ФСТЕК пояснила, як слід узгоджувати моделі загроз безпеці інформації під час створення
Федеральна служба з технічного та експортного контролю (ФСТЕК України) пояснила порядок розгляду та узгодження моделей загроз безпеці інформації та технічних завдань на створення державних інформаційних систем.
Відповідно до вимог, моделі загроз безпеці інформації та (або) технічні завдання на створення державних інформаційних систем узгоджуються з ФСТЕК.
Відомство пояснює, що розгляд документів на створення федеральних інформаційних систем здійснюється центральним апаратом ФСТЕК України, регіональних систем - управліннями ФСТЕК України по федеральних округах.
Термін розгляду проектів становить трохи більше 30 днів.
Правову основу під час розгляду та узгодження проектів моделей загроз безпеці інформації та технічних завдань на створення державних інформаційних систем становлять:
Крім того, при розгляді та узгодженні моделей загроз безпеці інформації та технічних завдань на створення державних інформаційних систем враховуватимуться методичні документи ФСТЕК України та національні стандарти в галузі захисту інформації, національні стандарти, що регламентують питання створення автоматизованих систем, а також відомості, що містяться у банку даних загроз безпеці інформації (www.bdu.fstec.ru), повідомило відомство.
При реалізації органами виконавчої влади заходів щодо створення, розвитку, введення в експлуатацію, експлуатації та виведення з експлуатації систем та подальшого зберігання інформації, що міститься в їх базах даних, повинні виконуватися:
а) вимоги щодо захисту інформації, що міститься в системах,встановлювані федеральним органом виконавчої влади у сфері забезпечення безпеки та федеральним органом виконавчої влади, уповноваженим у сфері протидії технічним розвідкам та технічного захисту інформації, в межах їх повноважень;б) вимоги до організації та заходів захисту інформації, що міститься в системі.
З метою виконання вимог щодо захисту інформації, передбачених пунктом 1 цього документа (вимоги про захист інформації), органи виконавчої влади визначають вимоги до захисту інформації, що міститься в системі органу виконавчої влади, для чого здійснюють:
а) визначення інформації, що підлягає захисту від неправомірних доступу, знищення, модифікування, блокування, копіювання, надання, розповсюдження, а також інших неправомірних дій щодо такої інформації;б) аналіз нормативних правових актів, методичних документів та національних стандартів, яким має відповідати система;в) класифікацію системи відповідно до вимог захисту інформації;г) визначення загроз безпеці інформації, реалізація яких може призвести до порушення безпеки інформації в системі, та розробку на їх основі моделі загроз безпеці інформації;д) визначення вимог до інформаційної системи (підсистеми) захисту інформації, що міститься в системі.
Модель загроз безпеці інформації та (або) технічне завдання на створення системи узгоджуються з федеральним органом виконавчої влади у сфері забезпечення безпеки та федеральним органом виконавчої влади, уповноваженим у сфері протидії технічним розвідкам та технічного захисту інформації, в межах їх повноважень у частині, що стосується виконаннявстановлених вимог щодо захисту інформації.
Нагадаємо, на конференції OS DAY, що відбулася в Москві в травні, заступник директора Федеральної служби з технічного та експортного контролю України Віталій Лютиков наголошував на необхідності чекати усунення вразливостей у програмних продуктах іноземними розробниками. У цьому ФСТЕК бачить проблему забезпечення безпеки інформації українських державних організацій. Представник ФСТЕК повідомив також, що вітчизняні постачальники програмних продуктів, буває, намагаються змусити замовника заплатити за встановлення патчів, які блокують уразливість. Така практика неприйнятна, і ФСТЭК має намір її припиняти, фіксуючи обов'язок постачальника оновлювати програмні продукти для усунення вразливостей – така вимога, за словами Лютикова, має бути в технічному завданні на постачання програмних продуктів.