02.02.2010

Четверокнижие по ПДн - next generation

На сайте ФСТЭК размещен проект приказа "Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных", который судя по всему приходит на смену пресловутому четверокнижию. Из интересного в нем:
  • планируется его подпись у директора ФСТЭК, а не его заместителя
  • выбор и реализация методов и способов защиты информации в ИСПДн осуществляются на основе определяемых оператором угроз безопасности персональных данных (модели угроз) и в зависимости от класса информационной системы, определенного в соответствии с Приказом трех.
  • методы и способы защиты информации ... в зависимости от класса информационной системы определяются оператором в соответствии с приложением к настоящему Положению. Приложение к Положению привязано к 4-м классам. Т.к. приказ трех у нас не определяет классов для специальных систем, то... опять свобода творчества.
  • вместо детального перечисления длин паролей и другой тягомотины первой версии четверокнижия, в данном Положении просто перечислены основные механизмы защиты, что большой плюс (да и перечень на первый взгляд достаточно грамотный). Правда, вся тягомотина, присущая первой версии четверокнижия, перекочевала в Приложение. Но ее причесали, убрали нестыковки, повторы и просто невыполнимые или непонятные требования. Т.е. привели в читаемый вид.
  • НДВ требуется только для ИСПДн 1-го класса (для 2-го и 3-го - по решению оператора)
  • защита от утечек по техническим каналам осталась для 1-го класса (но фраза может толковаться свободно - "могут использоваться", а не "должны использоваться"). Для ИСПДн 2-го класса надо применять СВТ, удовлетворяющие требованиям национальных стандартов по электросовместимости и т.п. (все как в первом четверокнижии).
  • в системах 1-го класса с голосовым вводом (IVR) или воспроизведением голоса требуется защита акустики.
  • борьба с видовыми утечками реализуется оргмерами (отвернуть монитор от окна, например).
Но самое главное!!! Ни слова про сертифицированные решения, аттестацию объекта информацизации и получение лицензии на ТЗКИ! Если документы пройдут в таком виде, то они станут более приближенными к реальности и за них уже не будет так стыдно, как за предыдущие редакции четверокнижия.

PS. Malotavr у себя в блоге более детально и концептуально прошелся по новому проекту.

56 коммент.:

Ригель комментирует...

Очевидно, что во ФСТЭКе не самоубийцы.
Хе, интересно сейчас будет позырить волну "а ведь я Вам говорил".

Анонимный комментирует...

а зачем теперь нужна класификация, если всё по модели угроз?

AndrewZ комментирует...

Выглядит более адекватно. Раздел 2 воплощает собой шаг в сторону подхода по реализации базового уровня безопасности исходя из архитектуры ИС - теперь понятно, когда нужны МЭ, VPN, антивирусы, независимо от классов ИС. Несмотря на отсутствие явного требования использования только сертифицированных СЗИ - при проверке вам зададут резонный вопрос: а чем вы подтвердите, что указанные в НРД требования по безопасности реализованы в вашей ИСПДн?
И криптографию никто не отменял. Используете VPN? Будьте любезны ГОСТ.

Quiet Zone комментирует...

Да уж, не самоубийцы, но видно тернист был путь к этому выводу, раз Гришанков понадобился.
"Могут применяться" вместо "должны" очень радует. Теперь в качестве меры обработки риска от утечки по техническим каналам отодвигаем АРМ от внешней стены. А необходимость контроля НДВ для К1 и тестирование на проникновение огорчили((

Ригель комментирует...

Какой-такой Гришанков-Мишанков? У системы инстинкт самосохранения по-любому включился бы.

Анонимный комментирует...

Геннадий: Пока это проект, каким он выйдет скоро увидим... Всё может поменяться.
Но в таком виде более интересно, немного изменили фразы и сразу смысл жругой :-)
Про НДВ для К1, зато написано, что только для СЗИ. БЕз прикладного ПО.

Классифицировать все равно надо.

Алексей Т. комментирует...

