27 января 2023 г.

Дорожная карта проекта указа Президента Рф. Источник: Федеральный портал проектов нормативных правовых актов, январь 2023 г.

В последней декаде января на Федеральном портале проектов нормативных правовых актов появился проект указа Президента РФ «Об утверждении Положения о государственной системе защиты информации в Российской Федерации». Этим указом в целях обеспечения информационной безопасности РФ предполагается утвердить 13-страничное «Положение о государственной системе защиты информации в Российской Федерации».

Предполагается, что данная система защиты будет представлять собой функционирующий на федеральном, межрегиональном, региональном, ведомственном и объектовом уровнях организационный комплекс, включающий уполномоченные в области защиты информации федеральные органы исполнительной власти, подразделения и работников органов и организаций, выполняющих функции по защите информации, а также используемые ими средства защиты информации.

При этом организационную основу государственной системы защиты информации составят:

  • Федеральная служба по техническому и экспортному контролю и ее территориальные органы, Федеральная служба безопасности Российской Федерации и территориальные органы безопасности — уполномоченные федеральные органы исполнительной власти;
  • органы, организации, организующие и (или) осуществляющие защиту информации в пределах полномочий, их подразделения, обеспечивающие защиту информации;
  • научные организации по проблемам защиты информации;
  • организации, осуществляющие создание средств защиты информации;
  • организации, выполняющие работы и (или) оказывающие услуги в области защиты информации;
  • органы по сертифик) средств защиты информации;
  • · организации, осуществляющие подготовку кадров в области защиты информации.

А основными направлениями деятельности этой системы станут:

  • проведение единой государственной и научно-технической политики в области защиты информации, разработка нормативных правовых актов, методических документов и национальных стандартов в данной области;
  • координация деятельности органов, организаций по вопросам защиты информации на федеральном, межрегиональном, региональном, ведомственном и объектовом уровнях;
  • прогнозирование, выявление и оценка угроз безопасности информации, информирование органов, организаций об угрозах безопасности информации;
  • предотвращение несанкционированного доступа к информации и к объектам информационной инфраструктуры, обрабатывающим информацию, своевременное обнаружение фактов несанкционированного доступа;
  • недопущение воздействия на информацию и объекты информационной инфраструктуры, в результате которого нарушается безопасность обрабатываемой информации;
  • обеспечение возможности восстановления информации, модифицированной или уничтоженной вследствие несанкционированного доступа (воздействия) к ней и(или) к объектам информационной инфраструктуры, обрабатывающим информацию;
  • создание и внедрение способов, методов и средств защиты информации на основе применения передовых отечественных технологий, развитие отечественных конкурентоспособных средств защиты информации;
  • подготовка кадров в области защиты информации, повышение уровня знаний работников органов, организаций в данной области;
  • контроль обеспечения защиты информации и защищенности объектов информационной инфраструктуры.

Реакция игроков рынка

Возникает вопрос: не приведет ли создание столь сложной системы к повышению расходов предприятий и организаций на обеспечение информационной безопасности?

Вот как отвечает на этот вопрос директор по стратегии и развитию технологий Axiom JDK компании БЕЛЛСОФТ, руководитель комитета по ИБ АРПП «Отечественный софт» Роман Карпов: «Создание системы защиты информации в РФ — это очередной системный шаг к повышению информационной безопасности и дальнейшему развитию рынка средств защиты информации. Все мы знаем, что почти в каждой организации есть люди отвечающие за безопасность, но отношения к понятию информационной безопасности очень разнятся. Таким образом, система защиты информации РФ позволит систематизировать понятия, а также переосмыслить отношение к рискам ИБ. Для компаний, имеющих системный подход в области безопасности, никаких накладных расходов для реализации новых норм и требований не возникнет, а остальным необходимо будет пересмотреть и формализовать свои отношения с инфобезом. Эта инициатива, кстати, прекрасно коррелирует с выделением отрасли ИБ (изменения в ОКВЭД 74.90.9) и началом стратегического сотрудничества между АРПП „Отечественный софт“, объединяющей 260 производителей отечественного ПО, и Институтом системного программирования РАН в области практик безопасной разработки, что также является одним из элементов развития ИБ».

