андрея Прозорова есть видео выступления Лютикова Виталия Сергеевича.
Итак, тезисно:
- При обсуждении 17-го приказа по защите ГИС (11-го февраля ему стукнул год) было учтено около 50% предложений экспертов. Всего предложений было около 200
- Этап адаптации в 17-м приказе нужен, чтобы учесть требования и других нормативных актов по защите информации в ГИС. Например, требования СТР-К, ПП-424, совместного приказ ФСТЭК и ФСБ 416/489, приказа Минкомсвязи 104 и т.п. Иными словами, есть требования, которые расширяют 17-й приказ, а есть те, которые 17-й приказ детализирует и расширяет. Адаптация и нужна, чтобы гибко подойти к формированию совокупности защитных мер.
- 11 февраля 2014 года (за день до конференции) директором ФСТЭК была утверждена методичка по мерам защиты в ГИС. До конца недели ее должны выложить на сайте ФСТЭК. Обычно это происходит в конце дня пятницы.
- В отличие от проекта, выложенного на сайте в ноябре, в финальный вариант методички добавили приложение с терминами и определениями, которые местами повторяют уже существующие ГОСТы и другие НПА. Это нужно было сделать для целей документа и эти термины действуют только в рамках данного методического документа.
- Не все предложения вошли в итоговый документ (только у меня их было около 200). Отчасти потому, что ФСТЭК была не совсем согласна; отчасти потому, что ряд замечаний были достаточно концептуальными и их необходимо осмыслить. В следующей версии обещали учесть. О том, что учли, а что нет, будет понятно к концу недели, когда помимо методички выложат и сводный перечень предложений с результатами их рассмотрения.
- ФСТЭК планирует выйти на двухлетний жизненный цикл документов ФСТЭК для учета изменчивости той среды и технологий, которые используются в госорганах.
- На стыке 2014-15 годов, когда появится реальная практика применения 17-го приказа, будет открыт сбор предложений по его изменению.
- Планы по развитию методических документов вокруг 17-го приказа громадные. Уже готов проект методички по моделированию угроз — его также должны выложить на всеобщее обсуждение в ближайшее время. Также планируются и другие документы, показанные на фото.
- По части аттестации также планируется ряд обновлений. В частности должен быть утвержден ГОСТ по документации. Он уже прошел все согласования и в мае Ростехрегулирование должен его утвердить. Также планируется разработать и утвердить порядок аттестации распределенных ГИС (название рабочее).
В следующей заметке посмотрим на новости по АСУ ТП, сертификации и SDLC.
ЗЫ. Кстати, СТР и СТР-К планируют обновлять. Правда, эта информация циркулирует уже давно и когда свершится сей факт непонятно.
Доброе утро! Я был на мероприятии, ответ про применение СТР-К я услышал, после вопроса из зала, а вот ответ про применение РД АС нет. Это было в ответе на тот же вопрос? Спасибо.
Да, это было ближе к концу конференции, после выступления Шевцова в ответах Лютикова на вопросы
Алексей,как вы думаете, что внесет новая Методика определения угроз? Каковы её кардинальные отличия от старой Методики и какова её общая структура?
Добрый день!
В очередной раз задумался над вопросом, какую ИС считать ГИС и МИС. Формулировка закона прочитана. Вопрос в том, если в гос.органе есть локальный нормативный акт, например, приказ начальника, можно ли такую ИС считать ГИС?
http://www.itsec.pro/2013/06/17.html
В целом такой подход понятен, есть ли официальное мнение Роскомнадзора по этому поводу или в каждом субъекте свое мнение :)? В целом понятно, что либо федеральный перечь, либо региональный. Спасибо за ссылку..Прочитав пост и комментарий, я понял, что единства во мнениях нет.Есть рекомендация изучить: Руководствуйтесь критериями, указанными в статье 13 и 14 ФЗ-149.
Посмотрите Постановление Правительства Российской Федерации от 24 октября 2011 г. № 861 и Постановление Правительства Российской Федерации от 10 сентября 2009 г. № 723. Буду изучать.
В предыдущем комментарии я имел ввиду себя 🙂 Рекомендация мне :). Прошу прощения за каламбур.
Коллеги, так все-таки, если нет записи в реестре и нет документов, на основании которых создана система, то это автоматически не ГИС, не МИС? По поводу реестров возникает следующий вопрос, касающийся официальных сайтов гос. и муниципальных органов, в соответствии с ФЗ РФ от 9 февраля 2009 г. № 8-ФЗ "Об обеспечении доступа к информации о деятельности государственных органов и органов местного самоуправления" гос. и мун. органы обязаны публиковать информацию о своей деятельности на сайте, в том числе ПДн руководства, однако в реестрах данные системы не встречаются. Как в этом случае быть? Какими требованиями руководствоваться? Также с ГИСами очень актуален вопрос разделения полномочий между органами, использующими ГИС: кто является обладателем информации (заказчиком), кто оператором?! И как быть если обладатель (заказчик) требования не предъявил или в неявном виде? Как проводить тогда классификацию и какие требования предъявлять?