В этой заметке поговорим о чайниках и микроволновках, но речь пойдет не об интернете вещей, как может показаться на первый взгляд, а о некоторых нюансах составления технического паспорта.
Для тех, кто не очень в теме поясню терминологию и суть проблемы.
Для любых информационных систем, в том числе для ИСПДн и ГИС, должен составляться технический паспорт, в котором отражается, по сути, текущее состояние системы. В нем перечисляются серийные (инвентарные) номера оборудования, входящего в информационную систему, список используемого в системе ПО, операционных систем, средств защиты информации, а также рисуются схемы расположения техники относительно границ контролируемой зоны.
У технического паспорта на информационную систему несколько задач:
- Обеспечить возможность незнакомому с системой человеку (например, проверяющему) быстро понять принципы работы системы и состав системы.
- Что касается проверок ФСТЭК, то обычно первое, что просят показать проверяющие — это технический паспорт на проверяемую систему.
- Предоставление данных о системе лицензиату ФСТЭК при проведении аттестационных испытаний на соответствие требованиям по защите информации.
- Выполнение требований 17 и 21 приказа ФСТЭК, связанных с инвентаризацией и контролем состава технических средств, программного обеспечения и средств защиты информации в информационных системах (о том, что выполнение этих мер ФСТЭК теперь проверяет по факту, а не формально, я писал в одной из предыдущих заметок).
Поэтому, хоть и явных требований, говорящих о том, что составлять технический паспорт на ИСПДн или ГИС нужно — нет, его все равно нужно иметь под рукой и желательно в актуальном виде.
Единственный документ, который устанавливает форму и содержание технических паспортов на автоматизированные системы это СТР-К (а ФСТЭК нам уже сказал, что понятия «автоматизированная система» и «информационная система» — родственные и разделять их не нужно).
Как известно, в ИБ лучше перебдеть, чем недобдеть, поэтому как интеграторы, так и владельцы систем в подавляющем количестве случаев используют именно форму из СТР-К. Ведь нигде не сказано, что документ можно составлять в произвольной форме…
Но здесь была одна проблема.
В СТР-К есть понятия «основные технические средства и системы» (ОТСС) и «вспомогательные технические средства и системы» (ВТСС). ОТСС это все технические средства, которые участвуют в обработке защищаемой информации, то есть непосредственно сервера и компьютеры, а также устройства ввода и вывода информации — клавиатуры, мыши, мониторы, принтеры, считыватели смарт-карт и т.д. и т.п. Ну, с ОТСС, понятно, это нужно вносить в техпаспорт. С ВТСС все гораздо веселее. Дело в том, что ВТСС, если упростить определение, это все что находится в одном помещении с ОТСС и включается в розетку. То есть под ВТСС понимаются электрочайники, микроволновки, холодильники и прочее добро, которое можно встретить в рабочих кабинетах.
Проблема в том, что перечень ВТСС присутствует в форме техпаспорта, приведенного в приложении «В» СТР-К и, опять же, явно о том, что его можно в некоторых случаях не заполнять — нигде не сказано. Как следствие, при реализации различных проектов приходилось по много раз объяснять, зачем мы переписываем чайники. Это иногда напрягало даже больше, чем трудоемкость и бессмысленность самого процесса =)
По этой причине мы обратились в Управление ФСТЭК по ДФО с просьбой разъяснить этот момент. Мы написали, что необходимость внесения ВТСС в технический паспорт явно связана с угрозами утечки информации по каналам ПЭМИН и задали вопрос: можно ли не вносить ВТСС в техпаспорт, если такие угрозы признаны неактуальными (а это на моем личном опыте — 99% случаев для ГИС и ИСПДн). И ФСТЭК нас снова порадовал — нам ясно и однозначно ответили, что если такие угрозы неактуальны, то ВТСС можно не вносить в техпаспорт. Да и разделы со схемами электропроводки и заземления тоже можно убрать.
Хочу обратить внимание, что это позиция ФСТЭК именно по дальневосточному федеральному округу. Позиция вашего территориального управления ФСТЭК может быть диаметрально противоположной.
Последнее, что хотелось бы сказать насчет технических паспортов, то я надеюсь, что ФСТЭК или в виде информационного сообщения или в грядущих новых редакциях 17 и 21 приказов как-то формализует и узаконит понятие электронного технического паспорта на информационную систему. Потому что в больших и живущих бурной жизнью информационных системах, поддержание в актуальном состоянии техпаспорта в бумажном виде бывает затруднительным, а то и вовсе — невозможным.