Аналогичного мнения придерживается руководитель отдела аналитики «СёрчИнформ» Алексей Парфентьев: «Новые требования не усложнят деятельность российских разработчиков ИБ-средств. Сейчас для них и так действуют требования ФСТЭК, по которым каждое средство, которое хранит, обрабатывает или защищает персданные граждан РФ должно проходить жёсткие проверки по безопасности. Разработчик должен получать лицензии на разработку, а его продукты — сертификат по уровню доверия. Причем продукты, которые защищают ПД, должны пройти через анализ исходного кода, чтобы компания смогла получить минимально достаточный сертификат. Поэтому новые требования ничего не поменяют для разработчиков, которые и раньше шли по этому пути и отдавали свое ПО на сертификацию. А все серьезные известные российские компании такую проверку проходят. Изменения серьезно не повлияют и на работу интеграторов, поставщиков услуг, так как и сейчас для них есть требования по лицензированию деятельности на техническую защиту».

Но будут и пострадавшие. Алексей Парфентьев отмечает: «Если новые требования вступят в силу, то они больше всего коснутся операторов персональных данных — их могут прировнять в защите информации к ГИС. Однако дело в том, что существующие для них требования и сейчас похожи. Единственное, на данный момент у операторов больше необязательных рекомендованных мер, чем у ГИС. Если первые могут выполнить меры и просто отчитаться, то государственные системы защиты информации должны проходить аттестацию своей автоматизированной системы во ФСТЭК. Скорее всего, с новыми требованиями Роскомнадзор или ФСТЭК может прийти к оператору и обязать его так же пройти аттестацию. Это неплохая мера, но проблема в том, что все операторы персданных не смогут аттестовать используемую систему. Так как любое турагенство — оператор ПД, если к нему придёт регулятор с требованием по защите персональных данных равному требованию к ГИС и заставит пройти аттестацию, то МСБ этого не выдержит. Так как не хватит кадров, компетенций, кроме того, это дорого, так как все должно делаться сертифицированными отечественными средствами. Также приближение операторов к ГИС автоматически обязывает вести взаимодействие с ГосСОПКА (государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак). И если государственные предприятия в этом разбираются, то малый бизнес точно не знает, что это такое и как с этим работать. Чтобы ужесточение требований могло повысить уровень защиты не только в теории, но и на практике, малому бизнесу нужны более простые требования».

О том, какое влияние упомянутый выше указ Президента РФ может оказать на участников рынка информационной безопасности, нам рассказал ведущий консультант по ИБ AKTIV.CONSULTING (компания «Актив») Александр Моисеев: «Первое, что можно ожидать после принятия данной редакции Положения — это рост на рынке аттестации объектов информатизации по требованиям безопасности информации. Также можно предположить рост услуг по независимой внешней оценке защищенности лицензиатам ФСТЭК РФ по технической защите конфиденциальной информации (ТЗКИ), но тут необходимо дождаться, какую периодичность установит Правительство. Кроме того, возможно предположить, что случится привлечение лицензиатов ФСТЭК РФ по ТЗКИ, но уже к выполнению самих работ по защите информаци в обсуждаемых органах и организациях.

Выделю один из принципиальных важных моментов: для разработчиков средств защиты информации (СЗИ) возникает обязанность поддерживать в ходе жизненного цикла своей продукции её безопасность за счет систематических работ по выявлению уязвимостей и обеспечения технической поддержкой конечных пользователей. Это удорожает стоимость продуктов, но все крупные вендоры СЗИ и так давно уже самостоятельно реализуют данные требования.

А ещё можно ожидать роста актуальности услуг по повышению осведомленности персонала в области ИБ (Security Awareness), тут также возможен рост рынка и создание новых продуктов. Ну и наконец, хотелось бы отметить важное требование по „восстановлению информации, модифицированной или уничтоженной вследствие несанкционированного воздействия“, которое затронет пересмотр ИТ-инфраструктуры органов и организаций. Зачастую мы сталкиваемся с тем, что в подсистемах „резервного копирования и восстановления“ урезают возможности в проектах комплексных систем безопасности по экономическим соображениям. Обеспечение репликации и резервного копирования, а также тестирование средств аварийного восстановления — это важный аспект безопасности, особенно в связи с участившимися атаками на отечественные организации, необходимо быть готовым к том, что любую эшелонированную защиту рано или поздно проломят и потребуется восстановление деятельности».

Источник: IT Channel News