Сначала ФСТЭК приняла поправки в 17-й приказ, которые синхронизировали порядок создания государственных информационных систем, установленный в ПП-676, с требованиями по ИБ 17-го приказа. А 11-го мая Правительство приняло инициированное Минкомсвязью Постановление Правительства №555 «О внесении изменений в требования к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации», которое целиком и полностью посвящено вопросам защиты информации.
Документ, вступающий в силу 23-го мая, обязал органы исполнительной власти во всех мероприятиях, связанных с ГИС, учитывать требования ФСТЭК и ФСБ по защите информации. Но самое главное, что по этому Постановлению требуется согласовывать модели угроз и ТЗ на созданию/модернизацию ГИС с ФСТЭК и ФСБ, должностные лица которых должны утверждать эти документы. Вот такой сюрприз! Причем для всех — и для пользователей ГИС, и для регуляторов.
Смею предположить, что ни ФСТЭК, ни ФСБ не имели отношения к данной норме, так как еще совсем недавно, когда я обсуждал этот вопрос с ними, они прямо говорили, что массовое утверждение модели угроз не входит в их компетенцию и у них нет ресурсов делать это для каждого госоргана, который к ним обращается. Поэтому они делали это в исключительных случаях, для значимых информационных систем. И тут вот такой поворот. Как из него будут выкручиваться, пока сложно сказать. Ведь методику моделирования угроз ФСТЭК не приняла до сих пор (с ФСБ ситуация чуть проще — у них зона ответственности меньше). И что делать законопослушным госорганам, которые с 23-го мая будут вынуждены отправлять свои модели угроз в ФСТЭК и ФСБ?
При этом, новое ПП-555 также фиксирует, что ГИС не может быть введена в эксплуатацию без:
- выполнения требований ФСТЭК и ФСБ, включая отсутствие соответствующего аттестата,
- записи в реестре о местонахождении элементов ГИС (они не могут находиться за пределами РФ),
- устранения нарушений, выявленных в рамках контроля и надзора за вводом в эксплуатацию отдельных ГИС,
- оформления прав на использование ее компонентов, являющихся объектами интеллектуальной собственности.
Как и положено сервис базируется на банке данных угроз ФСТЭК, а в качестве методологии взят за основу последний публичный проект методики ФСТЭК, выложенный на сайте регулятора. На самом деле с того момента этот проект был сильно переработан, но как точка отсчета этот бесплатный сервис, созданный Булатом, подходит как нельзя лучше. Удачи!
Алексей, здравствуйте!
Подскажите, пожалуйста — по Вашему мнению — указанные требования не распространяются на муниципальные информационные системы?
Согласно 149-ФЗ:
Статья 13. Информационные системы
1. Информационные системы включают в себя:
1) государственные информационные системы — федеральные информационные системы и региональные информационные системы, созданные на основании соответственно федеральных законов, законов субъектов Российской Федерации, на основании правовых актов государственных органов;
2) муниципальные информационные системы, созданные на основании решения органа местного самоуправления;
3) иные информационные системы.
Нет. ПП-555 только на ГИС распространяется; не на МИС
В соответствии с п.12 статьи 1 законопроекта № 416052-6 "О внесении изменений в Федеральный закон "О персональных данных"…", получается, что вообще все операторы ПД будут согласовывать свои модели угроз с ФСБ и ФСТЭК?
Нет. Там имеется ввиду, что оператор МОЖЕТ разработать свою модель угроз. Сейчас он по закону не может этого делать
Мне кажется, что многие захотят согласовать свою модель угроз с регуляторами, чтобы иметь официальный документ на руках. И вот тогда регуляторы действительно захлебнуться в бумаге.
Так как регуляторы не обязаны, то они будут посылать всех операторов, исключая госы
В тексте законопроекта написано, что "Указанные локальные акты подлежат согласованию с ФОИВами…". Интересно будет узнать мотивировку отказов.
Начинать надо сначала статьи. Там написано, что "операторы вправе", то есть они могут и не согласовывать. К тому же, эту статью мы писали в 13-м году. Сейчас я бы поменял текстовку
Если бы я хотел подстраховаться от претензий регуляторов, то я бы этим правом воспользовался. Остаётся ждать дальнейшей судьбы этого законопроекта.
У регуляторов не может быть претензий — они не имеют права проверять коммерческих операторов ПДн
Ну теоретически то решением Правительства Российской Федерации могут быть наделены соответствующими полномочиями
"Техническое задание на создание системы и модель угроз безопасности информации утверждаются должностным лицом органа исполнительной власти, на которое возложены соответствующие полномочия"
Откуда следует, что этот орган — ФСТЭК или ФСБ? Почему вы решили, что представители ФСБ и ФСТЭК должны утверждать модели угроз?
Из ПП-555
а нужно ли согласовывать модель угроз информационной системы, которая давно введена в эксплуатацию и уже имеет аттестат?
Подскажите пожалуйста it-шнику на хлипкие плечи которого взгромоздили защиту персональных данных
Модель угроз пытался согласовать с 8 центром ФСБ, на что получил ответ:
"В соответсвии с ч. 7 ст.19 Федерального Закона №152, с федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, подлежат согласованию только проекты нормативно-правовых актов, указанных в ч.5 ст. 19 Закона 152
Это какой НПА нужно сочитнить на основании модели угроз, дабы его согласовать с ФСБ?
Модели угроз на информационные системы персональных данных, не являющиеся государственными информационными системами — согласованию со ФСТЭК и ФСБ России не подлежат.
ФСБ в своем ответе имели ввиду проект НПА об утверждении перечня актуальных угроз ПДн (например: http://docs.cntd.ru/document/555604172)