Провинциальный взгляд на аттестацию государевых информационных систем

Недавно мы организовали обсуждение нового порядка аттестации объектов информатизации, вступившего в силу с 1 сентября 2021 года. С материалами обсуждения рекомендуем ознакомиться тем, кто готов прочитать эту статью до конца. Для тех, кто не готов – достаточно ликбеза в первой части статьи.

После мероприятия к нам поступили десятки вопросов, на которые можно было бы и не отвечать, но, раз назвались груздем, лезем в кузов. Под катом вы найдёте ответы на первую часть вопросов.

Ликбез

Немного теории для медитации перед погружением в мир аттестации.

Информационная система (ИС) – это программное обеспечение (ПО) + оборудование (сервера, пользовательские устройства, маршрутизаторы, ИБП и т.д.) + люди (администраторы, пользователи). 

Допустим, у частной компании есть электронная почта на виртуальном сервере. Информационная система в этом случае – это ПО сервера электронной почты, ПО системы виртуализации, железо, на котором работает система виртуализации, и ЦОД, где размещено это железо. Плюс пользовательские устройства, которые получают доступ к электронной почте. Плюс люди, которые всем этим пользуются и всё это обслуживают и защищают.

Существует категория информационных систем, безопасность данных в которых контролируется государством. К таким информационным системам предъявляется ряд обязательных требований. Примеры таких систем:

  1. Государственные информационные системы (ГИС) – gosuslugi.ru, mos.ru и др.

  2. Объекты критической информационной инфраструктуры (КИИ), к которым относятся различные ИС/АСУ*/ИТКС** в 13 сферах экономической деятельности – здравоохранение, наука, транспорт, связь, энергетика, банковская сфера, топливно-энергетический комплекс и др.

  3. Информационные системы персональных данных – информационные системы банков, школ, поликлиник, визовых центров, интернет-магазинов, в которых хранятся персональные данные, с помощью которых можно идентифицировать человека. Например, ФИО, дата рождения, образование, доходы и др.

* АСУ – автоматизированная система управления, класс ИС для управления разного рода процессами. Автоматизированная, потому что в ней участвует человек. Если бы человек был системе не нужен, она была бы автоматической.

** ИТКС – информационно-телекоммуникационная система, класс ИС, которые отвечают за передачу данных. Например, сети сотовых операторов – это ИТКС.

Среди перечисленных систем есть такие, которые заботят государство больше остальных. Это ГИС и объекты КИИ. Ущерб от недоступности этих систем или утечки данных из них выше, чем у других систем. Сложно себе представить последствия отказа АСУ воздушным движением или Системы управления и мониторинга сети какого-нибудь оператора связи.

Владельцы ГИС и объектов КИИ должны подтверждать уполномоченным органам, что они выполняют обязательные требования по безопасности в информационных системах.

Процесс подтверждения выполнения требований называется АТТЕСТАЦИЕЙ.

При желании можно попытаться аттестовать любую информационную систему, но ГИС и объекты КИИ требуется аттестовать, даже если желания нет :)

Чтобы объективно оценить разнокалиберность проблем, связанных с проведением аттестации, мы решили посмотреть на них глазами персонажа по имени ГИСАДМИН, которому предстоит преодолеть все тернии аттестации.

По сценарию наш герой родился лет 30 назад в уездном городе π, где и работает по сей день в одной муниципальной конторе. Город небольшой, тихий, торопиться не принято, бывают перебои с кофе и пивом. Поэтому технарей мало.

ГИСАДМИН одновременно и АйТишник на все руки, и ИБэшник на всю голову, который иногда бьёт айтишника по рукам. В общем, человек тяжёлой судьбы.

В детстве ГИСАДМИН интересовался у родителей, почему его так странно назвали. Родители приводили разные доводы –во-первых, это красиво, а во-вторых, это перспективно. Услышав это, наш герой молча согласился и как-то сразу повзрослел.

О буднях провинциального админа

Пятница медленно переползала первую половину трудового дня. ГИСАДМИН, напевая don't worry be happy, предвкушал вечерние чипсы с пивом. Но резкий телефонный звонок рассеял сказочный мираж.

– ГИСАДМИН, ты готов к великим свершениям! – начал издалека шеф.

Эта увертюра повторялась каждый раз, когда нужно было работать в выходные, а платить сверхурочные было нечем. 

– Михалыч, давай ближе к делу, – решительно потребовал ГИСАДМИН.

 Шеф что-то пробурчал про племя молодое, незнакомое и скороговоркой объявил приговор:

– Намедни ввели в эксплуатацию областную систему контроля за бюджетом.

Отчёты теперь нужно подавать только через неё. Следующий отчёт во вторник.

К понедельнику подключишь к этой системе компьютер главбуха и её заместителя!

Инструкцию по подключению пришлю тебе на почту. Пароли, как обычно, наклеены на системных блоках.