Кто такой Гришанков? Инстинкты-инстинктами, а эволюцию никто не отменял. Попробовали, поработали - всплыли проблемы, устраняют. Про вложенные деньги можно забыть, ошибок без затрат не бывает. :-) Ждем утверждения. Не совсем понятна взаимосвязь с Мероприятиями/Рекомендациями. Если вместо них - не совсем корректно. Если вместе с ними - еще хуже. Отсутствие обязательной аттестации не радует. Иногда проще провести аттестацию и показать РКН аттестат, чем долго объяснять не разбирающимся людям технические вопросы ЗИ. А вот оставить аттестацию и в случае чего разбираться с лицензиатом и оператором. ФОрмально, но ответственность есть. Коррупции меньше. Да и аттестовать по новому документу значительно проще. ГНИИИ ПТЗИ молодцы - отдельное спасибо за переработку! :-)

Анонимный комментирует...

Не согласен с тем, что сертификацию отменили - ведь в ПП781 прописана необходимость оценки соответствия. А она может быть сейчас либо в виде сертификации либо в виде аттестации ;-)

AndrewZ комментирует...

В ПП781 говорится только о том, что "Средства защиты информации, применяемые в информационных системах, в
установленном порядке проходят процедуру оценки соответствия". Про аттестацию ИСПДн нет ни слова.

Анонимный комментирует...

В настоящее время установлены следующие процедуры оценки соответствия: Сертификация или Аттестация, т.к. нет явного указания, оператор может выбирать самостоятельно (не относится к гос.).

Quiet Zone комментирует...

Ригель

А если бы нет? Тем более, что самой-то системе выгодно ставить невыполнимые задачи, так их нужность не иссякнет. Сослагательное наклонение здесь не к месту, еж птица гордая - пока не пнешь, не полетит. Насчет Гришанкова - это шутка? http://www.tsarev.biz/?p=916

Алексей Т.

У меня не сложилось ощущения, что здесь сработала схема "Попробовали, поработали - всплыли проблемы, устраняют." Это разумная и функциональная схема импрувмента, в отчизне малоупотребимая. Представители ФСТЭК с адским пламенем в очах твердили, что "да, жестко, но вы обязаны и точка". Ни грамма сомнений в верности курса не было, никаких намеков на самокритику. Если бы они хоть раз сказали "давайте поработаем так, накопим замечаний, и после переделаем" - сомнений бы не возникало. Во всяком случае я не слышал. А в данном случае прав Малотавр - заставили сделать ударными темпами, ну те и сделали, нате! Живите теперь по ним. Ну а дальше все по схеме летающего ежа.

Алексей Лукацкий комментирует...

Алексей Т.: Гришанков - это зам.главы комитета ГД по безопасности.

И зачем РКН объяснять технические вопросы? Это не их тема. Они только ФЗ занимаются. Технические вопросы в сфере компетенции иных служб.

Анонимному (второму с конца): Правила оценки соответствия устанавливает Правительство. Оно этого по теме персданных не сделало. Т.ч. требование есть, но оно не реализуемо

Анонимному (первому с конца): Аттестации вообще нет в списке форм оценки соответствия. Посмотрите ФЗ "О техрегулировании".

Евгений Родыгин комментирует...

Если не ошибаюсь в законе о тех. рег. указано что оценка соответствия может проводиться ТОЛЬКО на соответствие тех регламенту... коего нет ?!

toparenko комментирует...

AndrewZ пишет...
И криптографию никто не отменял. Используете VPN? Будьте любезны ГОСТ.

Из текста, кстати, не следует это утверждение.
См. http://dom.bankir.ru/showpost.php?p=2673808&postcount=3126

Скорее следует VPN, PKI и токены не относятся к СКЗИ - что несколько удивило, но вспомнилась практика сертификации продуктов их содержащих как СЗИ...

Анонимный комментирует...

и еще неопределенность в п. 2.6.:
"анализ принимаемой по информационно-телекоммуникационным сетям международного информационного обмена (сетям связи общего пользования) информации, в том числе на наличие компьютерных вирусов."

