Новый совместный приказ ФСТЭК / ФСБ

31 августа 2010 года был принят (зарегистрирован в Минюсте 13 октября, опубликован 22 октября в «Российской газете», вступил в действие с 2 ноября 2010 года) совместный приказ ФСБ и ФСТЭК № 416/489 «Об утверждении Требований о защите информации, содержащейся в информационных системах общего пользования».

Распространяется он на все федеральные государственные информационные системы, содержащие сведения о деятельности Правительства РФ и федеральных органов исполнительной власти, обязательные для размещения в Интернет (согласно Постановления Правительства от 24 ноября 2009 года № 953). Иными словами речь идет о сайтах госорганов.

Данный приказ содержит требование обязательного использования антивирусов, межсетевых экранов и средств предотвращения вторжений, прошедших сертификацию в ФСБ (!).

Интересна хронология событий по данному направление. Сначала был принять приказ ФСО от 7 августа 2009 года № 487, который требует в сегменте «Интернет» для федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации использовать средства защиты (в т.ч. межсетевые экраны и системы предотвращения вторжений), сертифицированные ФСТЭК и ФСБ. При этом четкой регламентации (кто и что сертифицирует) указано не было.

Двумя неделями позднее Минкомсвязь выпускает приказ от 25 августа 2009 года № 104, который требует применения сертифицированных в ФСБ средств предотвращения вторжений при их использовании в государственных информационных системах, содержащих сведения о деятельности Правительства РФ и федеральных органов исполнительной власти, обязательных для размещения в Интернет. При этом МСЭ должны иметь сертификат ФСТЭК.

И вот новый приказ, который требует использовать для защиты сайтов госорганов средства, прошедшие сертификацию в системе ФСБ.

Куда катится этот мир? Скоро ФСТЭК отдаст вообще всю свою сферу деятельности в ФСБ ;-( Наличие единой системы сертификации может быть и неплохо, если бы не сложности этой сертификации в ФСБ. Ни требований публичных нет, ни процедура нигде не описана… Полный вакуум…

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем.

  1. Сергей

    Там написано что СЗИ сертифицированные в ФСБ требуется только для одной из категории сайтов.
    У ФСБ итак есть 7 ОГВ в которых защитой информации занимаются они
    сайты этой категории как раз относятся к этим 7 ОГВ, так что ничего не изменилось по сути

    Ответить
  2. Baevsky

    Вот тебе,бабушка и Юрьев день!

    Ответить
  3. Unknown

    > Скоро ФСТЭК отдаст вообще всю свою сферу деятельности в ФСБ

    Мысли сходятся 🙂 http://anvolkov.blogspot.com/2010/10/blog-post_8510.html

    Ответить
  4. Сергей Борисов

    Видимо системы общего пользования 1-ого класса приравниваться к системам содержащим государственную тайну — по важности.
    А для таких систем средства защиты сертифицирует ФСБ.

    PS: сравнение требований в виде таблицы http://sborisov.blogspot.com/2010/10/blog-post_25.html

    Ответить
  5. Maksim Dolginin

    Сергей Б, каким образом государственная тайна может попасть в систему ОБЩЕГО пользования?

    Ответить
  6. Maksim Dolginin

    я считаю, что системы первой категории — это сайты:
    ФСБ, ФНС, ФМС, ЦИК, МВД (навскидку)

    Ответить
  7. Алексей Лукацкий

    Итак, ситуация следующая. ФСБ занималась органами высшей власти и СКП всегда и ей не надо было никаких приказов. Этот же приказ касается ВСЕХ госсорганов.

    А формулировка в приказе такова, что ВСЕ системы будут отнесены к 1-му классу.

    Ответить
  8. Maksim Dolginin

    А можно привести пример такой системы?
    Я считаю, что сайт, допустим, Управления ЗАГС является системой второго класса.

    Ответить
  9. Алексей Лукацкий

    Смотрим приказ: "К I классу относятся информационные системы общего пользования Правительства Российской Федерации и иные информационные системы общего пользования в случае, если нарушение целостности и доступности информации, содержащейся в них, может привести к возникновению угроз безопасности Российской Федерации".

    Ни слова про то, каких угроз, про их актуальность, размер ущерба и т.п. По сути возникновение ЛЮБОЙ угрозы приводит к системе 1-го класса.

    Разумеется, могут быть нюансы и используя следующий абзац (про принятие решения о классификации руководителем) можно "правильно" классифицировать систему как 2-й класс.

    ЗЫ. А ЗАГС не относится к госорганам, имхо. Это же муниципалитеты.

    Ответить
  10. Maksim Dolginin

    ЗАГСы относятся к госорганам. Единственное это нефедеральный орган исполнительной власти, а орган исполнительной власти субъекта РФ.

    Кроме загса могу еще привести примером министерства спорта и туризма, министерство культуры какого либо субъекта РФ.
    Но в целом согласен, что непонятно какая именно угроза безопасности РФ имеется ввиду (национальная, геополитическая, экономическая или еще какая)…

    Ответить
  11. Сергей Борисов

    По поводу "угроз безопасности Российской Федерации".
    Скорее всего ФСБ России пока тоже не знает какие угрозы и какая информация под это попадает.

    Ничего ведь не мешает всем классифицировать себя по 2-ой категории.

    А потом уже это обязанность Регулятора будет — прийти, рассказать что относится к "угрозам безопасности Российской Федерации" и доказать что к вашей системе общего доступа это тоже относится.

    Ответить
  12. Алексей Лукацкий

    Ну модель угроз у нас обычно потребитель создает и потом согласует ее с регулятором (если необходимо).

    Ответить
  13. Сергей Борисов

    Да точно.

    Чтобы подстраховаться от риска — потратить деньги не на те средства защиты, какие положено, придется самому идти с моделью угроз и классификацией к Регулятору.

    После того как десять — двадцать моделей будет согласовано, Регулятор наконец-то сможет сформулировать определение того что подпадает под "нарушение целостности и доступности информации, содержащейся в них, может привести к возникновению угроз безопасности Российской Федерации". Потом внесут изменения в законодательный акт — оп, вопросов больше нет.

    Не самый плохой подход в принципе.

    Ответить
  14. pushkinist

    а что тут непонятного?
    док про дефейс, саботаж и дос госсайтов
    ну плюс отказоустойчивость инфраструктуры, на которой они крутятся.

    нам-то чего переживать? 🙂

    Ответить
  15. Алексей Лукацкий

    Регулятор не будет ничего переписывать и менять в нормативном акте 😉 Ему проще держать всех на крючке отсутствием четкого ответа на данный вопрос.

    Ответить
  16. pushkinist

    кого всех?

    Ответить
  17. Алексей Лукацкий

    Тех, кто не знает, относить себя к 1-му или 2-му классу 😉

    Ответить
  18. pushkinist

    а зачем себя относить? это же для госов

    Ответить
  19. pushkinist

    ну всмысле они же сами все классифицируют

    Ответить
  20. Алексей Лукацкий

    Так блог читают не только банкиры 😉

    Ответить