1.3.10

Новый документ ФСТЭК по защите ПДн

Итак свершилось... То, о чем я писал пару-тройку недель назад свершилось - ФСТЭК выпустил новую версию своих требований по защите ПДн - приказ от 5.02.2010 № 58 "Об утверждении положения о методах и средствах защиты информации в ИСПДн" (в Консультанте и в Гаранте). Он утвержден директором ФСТЭК и зарегистрирован в МинЮсте 19 февраля.

Учитывая легитимность этого документа (и нелигитимность четверокнижия), основание выпуска этого приказа (тоже во исполнение пп-781) и срок выпуска этого приказа (он более новый, чем четверокнижие), а также исходя из общих норм права, можно сделать вывод, что приказ № 58 пришел на замену (а не в дополнение) предыдущих документов ФСТЭК по теме персданных.

Второй приятный момент в документе - отсутствие требований лицензирования, аттестации и применения сертифицированных СЗИ. Последние нужны только для ИСПДн 1-го класса и только в части отсутствия НДВ.

Все защитные меры разрабатываются только исходя из модели угроз и класса ИСПДн - никаких заранее готовых перечней механизмов защиты не предусматривается. Класс определяется только исходя из "Приказа трех". Это один из скользких моментов, т.к. "приказ трех" не предусматривает дополнительной классификации специальных систем, а типовых систем в природе не существует. А вот перечень методов и способов защиты (перекочевал из четверокнижия), приведенный в Приложении к Приказу, привязан к классам типовых систем.

Как решать этот парадокс пока не совсем понятно. Я придерживаюсь точки зрения, что раз методики классификации спецсистем не существует, то мне остается только самостоятельно (или с привлечением лицензиата) разработать перечень защитных мер исходя из модели угроз. А перечень из приложения к приказу - всего лишь рекомендация, не более.

С ПЭМИН борьба только при актуальности данной угрозы.

80 коммент.:

Ригель комментирует...

По моим впечатлениям, Модель угроз там особо и не нужна теперь - требований-то пять штук, вычисляются из Методов и способов напрямую.

Алексей Лукацкий комментирует...

Только чтобы уйти от ПЭМИН тебе нужна модель угроз ;-) Хотя бы формально.

Ригель комментирует...

Это если ИСПДн 1 класса, но ищи дурака.

Алексей Лукацкий комментирует...

Не-а... у тебя по ПП-781 вторым пунктом из защитных мер идет моделирование угроз. Вот придут тебя и спросят: "А как вы выполнили этот пункт?" Так что модель угроз - это для многих формальный документ. А для многих - способ уменьшить число актуальных угроз. И только для единиц - работающий документ, описывающий реальную ситуацию.

vesely комментирует...

Вы думаете регулятор поставил этим приказом точку? Вот сейчас выйдет ещё одно какое-нибудь хитрое постановление и вернут и аттестацию, и лицензирование, и пользование сертифицированными СЗИ.

Ригель комментирует...

А.Л.:
Что уж ПП, она по этому 58-му приказу обязательна теперь (выше класса стоит), да толку-то от нее.

Константин Бажин комментирует...

Ура! Я давно так не радовался по линии ЗПДн:)

Анонимный комментирует...

В данном документе есть неясный момент в п.1.3, а именно, в нем говорится, что "Для выбора и реализации методов и способов защиты информации...может назначаться структурное подразделение или должностное лицо (работник)...", и в нем же, что "Для выбора и реализации методов и способов защиты информации...может привлекаться организация, имеющая оформленную в установленном порядке лицензию на осуществление деятельности по ТЗКИ". Так кто все-таки может осуществлять выбор и реализацию методов и способов? Ведь согласно 128-ФЗ деятельность по технической защите конфиденциальной информации относится к лицензируемому виду деятельности...

Алексей Т. комментирует...