Www123 комментирует...

А если пойти от противного:
Пункт нового документа 2.11:
Подключение информационной системы к информационной системе другого класса ... осуществляется с использованием межсетевых экранов.
То есть при взаимоподключении ИСПДн одного класса - не надо МЭ ?

SD комментирует...

"Ни слова про сертифицированные решения, аттестацию объекта информацизации и получение лицензии на ТЗКИ!"

Ну и правильно. В установленном порядке. :-)

А установленный порядок... Одно лицензрирование чего стоит:
ТЗКИ - лицензируемый вид деятельности, а по ПП504 лицензионное требование - аттестация. Выходит, обязательное. Так что придется и K4 аттестовать?

Алексей Т. комментирует...

А.Лукацкий:
Про Гришанкова почитал, спасибо. :-) Много интересного в интернете есть.
По поводу аттестации: если убрать аттестацию, фактически непонятна форма оценки защищенности ИСПДн. Формально, аттестация является неплохой формой (если будет контролироваться периодически ФСТЭК) и освобождает от РКН от дебрей проверки реализации требований. Участие специалистов ФСТЭК в проверках вызывает очень большие сомнения - ну нет такого количества специалистов у ФСТЭК.
Еще раз повторю - ждем окончательного решения по статусу документа.

Vlad комментирует...

Возникает вопрос - ДОКОЛЕ?

С одной стороны хорошо, что требования вроде ослабляются. С другой - а как быть тем, кто "с шашкой наголо" уже все привел в соответствие 4-книжию? А что будет дальше? Будь я на стороне оператора, уже стал бы задумываться - а стоит ли напрягаться, может еще подождать. Того и гляди требования еще ослабят...

SD комментирует...

"С другой - а как быть тем, кто "с шашкой наголо" уже все привел в соответствие 4-книжию?"

Как что? Исполнять закон (еще раз). :-)

Алексей Лукацкий комментирует...

И как показывают рекомендации Минсоцздрава, это обычный совет ;-) Хотя тех, кто что-то сделал с технической точки зрения - единицы. Только те, кого запугали регуляторы или интеграторы.

Vlad комментирует...

В защиту интеграторов... Те, кто хотят не просто срубить бабло, уже давно говорят клиентам, что сначала стоит выполнить требования 152-ФЗ, а потом уже думать о реализации требований ФСТЭК/ФСБ ))

Алексей Лукацкий комментирует...

А что им остается говорить, когда всем стало понятно, что регуляторы (один из них) сели в лужу со своими требованиями

Vlad комментирует...

Тем не менее, возникает странная ситуация, что сами заказчики спрашивают о ПОЛНОСТЬЮ реализованных проектах...

Алексей Лукацкий комментирует...

А это те, которых запугали интеграторы ;-)

SD комментирует...

"сначала стоит выполнить требования 152-ФЗ, а потом уже думать о реализации требований ФСТЭК/ФСБ"

А в чем разница?

doom комментирует...

2 Евгений Родыгин

>Если не ошибаюсь в законе о тех. рег. указано что оценка соответствия может проводиться ТОЛЬКО на соответствие тех регламенту... коего нет ?!

Есть еще последняя статья (переходные положения), где оговаривается пара исключений:


До дня вступления в силу соответствующих технических регламентов обязательная оценка соответствия, в том числе подтверждение соответствия и государственный контроль (надзор), а также маркирование продукции знаком соответствия осуществляется в соответствии с правилами и процедурами, установленными нормативными правовыми актами Российской Федерации и нормативными документами федеральных органов исполнительной власти, принятыми до дня вступления в силу настоящего Федерального закона.


Помните вашу ремарку про положение о сертификации средств защиты информации (что оно вообще-то только на СрЗИ для защиты гос. тайны распространяется)? Вот эта ремарка и позволяет говорить, что требование обязательной сертификации СрЗИ для нужд защиты ПДн - незаконно.

