Почему проект УЭК не входит в перечень КВИС? - Форум по вопросам информационной безопасности

В соответствии с Доктриной информационной безопасности Российской Федерации важнейшей составляющей системы защиты информации является защита критически важных информационных систем (КВИС) Федеральных органов исполнительной власти от угроз несанкционированного доступа к информации и программно-технических воздействий (компьютерных атак).
Под критически важными информационными системами понимаются такие объекты
информатизации, на которых осуществляются сбор, обработка, хранение и передача информации с целью обеспечения процессов управления, выход которых за допустимые пределы может привести к нарушению функционирования и нанесению им ущерба.
Понятие компьютерная атака формализуется как целенаправленное программно-техническое воздействие на КВИС, приводящее к снижению эффективности выполнения или полному нарушению технологических циклов управления системы.
Особенностями современных КВИС, оказывающими негативное влияние на обеспечение их защищенности и устойчивости функционирования в условиях воздействия компьютерных атак, являются:
высокий уровень территориальной распределенности объектов;
многообразие применяемых информационных технологий;
возможность перехвата данных в магистральных сетях связи, выходящих за пределы контролируемой зоны, при переводе их на зарубежное цифровое коммуникационное оборудование;
дефицит кадров, обеспечивающих квалифицированную техническую поддержку и мониторинг телекоммуникационного оборудования и программного обеспечения инфраструктуры КВИС;
высокий уровень риска быть подверженным компьютерным атакам вследствие применения коммерческих программных средств и коммуникационного оборудования (в том числе применения нелицензионного и несертифицированного программного обеспечения);
отсутствие документированных сценариев, способов и форм воздействия компьютерных атак, которые необходимы в качестве исходных данных для организации эффективного противодействия компьютерным атакам.
Традиционными способами обеспечить гарантированную защиту информационной инфраструктуры и динамических процессов функционирования КВИС в условиях воздействия компьютерных атак представляется маловероятным. Несовершенство средств защиты информации приводит к тому, что в реальных условиях применения элементов КВИС неизвестные атаки преодолевают рубежи противодействия и оказывают деструктивное воздействие на систему.
Поэтому целью создания перспективных средств противодействия компьютерным атакам является обеспечение защищенности и устойчивости функционирования КВИС в условиях воздействия компьютерных атак, то есть способности системы выполнять свои целевые функции при наличии атак. За рубежом научные исследования по комплексному обеспечению защищенности и устойчивости функционирования КВИС в условиях воздействия компьютерных атак объединены в новое понятие информационной живучести (Information Survivability).

Постановление Правительства РФ от 24 марта 2011 г. N 208 "О технических требованиях к универсальной электронной карте и федеральным электронным приложениям"
http://www.garant.ru/hotlaw/federal/315148/

III. Требования к интегральной схеме универсальной электронной карты
14. Интегральная схема универсальной электронной карты (включая интерфейсы взаимодействия) должна обеспечивать оценочный уровень доверия не ниже четвертого
Это уровень для систем коммерческих ИС и Выше уровня для PCI DSS -Visa-Master
А господа за рубежом не позволят нам перехватить маржу от транзакций по их картам по России - а это от 4 млрд до 7 млрд долл
А вот мнение регулятора - ФСБ не было учтено
А Зачем - за такие-то деньги?
Я ошибаюсь?

Да... все понятно.
Раз Интел нагнул контору почему другим это не под силу.
http://www.gazeta.ru/business/2010/12/07/3457805.shtml
Мальчик уже вынул свой пальчик и плотина и город и страна обречены.
Вопрос только в сроках.
А вариант процессинга будет Грефовскому варианту.
Можно даже поспорить
Государство уходит...поле боя принадлежит мародерам

нет слов

Пруфлинк
проект УЭК должен быть в перечнях КСИИ-КВИС
это прямо следует из документов принятых
СОВБЕЗОМ РФ!!!
http://www.scrf.gov.ru/documents/6/93.html
ПРИОРИТЕТНЫЕ ПРОБЛЕМЫ НАУЧНЫХ ИССЛЕДОВАНИЙ В ОБЛАСТИ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ РОССИЙСКОЙ ФЕДЕРАЦИИ
(утверждена Исполняющим обязанности Секретаря Совета Безопасности Российской Федерации, председателя научного совета при Совете Безопасности Российской Федерации 7 марта 2008 г.)

