ГИС, ПЭМИН и иностранные спецслужбы

С высоких (и не очень) трибун представители ФСТЭК не раз заявляли, что защищать ГИС от утечек по техническим каналам (в т.ч. от утечек по каналам ПЭМИН) не обязательно. Заставлять оператора никто не будет, а необходимость такой защиты целиком определяется наличием актуальной угрозы. Об этом не раз писали и коллеги в своих блогах.

Но это с трибун и в блогах. А что на бумаге? Приказ 17 недвусмысленно требует (см. п.25): «Выбранные и реализованные в информационной системе в рамках ее системы защиты информации меры защиты информации должны обеспечивать: в информационных системах 1 класса защищенности – нейтрализацию (блокирование) угроз безопасности информации, связанных с действиями нарушителя с высоким потенциалом».

Т.е. ГИС класса К1 должна быть защищена от нарушителя с высоким потенциалом. А кто это такой? Из публиковавшегося недавно проекта Методики определения угроз в ИС (о котором уже писал и я, и коллеги) ясно видно, что нарушитель с высоким потенциалом есть «специальные службы иностранных государств (блоков государств)». Кстати, о спецслужбах шла речь и в публиковавшемся еще в 2014 г проекте нового ГОСТ «Защита информации. Информационные системы и объекты информатизации. Угрозы безопасности информации. Общие положения». В нем так же в качестве нарушителя с высоким потенциалом рассматриваются зарубежные разведки, которые, как известно, могут и хотят реализовать любую угрозу.

Т.о., задача оператора ГИС весьма нетривиальна: доказать, что нарушители с высоким потенциалом (т.е. иностранные разведки) неспособны и немотивированы реализовывать угрозы утечки информации по тех. каналам, а будут довольствоваться исключительно попытками проникновения в ИС из внешних сетей. В противном случае угрозы УИТК станут актуальными со всеми вытекающими. На что ссылаться? На значимость информации? Но если она не интересует спецслужбы, зачем их тогда вообще включать в Методику? А если интересует, то какова должна быть степень защиты от ПЭМИН? Из чего исходить? Ни оператор, ни лицензиат по ТЗКИ не знают, какими возможностями обладают иностранные разведки, поскольку они изложены в документах, имеющих гриф. От каких данных отталкиваться? От «Википедии»? И, конечно, самый главный вопрос: как доказать проверяющему из ФСТЭК, что ГИС защищена от иностранных спецслужб? Какие СЗИ в ней должны присутствовать?