Но меня в свое время за такое заявление разве что не побили на одном мероприятии :)

Второй момент, это:


3. Правительством Российской Федерации до дня вступления в силу соответствующих технических регламентов утверждаются и ежегодно уточняются единый перечень продукции, подлежащей обязательной сертификации, и единый перечень продукции, подлежащей декларированию соответствия.


Естественно, никаких СрЗИ в этом перечне нет.

Но, чисто теоретически, возможность протащить обязательную сертификацию по нынешним документам - была.

Евгений Родыгин комментирует...

2 doom
Именно !!!
Осталось найти ссылку на действующий перечень...

Такие же ссылки идут в КОАП-е статьи 13.** там явно только про гос.тайну и перечень...

Вне всякого сомнения ФСЭКу бы ло бы не плохо внести ясность в этом вопросе у себя на сайте... ибо требования к сертифицированным средствам появляются в конкурсной документации в контрактах и т.п. только на основе представлений составителей конкурсной документации.

doom комментирует...

>Осталось найти ссылку на действующий перечень...

А что ее искать-то - вот оно. Свеженькое. Никаких тебе СрЗИ.

>ибо требования к сертифицированным средствам появляются в конкурсной документации в контрактах и т.п. только на основе представлений составителей конкурсной документации.

Тем не менее, они имеют право - это уже не обязательная сертификация просто, а добровольная.

Алексей Т. комментирует...

А вы скачайте перечень и посмотрите - мне кажется этот перечень не меняется лет ...дцать. :-) Мне кажется полемика по этой теме бесполезна - надо сертифицировать и аттестовывать. :-) Кто-нибудь может предложить что-нибудь лучше? Нужно улучшать и делать прозрачными работающие процедуры, чем обсуждать насколько они нужны.

Евгений Родыгин комментирует...

2 Алексей Т.
А тут вопрос не в обсуждении необходимости... вопрос в :
1. четкости и прозрачности требований
2. стройности нормативно-методических документах.

Порой такие курьезы происходят на конференциях !!! Консультанту не говоря уж о представителях нужно на что то опираться(документ недвусмысленную формулировку) а так и опереться не на что кроме фразы "сложилась такая практика и мой большой опыт...."

doom комментирует...

2 Алексей Т.

Весь дух закона о тех. регулировании говорит о простой вещи государству: не лезь ты во все щели!
Не нужны эти навязанные сверху схемы, если только речь не о здоровье и угрозе жизни людей.

А вся узкоспециальная сертификация должна быть добровольной.
И никого туда не надо загонять силком. Ведь Common Criteria занимались тем, что популяризировали свою систему, объясняли ее преимущества перед другими - теперь западные вендоры такое ощущение, что хвалятся у кого EAL выше :) Эта схема работает.

А платить 20% от стоимости коммутатора Cisco, чтобы убедиться, что его ACL действительно способен фильтровать пакеты по IP адресам отправителя и получателя - это дорогое и никому не нужное удовольствие (хотя какое оно удовольствие).

Тоже самое касательно аттестации. Аттестация в соответствии с действующим положением или с СТР-К - нежизнеспособна по определению.

Наметки более жизнеспособной схемы так и остались наметками и никакого движения там нет (речь о проекте концепции оценки соответствия автоматизированных систем требованиям по безопасности информации).


Я здесь утверждаю, что обязывать обычных людей сертифицировать СрЗИ в системах сертификации ФСТЭК или ФСБ - это заведомо неправильно. Это такая же непонятно кому нужная условность, как и проверка каждой асы, поставляемой в Россию в недрах ФСБ - от таких действий виден только вред, а польза как-то не наблюдается...

Анонимный комментирует...

мдааа... вполне компетентные, но глубоко наивные люди))
и не один из них не вспомнил о "теории хаоса"...
документов мало, и разрабатывал их ограниченный круг людей... поговорите с ними, войдите в их положение... и вы всё поймёте))

Алексей Т. комментирует...