http://www.scrf.gov.ru/documents/6/94.html
ОСНОВНЫЕ НАПРАВЛЕНИЯ НАУЧНЫХ ИССЛЕДОВАНИЙ В ОБЛАСТИ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ РОССИЙСКОЙ ФЕДЕРАЦИИ
(утверждена Исполняющим обязанности Секретаря Совета Безопасности Российской Федерации, председателя научного совета при Совете Безопасности Российской Федерации 7 марта 2008 г.)

А какой закон не рождался в муках? ))) Покажите хоть один?
Обсуждать и улучшать и пересматривать можно годами...
Есть своя логика в этом решении....теперь то уж точно будет работа по улучшению, общественное обсуждение....система заработала...
А пересмотреть решение всегда можно...принять поправки, добавить статьи, положения....да как с документами ФСТЭК по ИСПДн....
А так бы это решение еще лет 50 не начали реализовывать....потребность то есть...
Теперь сколько экспертов, специалистов и, разработчиков заработают денег, репутаций на этой теме....глядишь лет через 5 решение станет более-менее работоспособным.
Как вариант можно вообще отказаться от информатизации....все равно это бездонная бочка и все мало-мальски серьезные документы имеют и свою бумажную копию.
Даешь глиняные таблички! Все за клинопись и узелковое письмо!!!
А через 10 лет мы с барабанами и сигнальными кострами, а у них ....

2 Любопытный 27544
Скажите - Вы сторонник ФЗ 210?
И на самом деле считаете что
Обеспечение и защита прав граждан — НЕ обязанность государства а сфера "ПЛАТНЫХ УСЛУГ"?
Что
Этот закон в корне НЕ изменяет концепцию отношений гражданина и государства, закрепленную в статьях 2, 3, 7, 15, 18, 24, 35, 38, 43, 28, 29, 39, 41, 71, 72, 130-133, 110-114, 80, 82 Конституции РФ. Конституционные полномочия и обязанности органов власти и органов местного самоуправления по обеспечению и защите прав и свобод граждан ЗАКОННО трансформируются в коммерческую деятельность по предоставлению «платных услуг».
Принятие такого закона без всенародного обсуждения НЕ нарушает права каждого гражданина России.

Когда для того, чтобы протащить эту неконституционную идею (УЭК) можно сознательно и целенаправленно занижать требования к информационной безопасности компонентов входящих в процедуру национальной платежной системы - тогда запросто можно продавать скопом в виде пронумерованного и заклейменного скота все население страны со всем их имуществом и прочими там атрибутами в виде ПДН.

ЗАЧЕМ ВООБЩЕ В МУКАХ РОЖАТЬ процедуру клеймления скота?
Это совсем не глиняные таблички и не узелковое письмо - это ПРЕДАТЕЛЬСТВО инспирированное 5 колонной.
Если вы просто ошиблись в приоритетах - так почитайте этот закон и остальные нпа по предмету

РАСПОРЯЖЕНИЕ
http://www.allbusiness.ru/BPravo/DocumShow_DocumID_103448_DocumIsPrint_Yes_Page_.html
ПРАВИТЕЛЬСТВО РФ 27 августа 2005 г. N 1314-р
(НТЦС)


1. Одобрить прилагаемую Концепцию федеральной системы мониторинга критически важных объектов и (или) потенциально опасных объектов инфраструктуры Российской Федерации и опасных грузов.
2. Роскосмосу совместно с Минобороны России, МЧС России, МВД России, ФСБ России и другими заинтересованными федеральными органами исполнительной власти обеспечить реализацию Концепции федеральной системы мониторинга критически важных объектов и (или) потенциально опасных объектов инфраструктуры Российской Федерации и опасных грузов.