Писал и ранее - уход совсем от аттестации не совсем правильный, так как наличие аттестата упрощало Роскомнадзору и ФСТЭК проверку - есть аттестат - все ок, к техническим мерам претензий нет. А учитывая уменьшение (упрощение) требований, аттестация соответственно тоже упрощается. А так получается, что оценка соответствия ИСПДн вообще исключается и отдается на откуп проверяющим (корупционность налицо ;-)). Отсутствие необходимости применения сертифицированных СЗИ - это конечно плюс. Наконец-то интеграторы вместо прикрытия сертификатами будут проводить оценку выполнения требований средствами защиты из состава ИСПДн. В любом случае нужны разъяснения регуляторов. Покой нам только снится!

Анонимный комментирует...

Тем не менее..
Источник публикации
Документ опубликован не был
Примечание к документу
Вступает в силу по истечении 10 дней после дня официального опубликования.

Kirion комментирует...

см пункт 2.1:
...
"использование средств защиты информации, прошедших в установленном порядке процедуру оценки соответсвия"
...

Господа, у нас в стране пока одна процедура - сертификация. Так что ее все-таки не отменили для ЗПД.

doom комментирует...

Да уж...
Буквально вчера закончили проектирование СЗДПн для одной фирмы - теперь по-хорошему все решения надо пересматривать...

Алексей Лукацкий комментирует...

Vesely: Постановление по оценке соответствия у нас может принять только Правительство.

Алексей Лукацкий комментирует...

Анонимному: Выбирайте самостоятельно. По поводу лицензиата написано "может", а не "должно".

Алексей Лукацкий комментирует...

Kirion: В России оценка соответствия может осуществляться в форме обязательной, добровольной сертификации и декларирования соответствия. Обязательная сертификация применяется только для гостайны. Все остальное - самодеятельность регулятора.

Алексей Лукацкий комментирует...

tiger-66: А он и не должен публиковаться. У вас и РД не публиковались нигде. На данный вариант документа ПП-1009 не распространяется в полном объеме.

Алексей Лукацкий комментирует...

Алексею Т.: А я тоже уже говорил, что аттестация современных систем НЕВОЗМОЖНА в принципе. Для гостайны пожалуйста (и то с натяжкой).

Алексей Т. комментирует...

Алексею Лукацкому: не хочется разводить спор о возможности/невозможности аттестации. Аттестация возможна в любом случае, просто результат может быть в различной степени объективным и адекватным. Органы по аттестации в силу некомпетентности и лени выполняют аттестацию формально, ФСТЭК уже давно утратило контроль над органами по аттестации - отсюда и порочность аттестации. Но других форм оценки я не вижу. Аудит? - придем к тому же самому спору - все те же некомпетентные интеграторы, что и при аттестации. Рождать новые уже некому, и некогда. Нужно из многих зол выбирать то, что попроще. Еще раз отмечу - при аттестации есть органы по аттестации, которым можно (и нужно) предъявлять претензии и лишать аккредитации если что. Предчувствую возражения по поводу саморегулируемых форм, добровольности, декларировании и т.д. - не стоит ;-) Просто высказал мнение.

RST комментирует...
Этот комментарий был удален автором.
RST комментирует...

Добрый день!
Могу скинуть небольшую информацию, может кто-то уже с ней знаком, она даст еще большую пищу для размышлений ...

http://ib-bank.ru/arhiv/03/02/kurilo.rar

Кому нужна аудио запись данной презентации, могу предоставить ее.

pushkinist комментирует...

окей. предоставляйте

RST комментирует...

http://files.mail.ru/JEUHXR
первый день конференции, вторая половина дня.

Алексей Лукацкий комментирует...

Алексей Т.: Вот посмотри на http://dom.bankir.ru/showpost.php?p=2667217&postcount=52 Я там расписал почему требования по аттестации нельзя выполнить ФИЗИЧЕСКИ для большинства систем.

RST комментирует...

На 2-й Межбанковской конференции по ИБ Банков, в личных беседах была озвучена информация по поводу аттестации ИСПДн, в дальнейшем предполагается, что вместо аттестации будет проводиться проверка на соответствие СТО БР ИББС, где будут представлены (+ сопутствующих документах) требования по защите ПД.
Повторно проверку на соответствие необходимо будет проходить в случаи внесения изменений в АИС с ПД, при которой необходимо будет менять защитные механизмы (организационные, технические), но не реже 1 раза в год. Хочу отметить, что это небольшая цитата.

