В государственных информационных системах (ГИС) появится криптография, что еще больше усложнит и удорожит эти многочисленные базы данных. Федеральная служба безопасности РФ разработала проект приказа об утверждении требований о защите информации, содержащейся в ГИС, с использованием средств криптографической защиты информации (СКЗИ).
Общественное обсуждение документа продлится до 7 декабря 2020 г. Согласно проекту приказа, содержащаяся в ГИС информация подлежит защите с использованием СКЗИ в случаях, когда: нормативными правовыми актами РФ предусмотрена обязанность по защите информации, содержащейся в ГИС, с использованием СКЗИ; в ГИС передается информации по каналам связи, проходящим за границей контролируемой зоны; в ГИС хранятся данные на носителях информации, обрабатываемой с использованием средств вычислительной техники, несанкционированный доступ к которым со стороны третьих лиц не может быть исключен с помощью некриптографических методов. По решению обладателя информации, заказчика информационной системы (ИС) или ее оператора требования могут применяться для защиты информации в ГИС в иных случаях, а также в негосударственных ИС. Для защиты информации в ГИС должны использоваться только сертифицированные СКЗИ. В документе изложены правила определения класса СКЗИ, используемых для защиты информации в ГИС.
Требования не распространяются на ГИС администрации президента, Совета безопасности, Федерального Собрания, правительства РФ, Конституционного суда, Верховного суда и Федеральной службы безопасности (ФСБ).
В пояснительной записке к проекту приказа сказано, что его принятие позволит повысить безопасность информации, содержащейся в ГИС, посредством использования для ее защиты СКЗИ.
С 15 июля 2020 г. по 1 марта 2021 г. Министерство цифрового развития, связи и массовых коммуникаций РФ, ФСБ и Федеральная служба по техническому и экспортному контролю (ФСТЭК) проводят пилотный проект по использованию российских криптографических алгоритмов и средств шифрования в государственных информационных системах. В проекте также участвуют операторы информационных систем. Это следует из постановления правительства РФ №963 от 30 июня 2020 г.
В Минцифры корреспонденту ComNews рассказали, что эксперимент проходит в штатном режиме. «В ближайшее время приступим к апробации взаимодействия на отечественных стандартах шифрования», — добавили в ведомстве. ФСБ И ФСТЭК не ответили на запрос.
Пока сложно однозначно оценить затраты на государственные информационные системы. Тем не менее эксперты Счетной палаты в докладе «Оценка открытости государственных информационных систем в России» предприняли эту попытку. Публичные источники информации о расходах на ГИС и сферу ИТ обладают существенными недостатками, поэтому расчеты строились на собранной экспертами базе данных, сформированной с учетом этих недостатков.
В результате авторы доклада пришли к выводу: «Структура бюджетных расходов, связанных с ГИС, неоднородна: отдельно выделяются затраты на ГИС, ЦОД (центры обработки данных) и ИЭП (инфраструктура электронного правительства), что затрудняет подсчет реальных бюджетных затрат на ГИС». По оценкам авторов доклада, общие затраты на ИТ федерального уровня за 2017-2019 гг. находятся в диапазоне от 100 млрд руб. до 130 млрд руб. При этом доля расходов на ГИС в 2017-2019 гг. составляла 50-60% от ИТ-бюджетов (60-75 млрд руб.), в том числе с учетом затрат на ЦОД и ИЭП.
Эксперт в сфере государственных ИТ Альберт Бертяков считает, что проект приказа ФСБ логичен в контексте усиления внимания регуляторов к защите информации в ГИС. «По содержанию он абсолютно технический и просто конкретизирует требования к защите информации в ГИС в зоне ответственности ФСБ России. В преамбуле приказа есть ссылка на п.5 ст.16 закона 149-ФЗ. Эта статья именно про защиту информации в ГИС, а ранее по п.5 ст.16 этого закона был издан хорошо известный всем специалистам по ИБ приказ №17 ФСТЭК. С изданием приказа ФСБ этот пункт будет полностью закрыт подзаконными актами от обоих регуляторов, — рассказал Альберт Бертяков корреспонденту ComNews. — Никаким особенным образом издание этого приказа не повлияет на работу ГИС и бюджеты на их обслуживание. Даже в отсутствие подобного нормативного акта все работы по защите информации в ГИС, предусматривающие использование СКЗИ, согласовывались с ФСБ, а в бюджетах ГИС предусматривались средства на закупку соответствующих средств. Приказ просто документально закрепляет давно сложившийся порядок вещей».
Генеральный директор АО «ТЭК-Торг» Дмитрий Сытин позитивно оценивает инициативу. «В ряде информационных систем, с которыми мы взаимодействуем, такие средства уже применяются. Например, обмен информацией с ЕИС построен с применением СКЗИ, как в части канала передачи данных, так и в части подписания документов, которыми мы обмениваемся с системой. То есть используются российские средства защиты, и это правильно. Реализация этого приказа вряд ли каким-то образом повлияет на изменение количества ГИС. Безусловно, появятся дополнительные требования и потребуется время на их выполнение и модернизацию систем, но риск того, что какие-то ГИС нельзя будет привести в соответствие с этими требованиями, маловероятен, — считает Дмитрий Сытин. — Российские криптографические алгоритмы используются давно — например, в части электронной подписи при взаимодействии с государственными системами. Тем не менее до сих пор остается сегмент, защита которого осуществляется иностранными криптографическими алгоритмами и иностранными средствами шифрования, — это телекоммуникационное взаимодействие между персональным компьютером и ГИС. Это значительная часть российской инфраструктуры, безопасность которой критически важна. Поэтому запуск данного проекта — правильное решение. Его суть в том, чтобы перевести алгоритмы шифрования и технические средства, закрывающие канал передачи данных, с импортных на российские. Главное, чтобы его реализация не подвела и миллионы пользователей не столкнулись со сложными и неповоротливыми системами после перехода на отечественное ПО при взаимодействии с ГИС. Сейчас мы не учувствуем в этом проекте, но на этапе масштабирования, конечно, будем работать, так как являемся частью государственной инфраструктуры и также устанавливаем каналы взаимодействия как с пользователями, так и с ГИС. Очень надеемся, что это пройдет безболезненно в рамках определенного периода адаптации».
Руководитель направления информационной безопасности ITGLOBAL.COM Александр Зубриков считает, что данный проект приказа — интересное дополнение к приказу ФСБ №378 от 10 июля 2014 г. «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных правительством РФ требований к защите персональных данных для каждого из уровней защищенности». «В проекте на данный момент четко определено, какой класс СКЗИ необходимо использовать для какой ГИС — федеральной, региональной либо объектовой. Потребность в таком документе назрела давно, в чем-то он повторяет 378-й приказ, но конкретики точно дает больше. Кроме того, если в ГИС не обрабатываются персональные данные и поэтому невозможно опереться на приказ №378, теперь будет понятно, какой класс СКЗИ использовать. ГИС и раньше строили с использованием СКЗИ определенного класса, однако в случае принятия данного приказа все становится на свои места. Не думаю, что это скажется на бюджетах как в сторону увеличения, так и в сторону уменьшения», — объяснил Александр Зубриков.