ЧТО НОВОГО НАМ МОЖЕТ ДАТЬ БУДУЩИЙ УКАЗ ПРЕЗИДЕНТА "ОБ УТВЕРЖДЕНИИ ПОЛОЖЕНИЯ О ГСЗИ В РФ"?
Введение
Рост числа компьютерных атак, зафиксированный в последнее время, а также усложнение ландшафта угроз и новые реалии рынка привели к необходимости комплексного подхода к кибербезопасности, включающего расширенные системы обнаружения и реагирования на сложные кибератаки.
В конце января на Федеральном портале проектов нормативных правовых актов появился проект указа Президента РФ «Об утверждении Положения о государственной системе защиты информации в Российской Федерации».
Кто попадает под действие положения
Под положение попадают все организации, обрабатывающие информацию принадлежащею государству, в том числе и коммерческие организации, передающие информацию после обработке в рамках госзаказа или обрабатывающие государственную информацию.
Требования к защите информации
Существует огромнейшее количество различных нормативных актов в области защиты информации. Так что требования к защите информации уже давно известны и опубликованы, однако теперь они все собраны в одном месте и синхронизированы по терминологии. А также расширен круг лиц, на которых требования теперь распространяются.
Государственная система защиты информации
Государственная система защиты информации (далее – ГСЗИ) создается в целях организации равнопрочной защиты информации, принадлежащей государству, а также с целью формирования единой организационной системы, функционирующей на общих правилах на федеральном, межрегиональном, региональном, ведомственном и объектовом уровнях на основе существующих структурных единиц, таких как:
Федеральная служба по техническому и экспортному контролю РФ (ФСТЭК России);
Федеральная служба безопасности РФ (ФСБ России);
- подразделения по защите информации федеральных органов исполнительной власти, органов исполнительной власти субъектов РФ, местного самоуправления и т.д.;
- научные организации по проблемам защиты информации;
- организации, осуществляющие создание средств защиты информации;
- организации, выполняющие работы и (или) оказывающие услуги в области защиты информации;
- органы по сертификации и испытательные центры, проводящие работы по сертификации средств защиты информации;
- организации, осуществляющие подготовку кадров в области защиты информации и т.д.
Среди основных направлений деятельности ГСЗИ:
проведение единой политики в области защиты информации;
координация деятельности участников системы на уровнях от объектового до федерального;
- прогнозирование, выявление и оценка угроз безопасности информации;
- обеспечение целостности и конфиденциальности обрабатываемой информации;
- создание и внедрение способов и методов защиты информации;
- контроль обеспечения защиты информации;
- подготовка кадров в области защиты информации.
Так же ГСЗИ будет взаимодействовать с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА).
Структура государственной системы защиты информации
ГСЗИ создается как комплексная организационная структура с распределенными зонами ответственности. И в положении чётко прописаны как состав ГСЗИ, так и зоны ответственности. ФСТЭК и ФСБ будут организовывать работу всей ГСЗИ, устанавливать требования к защите информации и осуществлять контроль за обеспечением защиты информации.
Межведомственный комплекс (МВК) по информационной безопасности (ИБ) специальная система координирующая деятельность органов по вопросам защиты информации на всех уровнях.
Главным будет МВК Совбеза РФ, затем федеральных округов, потом субъектов РФ и так далее до самого низа. Все решения принимаются коллегиально и межведомственно.
Возможное влияние на рынок информационной безопасности
Ведущий консультант по ИБ Александр Моисеев рассказал о возможном влиянии данного документа на участников рынка информационной безопасности.
Рост на рынке аттестации объектов информатизации по требованиям безопасности информации.
Рост услуг по независимой внешней оценке защищенности лицензиатам ФСТЭК РФ по технической защите конфиденциальной информации (ТЗКИ), но необходимо дождаться, какую периодичность установит Правительство.
Обязанность для разработчиков систем защиты информации поддерживать в ходе жизненного цикла своей продукции её безопасность за счет систематических работ по выявлению уязвимостей и обеспечения технической поддержкой конечных пользователей.
- Рост актуальности услуг по повышению осведомленности персонала в области ИБ (Security Awareness)
Пересмотр ИТ-инфраструктуры органов и организаций для обеспечения репликации и резервного копирования, а также тестирования средств аварийного восстановления.