Алексей Лукацкий комментирует...

Да, об этом давно говорит ЦБ. Сделать СТО единым нормативом по ИБ для банков, а аттестацию заменить оценкой соответствия по методике.

Алексей Т. комментирует...

А.Лукацкому. Мда.... Алексей, я почему-то считал, что Вы пытаетесь "зрить в корень", а здесь такое.... Если убрать замечания с Айфоном и техническими каналами (Айфоны при обработке ПДн думаю лучше не использовать - мало ли, что там Apple задумала ;-), а от технических каналов как Вы сами говорили спасает модель угроз), то остаются ОРД на английском и все? То есть больше причин невозможности применения аттестации нет? Кстати, прошу обратить внимание - я не упоминал СТР-К совсем - мне кажется, что требований ФСТЭК и без СТР-К для ИСПДН достаточно. А по поводу аттестации распределенных систем с айфонами, перемещающимися по всему миру - здесь никакие стандарты не помогут от утечек. В-общем полемикой не хочу заниматься. Кстати что за "Положением по аттестации объектов информатики по
требованиям безопасности информации" и где там требование о справке из ФСБ по территориальному размещению??? Жаль не могу в рабочее время дискутировать на Банкире - жаль Идущего Баркира. :-), сражающегося с Вами в одиночестве...

Алексей Лукацкий комментирует...

Алексей Т.: Сейчас почти любой большой начальник хочет (и требует) удаленного доступа к системе. Как аттестовать такую систему? А WiFi как аттестовать? У меня КЗ в такой ситуации в принципе нет. А нет КЗ, нет и честной аттестации.

doom комментирует...

Алексей Т., вы почему-то проигнорировали самую главную проблему - переаттестация должна выполняться на каждый чих в системе. В том числе, после замены мышки у вашего компьютера - это действительно реализуемо только в случае ГТ, когда вся АС - это один изолированный АРМ, с которым работают раз в год (и патчи там таки не ставят - и ворд там падает из-за этого исправно :) ).

Алексей Т. комментирует...

То есть остались эти 3 нерешенных вопроса?
1. КЗ упоминается только в приложениях к Положению. В новом приказе КЗ не употребляется - соответственно размещайте, где хотите.
2. Wi-Fi - это проблема, ответа у меня нет и как бороться с радиоэфиром я не знаю. Но это все-таки не проблема - реализовать в здании обмен ПДн ТОЛЬКО по кабелям.
3. Удаленный доступ - прописываем технические средства, с которых осуществляется доступ, реализуем шифрование/кодирование/ВПН и т.д. - и вперед! А Положение по аттестации ОИ по требованиям БИ всего лишь описывает ПРОЦЕДУРЫ оценки соответствия, проще и понятнее которых в России нет.

Алексей Т. комментирует...

2 doom "В случае изменения условий и технологии обработки защищаемой информации владельцы аттестованных объектов обязаны известить об этом орган по аттестации, который принимает решение о необходимости проведения дополнительной проверки эффективности системы защиты объекта информатизации.". Кто Вам сказал, что смена мышки приводит к переаттестации? А если организовано ведение технического паспорта, в котором отражаются изменения, если орган по аттестации периодически уведомляется об изменении условий и технологий обработки информации и может удаленно принять решение, а может провести дополнительную проверку объекта? Читать надо внимательнее документы и не предвзято. ;-)

Алексей Т. комментирует...

Никто Вам не говорит о переаттестации. Главное - это как раз ведение документации на ИСПДн, матрицы доступа и т.д. Орган по аттестации может при аттестации согласовать перечень изменений, которые влияют на уровень защищенности, порядок уведомления и т.д. Проблема в некомпетенции... интеграторов и регуляторов. Регуляторы не могут разъяснить доступно, а интеграторы не могут разобраться - стереотипы мешают. :-(

mimas комментирует...

