Как расейский сайт государев защитить от супостатов заморских?!

На прошедшей DLP Russia я в очередной раз говорил о законодательстве в области информационной безопасности, а точнее о тенденциях его развития. Тогда я высказал мысль, что раньше безопасники жаловались, что у нас очень неадекватные и неактуальные документы и жить по ним нельзя. А сейчас ситуация ровно обратная — документов с требованиями выходит столько, что впору уже прекращать работу этого принтера и начинать разбираться с уже выпущенными нормативными документами. Масла в огонь подливается огромным количеством регуляторов, которые так и норовят выпустить в свет очередное свое творение и застолбить себе имя в истории. И дело не столько в ФСТЭК, ФСБ или ЦБ (с ними нормально удается сосуществовать), сколько в других регуляторах, которые вдруг выплеснут ни с того, ни с сего обязательный нормативный документ, которые залезает на чужую поляну и мало что не учитывает уже разработанных требований, так еще и конфликтует с другими.

Вот возьмем к примеру наше Правительство, которое через ФМС России, разработало Концепцию введения удостоверения личности гражданина Российской Федерации в виде пластиковой карты в качестве основного документа, удостоверяющего личность. Ну почему нельзя было в разделе по информационной безопасности этой концепции просто написать, что требования по ИБ должны соответствовать правовым актам ФСТЭК в области защиты персональных данных? Нет, надо изголяться и надергивать требования из разных документов. Зачем? Чтобы в очередной раз убедились, что на этом пластике будет работать сертифицированная в ФСБ криптография? Или что разработчики из ФМС и Правительства мало знакомы с российским законодательством, если позволяют себе использовать термин «отраслевой стандарт»? Вот зачем?

А еще случай хотите? Возьмем к примеру такую простую сущность, как сайт государственного органа, размещенный в государственном сегменте сети Интернет. И представим, что надо его защитить от супостатов заморских, так и норовящих открытые данные с этого сайта украсть, а админов его в полон забрать. Какие требования могут распространяться на такой сайт?

На первый взгляд все просто — есть приказ ФСТЭК №17 (почти как Балтика №9), который, распространяясь на все государевы информационные системы, должен и покрывать сайт как бык корову. Ан нет, и другие желающие найдутся. Во-первых, Минкомсвязь с его 149-м приказом от 27.06.2013. Новехонький такой приказ. Называется «Об утверждении Требований к технологическим, программным и лингвистическим средствам, необходимым для размещения информации государственными органами и органами местного самоуправления в сети «Интернет» в форме открытых данных, а также для обеспечения ее использования». И там есть, как ни странно, раздел по защите информации. Странно потому, что у Минкомсвязи свое понимание защиты информации. Оно неплохое и нехорошее, оно свое. И оно плохо сочетается с требованиями ФСТЭК и ФСБ.

А еще у Минкомсвязи есть приказ №104 от 25.08.2009. Называется он — «Об утверждении Требований по обеспечению целостности, устойчивости функционирования и безопасности информационных систем общего пользования» и разработан он в целях реализации пункта 2 постановления Правительства Российской Федерации от 18 мая 2009 года N 424 «Об особенностях подключения федеральных государственных систем к информационно-телекоммуникационным сетям». Парадокс, но во исполнении этого же Постановления (только пункта 3, посвященного защите информации) нашими традиционными регуляторами ФСТЭК и ФСБ на двоих разработан в 2010-м году совместный приказ от 31.08.2010 №416/489. Спрашивается и в чем разница между информационной безопасностью во 2-м пункте и защитой информацией в 3-м?..

А есть еще приказ Минэкономразвития (ну эти-то куда суются) №470 от 16.11.2009 «О Требованиях к технологическим, программным и лингвистическим средствам обеспечения пользования официальными сайтами федеральных органов исполнительной власти». И там… фанфары… тоже есть раздел про защиту информации. Вы думали это все? Нет, это еще не все..

Напоследок добавлю полено (или поленом) от ФСО, которая 07.08.2009 выпустила приказ №487 «Об утверждении Положения о сегменте информационно-телекоммуникационной сети «Интернет» для федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации». Если сайт размещается в этом сегменте, то будьте добры соответствовать еще и требованиям Федеральной службы охраны.

Стоп-стоп-стоп… Не все это, судари и сударыни. У нас же еще есть Верховный Главнокомандующий, который в 2008-м году разродился указом 351-м от 17-го марта «О мерах по обеспечению информационной безопасности российской федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена». В нем тоже немало про возможность передачи государственной информационной собственности по сети Интернет и особенно за пределы Российской Федерации, а точнее про запрет такой передачи (это в Интернет-то).

Ну теперь-то все? Похоже, что да. С требованиями по защите все, исключая, быть может, ФСБшные требования по защите персональных данных. Но они пока не вышли. Подытожим. У нас есть 7 нормативных актов, устанавливающих разные требования по защите информации к сайтам государственных органов, размещаемых в сети Интернет. Авторами этих нормативных актов являются 5 органов государственной власти (ФСТЭК, ФСБ, Минкомсвязь, Минэкономразвития и ФСО) и один Президент. Немного ли для одного простенького сайта?

Может все-таки вернуться к идее единого госоргана по вопросам информационной безопасности? Не такая уж и глупая идея…