Председатель Правительства Российской Федерации М.Фрадков 27 августа 2005 г. N 1314-р


ОДОБРЕНА распоряжением Правительства Российской Федерации от 27 августа 2005 года N 1314-р

КОНЦЕПЦИЯ федеральной системы мониторинга критически важных объектов и (или) потенциально опасных объектов инфраструктуры Российской Федерации и опасных грузов
...
11. Объединение информационных ресурсов центров мониторинга различных уровней осуществляется с использованием систем и средств телекоммуникации, при этом учитывается необходимость обеспечения конфиденциальности информации и санкционированного удаленного доступа к их базам данных.
При решении возложенной на систему мониторинга задачи должна быть предусмотрена возможность информационного взаимодействия центров мониторинга различных уровней с другими государственными и негосударственными информационными системами общего и специального назначения Российской Федерации, а также с международными информационными системами.
Регламент информационного взаимодействия устанавливается в соответствии с утверждаемым Правительством Российской Федерации положением о федеральной системе мониторинга критически важных объектов и (или) потенциально опасных объектов инфраструктуры Российской Федерации и опасных грузов с учетом законодательства Российской Федерации в области защиты информации.
...
17. Основными направлениями деятельности в области обеспечения национальной безопасности при осуществлении мониторинга объектов и грузов являются:
а) обеспечение государственного контроля за информационной и научно-технологической безопасностью, в том числе за достоверностью и полнотой информационных ресурсов системы мониторинга;
б) разработка и реализация мер, исключающих несанкционированный доступ юридических и физических лиц к информационным ресурсам системы мониторинга;
в) обеспечение защиты сведений, составляющих государственную тайну, и конфиденциальной информации при осуществлении взаимодействия с международными и иностранными органами и организациями;
г) организация подготовки кадров в области создания, использования и обеспечения безопасности при осуществлении мониторинга объектов и грузов.

ГОСТ Р 53114-2008 Защита информации.
Обеспечение информационной безопасности в организации.
Основные термины и определения

3.1.13 услуга; сервис: Результат деятельности исполнителя по удовлетворению потребности потребителя.

Примечание — В качестве исполнителя (потребителя) услуги может выступать организация, физическое лицо или процесс.

3.1.14 услуги информационных технологий; услуги ИТ: Совокупность функциональных возможностей информационных и, возможно, неинформационных технологий, предоставляемая конечным пользователям в качестве услуги.

Примечание — Примерами услуг ИТ могут служить передача сообщений, бизнес-приложения, сервисы файлов и печати, сетевые сервисы и т.д.

3.1.15 критически важная система информационной инфраструктуры; ключевая система информационной инфраструктуры; КСИИ:
Информационно-управляющая или информационно-телекоммуникационная система, которая осуществляет управление или информационное обеспечение критическим объектом или процессом, или используется для официального информирования общества и граждан, нарушение или прерывание функционирования которой (в результате деструктивных информационных воздействий, а также сбоев или отказов) может привести к чрезвычайной ситуации со значительными негативными последствиями.

3.1.16 критический объект:
Объект или процесс, нарушение непрерывности функционирования которого может нанести значительный ущерб.

Примечание — Ущерб может быть нанесен имуществу физических или юридических лиц, государственному или муниципальному имуществу, окружающей среде, а также выражаться в причинении вреда жизни или здоровью граждан.

3.1.17

информационная система персональных данных: Информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.

[Федеральный Закон Российской Федерации от 27 июля 2006 г. №152-ФЗ, статья 3, пункт 9)]


3.1.18

персональные данные: Любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

[Федеральный Закон Российской Федерации от 27 июля 2006 г. №152-ФЗ, статья 3, пункт 1)]


3.1.19 автоматизированная система в защищенном исполнении;
АС в защищенном исполнении:
Автоматизированная система, реализующая информационную технологию выполнения установленных функций в соответствии с требованиями стандартов и/или нормативных документов по защите информации.

Вопросы прибывают - ответов по-прежнему нет

ПОЛОЖЕНИЕ О ЕДИНОЙ ВЕРТИКАЛЬНО ИНТЕГРИРОВАННОЙ ГОСУДАРСТВЕННОЙ АВТОМАТИЗИРОВАННОЙ ИНФОРМАЦИОННОЙ СИСТЕМЕ "УПРАВЛЕНИЕ"
Утверждено Постановлением Правительства
Российской Федерации от 25 декабря 2009 г. N 1088

Система создана, назначены ответственные - про УЭК ни слова входит-не входит?