Подход ФСТЭК к сертификации:
Положение о сертификации средств защиты информации по требованиям безопасности информации»
(утв. приказом председателя Государственной технической комиссии при Президенте РФ от 27 октября 1995 г. № 199)
http://www.fstec.ru/_docs/doc_2_2_011.htm

1.6. Обязательной сертификации подлежат средства защиты информации **, предназначенные для защиты сведений, составляющих государственную тайну, а также другой информации с ограниченным доступом, подлежащей защите в соответствии с действующим законодательством, систем управления экологически опасными производствами, объектами, имеющими важное оборонное или экономическое значение и влияющими на безопасность государства, средства общего применения, предназначенные для противодействия техническим разведкам. Перечень средств защиты информации, подлежащей обязательной сертификации, приведен в Приложении № 1 к настоящему Положению. В остальных случаях сертификация носит добровольный характер (добровольная сертификация) и осуществляется по инициативе заявителя (разработчика, изготовителя, поставщика или потребителя) средств защиты информации.

Quiet Zone комментирует...

Тренд положительный, но нам? с нашими К1, понаоставляли-таки граблей, как явных, так и подводных...Подождем дальнейшего дрейфа, а пока защитой прав субъекта будем заниматься;)

doom комментирует...

2 Алексей Т.: ну давайте посмотрим, что там написано в аттестате соответствия (из приложения к СТР-К):


1. Состав комплекса технических средств автоматизированной системы (АС), с указанием заводских номеров, модели, изготовителя, номеров сертификатов соответствия, схема размещения в помещениях и относительно границ контролируемой зоны, перечень используемых программных средств, а также средств защиты (с указанием изготовителя и номеров сертификатов соответствия) указаны в техническом паспорте на АС.
...
5. При эксплуатации АС запрещается:
подключать к основным техническим средствам нештатные блоки и устройства;
вносить изменения в состав, конструкцию, конфигурацию, размещение средств вычислительной техники;
...


Какие ж это стереотипы?
Я уж молчу о том, что вести технический паспорт на мало-мальски современную АС именно так, как предполагает СТР-К просто нереально. Да и глупо - есть куча решений по автоматизации процесса управления конфигурацией (где и мышки при желании можно отслеживать) - и непонятно, зачем скатываться в каменный век.

Да и про изменения программ, предназначенных для обработки защищаемой информации тоже все однозначно сказано.

Документ я читаю так - как он написан. Без всяких дополнительных толкований. Если авторы хотели на самом деле сказать что-то другое - то надо это прямо и писать, а не подразумевать.

Кстати, тоже самое верно и в отношении матрицы доступа - если организация внедрила, к примеру, IDM решение, то у них есть техническое средство способное отобразить как текущую матрицу доступа, так и матрицу доступа на произвольный момент времени в прошлое - зачем при таком мощном инструменте заниматься всякой ерундой типа составления списков допущенных лиц, утверждаемых приказами и тому подобной бюрократией? К слову сказать, прикрутить сертифицированные СКЗИ к IDM и обеспечить юридически значимую ЭЦП - возможно.

Алексей Т. комментирует...

2 Doom: Про СТР-К я сказал выше - документ был написан давно и в явном виде для ПДн никто его не предназначал. Формы аттестата и ТП никто не мешает Вам изменить и выкинуть КЗ (как все и делают). Вести журналы в электронном виде по-моему Вам тоже никто не запрещает. Просто электронный вид - это опять защита ТП, матрицы и т.д. от внесенных изменений и отсутствие ответственности за документ (возможно с помощью ЭЦП конечно подписывать все изменения). Моя главная мысль - аттестовывать ИСПДн реально и лучшего пока нет и вряд ли в ближайшем будущем будет. Надоело обсуждать, у кого-нибудь есть альтернативные варианты оценки соответствия ИСПДн. Если не аттестация органом по аттестации - будет проверять РКН при проверке. Какое из зол выбрать?

Роман комментирует...

RST, спасибо за запись. Нет ли еще записей с конференции?

Анонимный комментирует...

2 mimas
Читайте выше...
"1.2. ***
Действие настоящего положения распространяется на технические, программные и другие средства защиты информации, предназначенные для защиты информации, содержащей сведения, составляющие государственную тайну, от утечки,...бла бла бла."

на не гос тайну - не распространяется !!!

Алексей Лукацкий комментирует...