2 doom Проектов по ОК и не только все больше и больше на сайте ФСТЭК. ПРоблем с их внедрением еще больше:
- нестыковка с действующими РД/НМД (АС, СВТ, СТР-К) не позволяет полностью одномоментно перейти к их применению;
- несоответствие терминов и понятий (для специалистов ИТ не проблема, для всех остальных конец света). Несоответствие так и не было устранено из-за исторического соперничества двух организаций (кому надо, могу рассказать каких);
- вымирание специалистов, способных разработать нормальные документы (в этих двух организациях их фактически осталось очень мало, и то среднего и высшего уровня управления);
- ну и еще куча проблем.
В итоге сертификация по ОК стала в РОссии упрощенной сертификацией СЗИ, не став достоверней и полнее (а даже совсем наоборот).
Кстати, качество сертификации зависит от ОС и ИЛ - кому надо, могу порекомендовать качественные организации, которые отработают свои деньги. (это не реклама!!!!)

Евгений Родыгин комментирует...

2 Алексей Т.

Подписываюсь под сказанным!

Добавлю только что... "В итоге сертификация по ОК стала в РОссии упрощенной сертификацией СЗИ"...

С учетом названных и не названных проблем это "Упрощением" назвать нельзя... (для Заказчика/Разработчика/Пользователя)

Алексей Лукацкий комментирует...

Последний анонимный: Вы о ком? О каких людях? Из NIST? Я с ними часто общаюсь - очень толковые люди. Понимают, что к чему.

Nikita Gergel комментирует...

Но ситуация в текущий момент в любом случае ведет к сертификации/аттестиации. Клиенты приходят и талдычат об одном - дайте нам ваши решения, но чтоб они были сертифицированы - это решит все наши проблемы с ФЗ-152. И начинается растолковывание каждому от и до.

И запугивают их не столько интеграторы, сколько регулятор(ы). В связи с чем делаю вывод, что кормушка была, есть и будет. Может более завуалированная, но состричь денег с операторов ПД (а вместе с ними с разработчиков софта, используемых в этих ИСПДн) некоторые товарищи возможности не упустят.

doom комментирует...

Ну вот доигрались...
Проект-то убрали с сайта :)

AndrewZ комментирует...

Видимо накидали кучу вопросов. Поняли, что совсем сырой - вот и убрали.

SD комментирует...

Вы кидали?

А кто-нибудь кидал?

А что, разве было какое-то предложение к обсуждению, по аналогии с СТО БР ИББС?

:-)

John комментирует...

Если интересно, на
http://www.ispdn.ru/forum/index.php?PAGE_NAME=message&FID=1&TID=441&MID=6385&result=reply#message6385

приведено сравнение требований к подсистемам безопасности по руководящему документу по АС (Гостехкомиссия) и проекту Приказу ФСТЭК.

Алексей Лукацкий комментирует...

Кто хотел, обсудил и кинул им ;-) Но и они и сами умеют читать форумы и блоги.

Алексей Т. комментирует...

Скорее всего звонков и запросов много появилось о разъяснениях. Кстати есть версия, что убрали, чтобы переложить в раздел с утвержденными документами. :-)

Анонимный комментирует...

>>Осталось найти ссылку на >>действующий перечень...

>А что ее искать-то - вот оно. >Свеженькое. Никаких тебе СрЗИ.

Коллеги, почему при доказывании своей правоты, приводя ссылки на законодательные акты, все так любят "забывать" некоторые моменты?

Например, по приведенной ссылке на Постановление Правительства РФ от 1 декабря 2009 года N 982, почему то не рассмотрен п.4:
"Настоящее постановление не распространяется на отношения, возникающие при проведении оценки соответствия продукции, требования к которой устанавливаются в соответствии со статьей 5 Федерального закона "О техническом регулировании".

Смотрим статью 5 ФЗ о регулировании. И "вдруг" обнаруживаем там, что:
"В отношении ... продукции (работ, услуг), используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа; ... обязательными требованиями наряду с требованиями технических регламентов являются требования, установленные государственными заказчиками, федеральными органами исполнительной власти, уполномоченными в области обеспечения безопасности, обороны, внешней разведки, противодействия техническим разведкам и технической защиты информации"

Вот правомерность этих формулировок и комментируйте, а то "нет в списке, нет в списке"

doom комментирует...

