Семь требований по аттестации ГИС, способные создать проблемы из-за своей неопределенности – Люди PRO Media

Семь требований по аттестации ГИС, способные создать проблемы из-за своей неопределенности

Правила аттестации информационных систем изменил приказ от 29 апреля 2021 года. Он внес ряд недопониманий со стороны как владельцев, так и проверяющих органов.

Государственные информационные системы (ГИС) – это системы, созданные на основании федеральных и региональных законов. 29 апреля 2021 года вышел приказ ФСТЭК №77, изменивший правила аттестации информационных систем на соответствие требованиям в области кибербезопасности. Положения этого документа вызывают у владельцев объектов информатизации вопросы и различные толкования. Расскажем о неоднозначных или плохо раскрытых требованиях, с которыми приходится иметь дело органам по аттестации. 

1. Допустимая выборка проверяемых объектов

Выборка исследуемых объектов, а значит, и количество испытаний, определяют  во многом продолжительность аттестационных работ. Однако нормативная база не регламентирует необходимую долю охвата проверяемых серверов. Если предположить, что аттестации подлежит масштабная информационная система с архитектурой из сотни и более серверов, проверка всех серверов окажется длительной и высоко затратной.

Решить проблему неоправданно долгих и дорогих проверок может определение минимально допустимого процента охвата проверяемых серверов и рабочих станций. Для исключения здесь новой недосказанности важно решить вопрос о необходимости сопоставлять количество имеющихся лицензий с количеством защищаемых хостов.

2. Сроки действия результатов инструментального сканирования

При аттестации системы необходимо проводить оценку результатов их инструментального сканирования на отсутствие уязвимостей. При этом нет строгих требований к приемлемой давности результатов такого анализа. То ли проводить сканирование чуть ли не каждый день, то ли можно предъявлять результаты чуть ли не годовой давности.

Решению проблемы помогло бы точное определение сроков давности результатов сканирования. Полезным было бы также дифференцировать сроки в зависимости от уровня, категории или класса объекта информатизации.

3. Степень и объем детализации проверок

Законодательство требует проверять корректность и полноту реализации мер защиты информации. При этом глубина проводимых проверок, то есть степень их детализации и объем, не регламентирована. Здесь возникает неопределенность при проверках сертифицированных продуктов по кибербезопасности – если продукты уже проверены аккредитованными испытательными лабораториями, должны ли органы по аттестации проводить повторные проверки? Нужно ли дополнительно убедиться в реализации очистки оперативной памяти при прекращении работы программы, или следует поверить сертификату соответствия? Тут можно привести целый список  вопросов.

Исключить эту неопределенность и избежать проведения лишних работ – а ряд из них могут выполнять только специализированные  организации – могло бы определение степени глубины проверок хотя бы по отношению к сертифицированным средствам защиты.

4. Количество аттестатов соответствия

Сегодня нет прямого запрета на владение несколькими действующими аттестатами соответствия по одному и тому же объекту информатизации. На практике это приводит к спорным ситуациям, когда компании пытаются получить несколько аттестатов соответствия на одну систему – по одному от разных органов или сразу несколько у одного из них.

Такое стремление часто объясняется недостатками в защите аттестуемых систем. Поэтому необходим четкий запрет на получение нескольких аттестатов.

5. Действия при неудачной аттестации

По существующим нормативам орган по аттестации не обязан сообщать ФСТЭК о выдаче отрицательного заключения в случае проведения дополнительных или повторных аттестационных испытаний. На практике может возникнуть ситуация, когда владелец объекта информатизации  не уведомляет регулятора о негативном результате, чтобы избежать потери аттестата соответствия.

Исключить такие ситуации можно введением обязанности для органов по аттестации отправлять ведомству сведения об отрицательных результатах периодического контроля, повторных или дополнительных испытаний. Также необходимо дать возможность органам по аттестации отзывать и приостанавливать действие аттестатов соответствия с уведомлением регулятора и описанием соответствующих процедур, как это было ранее.

6. Срок хранения аттестационных документов

Сколько времени органы по аттестации обязаны хранить аттестационные документы – нормативными документами не определено. Введение минимального срока хранения могло бы значительно снизить нагрузку на архивное хранение документов.

7. Право проведения повторных и дополнительных аттестационных испытаний и периодического контроля

Органы по аттестации не имеют исключительного права проводить повторные или дополнительные испытания аттестованной системы, а также выполнять проверки в рамках ее периодического контроля. Это приводит к размытию зоны ответственности в тех случаях, когда «первичную» аттестацию проводит одна организация, а дополнительные испытания – другая. В таких ситуациях закономерно возникает много спорных вопросов.

Не допустить возникновения спорных ситуаций может определение круга возможных исполнителей, в зависимости от объема выполняемых работ. Проведение дополнительных испытаний целесообразно доверить только тем органам по аттестации, которые изначально выдали его. Повторные же аттестационные испытания, которые предполагают выполнение полного объема работ, необходимо разрешить выполнять любым органам по аттестации.

Свежий выпуск «Люди PRO»

Свежий выпуск «МУЛЬТИЧЕЛА»

Свежий выпуск «МУЛЬТИЧЕЛ +»

Читайте также