11. Определение требований по обеспечению информационной безопасности и контроль за их исполнением в процессе создания и эксплуатации системы "Управление" осуществляются Федеральной службой безопасности Российской Федерации и Федеральной службой по техническому и экспортному контролю в пределах их компетенции.

12. Требования к использованию сети специальной связи и информации Федеральной службы охраны Российской Федерации, системы ситуационных центров органов государственной власти, информационно-аналитических центров Федеральной службы охраны Российской Федерации в процессе создания и эксплуатации системы "Управление" определяются Федеральной службой охраны Российской Федерации.

13. Требования к ведомственным информационным системам Министерства экономического развития Российской Федерации, входящим в состав системы "Управление", в части вопросов стратегического планирования, управления, ориентированного на результат, и оценки результативности деятельности федеральных органов исполнительной власти, а также требования по интеграции в систему "Управление" информационных ресурсов единой межведомственной информационной статистической системы определяются указанным Министерством.

14. Требования к ведомственным информационным системам Министерства регионального развития Российской Федерации, входящим в состав системы "Управление", в части вопросов обеспечения аналитической обработки информации о социально-экономическом развитии субъектов Российской Федерации определяются указанным Министерством.

15. Оператор системы "Управление" обеспечивает:

а) работоспособность программных и технических средств центральной информационной системы;

б) сбор, обработку, хранение и распространение информации, содержащейся в центральной информационной системе, с учетом требований по обеспечению информационной безопасности;

в) работоспособность программных и технических средств ведомственных информационных систем, которые входят в систему "Управление" или информационные ресурсы которых интегрируются в нее, и взаимодействие с операторами этих систем.

http://www.gas-u.ru/docs/folder/show/11.htm
Федеральные законы
1. Федеральный закон от 27.07.2006 года № 149-ФЗ "Об информации, информационных технологиях и о защите информации"
2. Федеральный закон от 09.02.2009 года № 8-ФЗ "Об обеспечении доступа к информации о деятельности государственных органов и органов местного самоуправления"
3. Федеральный закон от 25.02.1999 года № 39-ФЗ
"Об инвестиционной деятельности в Российской Федерации, осуществляемой в форме капитальных вложений"
4. Федеральный закон от 06.10.1999 года № 184-ФЗ "Об общих принципах организации законодательных (представительных) и исполнительных органов государственной власти субъектов Российской Федерации"
5. Федеральный закон от 24.07.2007 года № 198-ФЗ "О федеральном бюджете на 2008 год и на плановый период 2009 и 2010 годов"

как-то ФЗ210 не упомянут...
Не ясно - правая рука не знает что делает левая (а как исполняется ФЗ 184 в рамках ФЗ 210?
Что-то не срастается...
ФОИВ не будут предоставлять =НЕКОНСТИТУЦИОННОЕ понятие= госуслуги или уже здесь они переданы на откуп комерсам?

Стратегия развития информационного общества в Российской Федерации
УТВЕРЖДАЮ
Президент Российской Федерации В.Путин
7 февраля 2008 года № Пр-212
...
8. В области противодействия использованию потенциала информационных и телекоммуникационных технологий в целях угрозы национальным интересам России:
• обеспечение безопасности функционирования информационно-телекоммуникационной инфраструктуры;
• обеспечение безопасности функционирования информационных и телекоммуникационных систем ключевых объектов инфраструктуры Российской Федерации, в том числе критических объектов и объектов повышенной опасности;
• повышение уровня защищенности корпоративных и индивидуальных информационных систем;
• создание единой системы информационно-телекоммуникационного обеспечения нужд государственного управления, обороны страны, национальной безопасности и правопорядка;
• совершенствование правоприменительной практики в области противодействия угрозам использования информационных и телекоммуникационных технологий во враждебных целях;
• обеспечение неприкосновенности частной жизни, личной и семейной тайны, соблюдение требований по обеспечению безопасности информации ограниченного доступа;
• противодействие распространению идеологии терроризма и экстремизма, пропаганде насилия.

И где это все это применительно к УЭК?