ДиалогНаука

Пресс-центр

Выберите интересующие вас разделы:

Периодичность рассылки:

Формат письма:

Назад к списку новостей

Уточнение требований по защите ГИС

Романов Илья
Заместитель руководителя
отдела консалтинга АО "ДиалогНаука"
CISA, CISM

С 23 мая 2017 года вступают в силу новые требования, предъявляемые к государственным информационным системам (ГИС). Произойдет это по причине внесения поправок в «Требования к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации», утвержденные Постановлением Правительства РФ от 6 июля 2015 г. № 676  (далее – Требования). Сами же поправки внесены Постановлением Правительства РФ от 11 мая 2017 г. № 555.

Все вносимые изменения напрямую касаются вопросов обеспечения информационной безопасности ГИС. При этом большая часть изменений дублирует Приказ ФСТЭК № 17 (от 11 февраля 2013 г.). В частности, при создании и эксплуатации ГИС согласно обновленным Требованиям необходимо:

  • определить перечень информации, подлежащей защите, и классифицировать информационную систему;
  • определить актуальные угрозы, утвердив Модель угроз ГИС;
  • сформировать  Техническое задание, включающее требования по защите информации, определенные с учетом Модели угроз и нормативно-правовых актов ФСТЭК и ФСБ;
  • обеспечивать выполнение всех необходимых мер обеспечения безопасности информации, в том числе провести аттестацию информационной системы.

Неожиданностью же стало появление требования, обязывающего согласовывать Модели угроз и Технические задания на создание государственных систем с ФСТЭК и ФСБ. Однозначного понимания, как будет реализовываться это требование на практике, сейчас нет:

  • как в отсутствии утвержденной методики разработать Модель угроз, которую бы согласовали регуляторы?
  • готовы ли ФСТЭК и ФСБ «справиться» с Моделями и Техзаданиями для всех ГИС?

Кроме того, изменениями предусмотрена норма, запрещающая ввод государственных информационных систем в эксплуатацию в случае невыполнения требований о защите информации, включая отсутствие действующего аттестата соответствия требованиям безопасности информации. Вступает в силу эта норма с 1 января 2019 г. Но вряд ли кто-то станет утверждать, что до указанной даты можно вводить в действие и эксплуатировать ГИС, не удовлетворяющие требованиям ФСТЭК и ФСБ и не имеющие аттестатов соответствия.

Несмотря на уточнения, вносимые новым Постановлением Правительства РФ № 555, на текущий момент по-прежнему остается ряд вопросов, связанных с защитой государственных информационных систем. Но однозначно то, что построение систем защиты ГИС – задача важная и сложная, требующая ресурсов, навыков и опыта как в части разработки документации, так и в части эксплуатации средств защиты информации.