Вот, наконец, свершилось. ФСТЭК России опубликовал документ, который мало кто хотел, но, раз он опубликован, то он хоть какой-нибудь федеральной службе да нужен. Хотелось дать эпиграф к статье: начал выбирать из известнейших цитат Алисы в стране чудес, но не смог выбрать - подходит любая.
Тихие правки между Обсуждением и Минюстом
Изменений по сравнению с последней редакцией почти нет - в основном редакционные правки: что-то лишнее добавили, что-то логичное убрали. Например, появилось несколько орфографических ошибок - но это ладно, думаю - это в качестве специй. Из действительно интересного:
п. 6, а) - убрали первое слово "систем" после слова "информационных" в фразе "информационных
систем, автоматизированных систем управления, информационно-телекоммуникационных(далее – системы), информационно-телекоммуникационныхсетей (далее - информационные (автоматизированные) системы ". Теперь, везде по тексту Порядка можно считать, что под сокращением "информационные (автоматизированные) системы" понимаются не ИС, АСУ и ИТКС, а (т.к. русский язык един для всех) информационные системы управления, автоматизированные системы управления и информационно-телекоммуникационные сети.п. 8 - Удалено требование к экспертам органа по аттестации о том, что они обязаны обеспечить качество и объективность результатов аттестационных испытаний.
п. 9 - добавили, что срок аттестации, устанавливаемый Владельцем, не может быть больше 4 месяцев. Интересно, как теперь теперь будут исполняться договора без этапов (чтобы государство не платило заранее) с полным циклом работ по созданию защищённых ГИС, которые могут идти и год? Другой вопрос - как Минюст одобрил требование ФСТЭК к частным ЮЛ, которые решили аттестануть свои ИСПДнки, т.е. что ФСТЭК влез в товарно-денежные отношения частных лиц? Но это ладно, всякое бывает. А вот как будет работать 44-ФЗ: ведь там не известен победитель заранее, а Заказчик должен уже в ТЗ установить срок работ, как требует ФСТЭК, "согласованный с органом по аттестации". Читатель может подумать, что ФСТЭК предлагает организовать сговор, чтобы выполнить п.9, но думаю, что это не так - просто ФСТЭК (раз уже он влез в регулирование товарно-денежных отношений) запретил проводить аттестацию через тендеры - только прямые договора! Думаю, все недовольные 44-ым скажут спасибо за такое послабление
п. 31 - для того, чтобы разные органы по аттестации и Владельцы ОИ не называли результаты периодического контроля по разному ФСТЭК определил точное название документа: Протокол контроля защиты, оформляемый по результатам периодического контроля уровня защиты (п. 31). Кстати, если ФСТЭК приостановил действие аттестата, то для его возобновления (п. 38) нужно отправить некие протоколы контроля уровня защиты в соответствии с п. 32. Стоп, но ведь п. 32 вообще отсутствует в Порядке. Наверное, в нём и было указано, чем отличается Протокол контроля защиты от Протоколов контроля уровня защиты, но теперь этого не узнать (стоит печать Минюста). В общем, шансов легально возобновить действие аттестата - немного.
Резюме. Судя по количеству правок и их сути, либо общественность в обсуждении не принимала участие, либо её не хотели услышать.
Оставшиеся странности
Из Порядка не убрали/переработали/скорректировали/... те изюминки, которые были ещё в проекте документа:
п.3. ФСТЭК сообщает, что любое частное ЮЛ, которое "установлено требование по проведению оценки соответствия систем защиты информации этих объектов требованиям по защите информации в форме аттестации" должно подчиняться ФСТЭКу, сдавать доп отчётность, тратить деньги раз в 2 года на контроль и др. (непонятно, правда, как в рамках контрольных мероприятий вообще можно узнать, в т.ч. ФСТЭКу, что в частной организации есть приказ с именно такой формулировкой?). Так что, частные ЮЛ наверное даже не узнают об этом, так как, как раньше проводили по ФЗ-152 "оценку эффективности реализованных мер...", так и будут
п.5. Словосочетание "орган по аттестации". Лицензиат не может себя им считать, если нет аттестата аккредитации органа по аттестации (список аккредитованных органов - здесь). В Порядке это словосочетание - просто сокращение, введённое по тексту. Но как же ж заполнять Аттестат, если там надо вписать название органа по аттестации. Если впишет туда себя лицензиат без аттестата аккредитации - то, что через 5 дней скажет ФСТЭК при проверке такого аттестата?
пп.3,5,6. То, что органы госвласти могут сами себе проводить аттестацию - это прекрасно, но непонятно, лицензиаты - могут сами себе тоже сделать? или им надо обязательно договариваться с другими лицензиатами, чтобы те сделали им работы по аттестации?
п.11. Технический паспорт на ОИ - это хорошо. Теперь обязательно будет нужна инвентаризация ОИ. Особенно хорошо для владельцев К1 ГИС, с 20-50к АРМ, распределённых по РФ. Одно это уже в сотни раз дороже самой аттестации (если проводить по сегментному подходу, определённому в ГОСТ и в 17-ом Приказе), т.к. Владельцы ГИС не будут её проводить сами. Более того, в рамках аттестационных испытаний в ПМИ надо предусмотреть (см. п.13.2), а потом выполнить (п. 15, а) ещё и обследование ОИ. Судя по всему - дополнительно...
п.15 з, и. Проверять правовые и физмеры защиты проверять не требуется, даже если их применение требуется приказами ФСТЭК или по решению Заказчика.
п.15 к. При получении лицензии на ТЗКИ (пункт Г2- аттестационные испытания и аттестация помещений со средствами (системами), подлежащими защите, не путать с Г3 - аттестационные испытания и аттестация защищаемых помещений) ФСТЭК требует, чтобы соискатель приобрёл кучу оборудования (начиная с генераторов шумовых сигналов) для проведения измерений по ТКУИ. Но теперь, в соответствии с Порядком оценку эффективности средств ЗИ по ТКУИ для помещений со средствами (системами), подлежащими защите лицензиат проводить не может. Зачем же требовать покупку оборудования, которое нельзя использовать?
п.18 з. Ещё одна хорошая новость. Лицензиат может вместо вывода о возможности/невозможности выдачи аттестата, сделать вывод о необходимости доработки СЗИ ОИ (а потом, ожидаемо, её и провести по отдельному контракту).
п.21. Лицензиат должен как-то "оценивать качество" работ. Интересно, на это нужна отдельная ПМИ? Как сделать оценку: в процентах? в соответствии с научным подходом по зубодробительной формуле? в звёздах (5 из 5)? в рублях? в хорошо/плохо? подойти пнуть ногой, сказать "ну так, вроде, норм, чё"? просто лайкнуть?
п.27. Лицензиат в течение 5 дней направляет копии аттестата и других документов во ФСТЭК. 5 дней! 5 дней, Карл! No comments. Как интересно частные Заказчики отнесутся к тому, что их контрагент в нарушение соглашения о соблюдении конфиденциальности всю эту красоту отправит во ФСТЭК?
п.33.
1) Тут, думается, только про деятельность, которую в ПП-676 обозначена как развитие (модернизация), если на неё выделены отдельные средства. Не надо проводить допАИ при изменении адреса сервера обновления антивируса на его зеркало.
2) Кстати о дополнительных АИ. Их же исключили из 17го приказа? А для них надо отдельную ПМИ? Они проводятся за отдельные деньги?
3) Сегментный подход этот Порядок убивает что-ли? Т.е. этот порядок противоречит 17му приказу и ГОСТу на аттестацию?
PS Удачи нам всем...