Придя в себя от почтового beep, ГИСАДМИН прочитал письмо от Михалыча. В нём был только адрес для подключения к системе контроля бюджета и контакты областного админа.

ГИСАДМИН воткнул свободный патч-корд в комп бухгалтера, включил его, ввёл пароль, набрал адрес областной системы в браузере и …. молчание было ему ответом.

Позвонил областному админу. Не дозвонился. Отправил на почту просьбу перезвонить и стал ждать.

Пока ждал поменял на бухгалтерских компах пароли, чтобы в следующий раз не приходить, когда они протухнут.

Смена пароля в бухгалтерии – это цирковое представление, которое начинается после появления на экране окна для его смены. Вариантов финальной сцены всего два – участники шоу либо зовут админа, либо меняют пароль, который в следующий раз не могут вспомнить.

За этим занятием ГИСАДМИНА и застал телефонный звонок из области.

– Добрый день, это Кузьмин? Вы просили перезвонить по подключению к областной ГИС.

– Здравствуйте, я не Кузьмин, я ГИСАДМИН. Мне нужно к понедельнику подключить два компьютера к вашей системе. Вы прислали адрес. В браузере он не открывается. Что делать?

– Да, хоть Пушкин. Для доступа нужна практика, а не философия.

ГИС аттестована. И это не аттестат о среднем образовании. Это подтверждение того, что в системе реализованы необходимые меры защиты. Без этого ГИС в эксплуатацию не ввести. Почитай на досуге 17 приказ ФСТЭК и Постановление Правительства 656. Там всё написано.

Мне нужно убедиться, что твои компы достаточно защищены. После внести информацию о них в аттестат. На компах нужен антивирус. Если операционка не сертифицирована, нужно установить средство защиты от НСД*. Для доступа понадобится VPN.

* НСД – несанкционированный доступ. Без сокращений в ИБ никуда. В данном контексте имеется в виду НСД к информации.

– Не так быстро, я записываю, – взмолился ГИСАДМИН.

– Для ГИСАДМИНов еще раз повторяю.

– На удаленном АРМе для подключения к ГИС должны быть установлены: анти-ви-рус, средство от ЭН-ЭС-ДЭ и ВИ-ПИ-ЭН! Записал? Смотри в слове НСД первую букву не перепутай. И последние две местами не меняй, чай не бухгалтер.

VPN клиента, как я понимаю, нет. Дистрибутив и инструкцию пришлю. После установки будет нужно запросить сертификат для каждого компа. Это написано в инструкции.

Запросы пришли мне на почту. Заодно заполни опросник по каждому компу, чтобы я мог внести эту информацию в аттестат. Почту пришли мне в SMS. Всё понял?

– Понял. Сегодня всё отправлю.

– Передай пользователям и начальнику, что у вас будет доступ только для загрузки и чтения данных. Выгрузить данные или документы из системы будет нельзя. Иначе придётся проводить аттестацию. И делать это придётся вам. Мы не можем отвечать за защиту данных ГИС на ваших компах.

– Я этого не знал, передам. Спасибо!

– Если будут вопросы, звони. Всем уездам нужно во вторник подавать отчёты. Подключились только два из двенадцати. Так что не только тебя ждут «весёлые» выходные. Держись, Чечеткин.

– Я ГИСАДМИН…

– Да, вкурил я твою шутку. Тогда зови меня ВЛАДГИС. Почти как Пельш, только ВЛАДелец ГИС.
Ну, а по жизни я Володя. Но для тебя – ВЛАДГИС.

Прошли выходные. К понедельнику компьютеры были готовы. Во вторник уездный город π отправил в область отчёт. В среду ГИСАДМИН получил отгул, и, находясь под впечатлением от чипсов, пива и ВЛАДГИСа, сделал первую запись в Дневнике ГИСАДМИНА.

  1. Аттестация проводится на этапе создания информационной системы или при изменении её конфигурации – включении или исключении из состава системы АРМ, телекоммуникационного оборудования или средств защиты.

  2. При подключении новых АРМ к ранее аттестованной информационной системе не нужно проводить переаттестацию, если соблюдены требования по составу и настройкам средств защиты типовых компонентов.

  3. Владелец информационной системы должен вносить информацию об изменениях её конфигурации в Технический паспорт информационной системы.

  4. Внешние пользователи с неаттестованными АРМ могут получать доступ к аттестованным информационным системам, если это предусмотрено Техническим паспортом. Условия предоставления доступа указываются в разделе «Условия эксплуатации информационной (автоматизированной) системы» Технического паспорта.

Эпилог

Почти все события в статье вымышленные. Совпадения с реальными людьми и фактами практически случайны. Появятся ли следующие записи в Дневнике ГИСАДМИНА – решать вам.

Ждем ваши «за» и «не за» в комментариях.