>Коллеги, почему при доказывании своей правоты, приводя ссылки на законодательные акты, все так любят "забывать" некоторые моменты?

Почему сразу "забывать"? Честно признаюсь - никогда не замечал этих оговорок, ни в самом законе, ни в ПП.
Так что, спасибо за информацию - но возникает вопрос, почему даже представители наших федеральных органов исполнительной власти, уполномоченных по вопросам... не могли четко сказать про соответствие их позиции законодательству РФ?

Алексей Т. комментирует...

2 DOOM
Расскажу вам по секрету - они и сами не знают, что так можно. :-) А за информацию по необходимости сертификации спасибо - в наших законах "куда повернул, туда и вышло"...

Анонимный комментирует...

Хорошо бы еще теперь понять, в каком виде требования ФСТЭК будут законными, а в каком можно поспорить?

Вот приказ, подписанный директором, более менее легитимен. А подписанный руководителем подразделения? А частное мнение руководителей ФСТЭК, активно высказываемое на различных конференциях и форумах, легко разрешающих то одно, то другое?

Алексей Лукацкий комментирует...

Частное мнение чиновника - это частное мнение гражданина, не имеющее никакой юридической силы.

doom комментирует...

Как показала практика, если ФСТЭК припереть к стенке (в смысле отправить официальный запрос), то частное мнение может превратить в более-менее официальный документ - письмо от ФСТЭК. Это уже какая-никакая юридическая сила.

Алексей Лукацкий комментирует...

Вот если ты получишь официальный письменный ответ, то да ;-) Но у них колоссальное умение отвечать много, но не по существу.

doom комментирует...

По поводу казуса со статьей 5 закона О техническом регулировании...

Покопался тут. Статья 5 была изменена 1 мая 2007 года, до этого она называлась:
Статья 5. Особенности технического регулирования в отношении оборонной продукции (работ, услуг) и продукции (работ, услуг), сведения о которой составляют государственную тайну.

Правда по тексту статьи все-таки была малопонятная оговорка про "или относимых к охраняемой в соответствии с законодательством Российской Федерации информации ограниченного доступа".

Но самое главное другое - вплоть до нынешнего года правительство не принимало ежегодное новое постановление об утверждении перечня товаров, подлежащих обязательной сертификации - они лишь вносили изменения в ПП аж от 1997 года, в котором, естественно, никаких оговорок про статью 5 закона О техническом регулировании не было.

Так что я все-таки пока еще прав :)
Новое ПП вступит в силу только с 14 февраля :)

Serg13 комментирует...

Коллеги, а поделитесь, плиз, документом, который обсуждаете. А то как-то убрали его с сайта (((
я о "Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных"
serg13zhebr@mail.ru

Анонимный комментирует...

> Так что я все-таки пока еще прав:)

Не хочется огорчать, но поскольку ФЗ по статусу выше ПП, то статья 5 действует с момента принятия ФЗ №184. Так что не важно, было это раньше в ПП или нет.

doom комментирует...

2 Анонимный

Но опять-таки не стоит забывать про 46 статью ФЗ, которая до сих пор говорит, что


До дня вступления в силу соответствующих технических регламентов обязательная оценка соответствия, в том числе подтверждение соответствия и государственный контроль (надзор), а также маркирование продукции знаком соответствия осуществляется в соответствии с правилами и процедурами, установленными нормативными правовыми актами Российской Федерации и нормативными документами федеральных органов исполнительной власти, принятыми до дня вступления в силу настоящего Федерального закона.


Здесь уже исключений не делают. И снова мы возвращаемся к тому, что у ФСТЭКа есть только Положение о сертификации, где прямо сказано, что СрЗИ - это ПТС, предназначенное для защиты гос. тайны и точка.

безработный комментирует...

"НДВ требуется только для ИСПДн 1-го класса...", а разве в предыдущем документе было не так?)

Алексей Лукацкий комментирует...

Смотря в какой из версий...