Федеральная служба по техническому и экспортному контролю (ФСТЭК России) пояснила порядок рассмотрения и согласования моделей угроз безопасности информации и технических заданий на создание государственных информационных систем.
Постановлением правительства Российской Федерации от 11 мая 2017 г. N 555 внесены изменения в требования к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации, утверждённые постановлением правительства Российской Федерации от 6 июля 2015 г. N 676.
Согласно требованиям, модели угроз безопасности информации и (или) технические задания на создание государственных информационных систем согласуются с ФСТЭК.
Ведомство поясняет, что рассмотрение документов на создание федеральных информационных систем осуществляется центральным аппаратом ФСТЭК России, региональных систем – управлениями ФСТЭК России по федеральным округам.
Срок рассмотрения проектов составляет не более 30 дней.
Правовую основу при рассмотрении и согласовании проектов моделей угроз безопасности информации и технических заданий на создание государственных информационных систем составляют:
- Федеральный закон от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
- Федеральный закон от 27 июля 2006 г. N 152-ФЗ «О персональных данных»;
- Требования к защите персональных данных при их обработке в информационных системах персональных данных, утвержденные постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119;
- Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденные приказом ФСТЭК России от 11 февраля 2013 г. N 17;
- Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденные приказом ФСТЭК России от 18 февраля 2013 г. N 21.
Кроме того, при рассмотрении и согласовании моделей угроз безопасности информации и технических заданий на создание государственных информационных систем будут учитываться методические документы ФСТЭК России и национальные стандарты в области защиты информации, национальные стандарты, регламентирующие вопросы создания автоматизированных систем, а также сведения, содержащиеся в банке данных угроз безопасности информации (www.bdu.fstec.ru), сообщило ведомство.
При реализации органами исполнительной власти мероприятий по созданию, развитию, вводу в эксплуатацию, эксплуатации и выводу из эксплуатации систем и дальнейшему хранению содержащейся в их базах данных информации должны выполняться:
а) требования о защите информации, содержащейся в системах, устанавливаемые федеральным органом исполнительной власти в области обеспечения безопасности и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий;
б) требования к организации и мерам защиты информации, содержащейся в системе.
В целях выполнения требований о защите информации, предусмотренных пунктом 1 настоящего документа (требования о защите информации), органы исполнительной власти определяют требования к защите информации, содержащейся в системе органа исполнительной власти, для чего осуществляют:
а) определение информации, подлежащей защите от неправомерных доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также иных неправомерных действий в отношении такой информации;
б) анализ нормативных правовых актов, методических документов и национальных стандартов, которым должна соответствовать система;
в) классификацию системы в соответствии с требованиями о защите информации;
г) определение угроз безопасности информации, реализация которых может привести к нарушению безопасности информации в системе, и разработку на их основе модели угроз безопасности информации;
д) определение требований к информационной системе (подсистеме) защиты информации, содержащейся в системе.
Модель угроз безопасности информации и (или) техническое задание на создание системы согласуются с федеральным органом исполнительной власти в области обеспечения безопасности и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий в части, касающейся выполнения установленных требований о защите информации.
Напомним, на конференции OS DAY, прошедшей в Москве в мае, заместитель директора Федеральной службы по техническому и экспортному контролю России Виталий Лютиков отмечал необходимость дожидаться устранения уязвимостей в программных продуктах иностранными разработчиками. В этом ФСТЭК видит проблему обеспечения безопасности информации российских государственных организаций. Представитель ФСТЭК сообщил также, что отечественные поставщики программных продуктов, бывает, пытаются заставить заказчика заплатить за установку патчей, блокирующих уязвимости. Такая практика неприемлема, и ФСТЭК намерен её пресекать, фиксируя обязанность поставщика обновлять программные продукты для устранения уязвимостей — такое требование, по словам Лютикова, должно содержаться в техническом задании на поставку программных продуктов.