Алексей Т.: У меня в компании накатка патчей проходит чуть ли не раз в неделю на ПК (при том, что у нас почти все приложения вынесены в Web или облако). На серверах чаще (разумеется после тестирования). Wi-Fi - это стандартная бизнес-практика. iPhone, смартфон, лептоп (а не стационарный ПК) - повсеместно. И на них обрабатывается любая информация - вплоть до коммерческой тайны. Я езжу по стране и подключаюсь к корпоративной сети или облаку из любой точки где есть Интернет. И как мне аттестовать такую систему? Я не говорю про то, что у нас много приложений и данных вынесено в облако. А аттестаторы и разработчики нормативов даже думать не могли о таком серьезнейшем "нарушении" парадигм ИБ.

Анонимный комментирует...

2 Алексей...

Все это понятно... никто не спорит о том, что проверить все возможные состояния и потоки информации невозможно. Пользователи систем идут на некоторый риск, и чаще всего даже оценить этот риск невозможно. Аттестация же "выросла" из закрытых ограниченных систем где орг. меры играли большую роль. В тех условиях это тоже было формальностью ибо даже слом системы слабо влиял на утечку, скорее на эффективность. Такая же история с сертификацией по РД АС - если и удается зафиксировать Изделие - что делать при малейшем изменении когда никто не гарантирует, что это изменение может напрочь сломать защиту ?!
Все хотят контролировать отношения цена/защищенность время/защищенность но рассматривать эти вопросы с точки зрения бизнеса ЗИ-шники не любят. Часто стартапы без всякого рассмотрения вопросов ИБ снимают сливки и завершают свой жизненный цикл без всяких проблем а этот период уже сократился до полугода даже для крупных проектов.

P.S> с одного совещания - "пока конкуренты разрабатывали СЗИ мы обогнали их функционалом и им уже нас не догнать"

Алексей Лукацкий комментирует...

Так я не спорю. Я как раз и говорю, что старые требования уже не соответствуют актуальным веяниям

Анонимный комментирует...

Я кстати нашел аналогию...(люблю я аналогии)...

Сертификация (по старому) это сертификация колбасы! - берем значит партию колбасы, делаем выборку и проверяем проверили, зафиксировали - вот Вам сертифицированная колбаса - вроде как не отравимся...

Сертификация (по новому) - берем котел и варим в нем суп - при этом постоянно этот суп разливается по тарелкам и съедается и постоянно в котел подбрасываются новые ингредиенты...

В этом случае можно вводить систему ОГРАНИЧЕНИЙ и постоянный медицинский контроль за кушающими суп с последующим анализом отравлений и уточнением ограничений.(Вообще методология существует в международных стандартах уже давно, однако грамотную систему ограничений не тормозящую развитие создать сложно).

Но все равно бизнес потребует оценку и ранжирование (у кого желтые штаны у кого оранжевые) ибо конкуренция нужна и т.п. Применение сложных критериев и показателей - хорошо, но нужна система оценок, которая может появиться только одновременно с развитием отрасли ИБ/ЗИ и бизнеса как такового...
Сложные критерии и показатели легко можно превратить во что угодно от 10-и бальной шкалы до цветовых ранжирований...

Алексей Лукацкий комментирует...

У нас сейчас для пищевых продуктов и даже для лекарств делают декларирование соответствия. А эти товары напрямую влияют на жизнь и здоровье людей. А ИБ?...

Анонимный комментирует...

"напрямую влияют на жизнь и здоровье людей. А ИБ?..."

По этому поводу были бадания в комитете когда в начала 2000х рассматривался вопрос тех. регламента по ИБ. И вопрос влияния ИБ в том числе на здоровье граждан. Бадания закончились ничем так как все решили что так можно "далеко зайти..."

Алексей Лукацкий комментирует...

Вот именно

RST комментирует...

Роман: Есть вся конференция, просто может не всем интересно будет ее слушать поэтому выложил только часть ...

doom комментирует...

2 Алексей Т.

Ну вас уже не поймешь... То о применимости СТР-К разговор идет, то о сферической аттестации.

Но вывод один - аттестация противоречит известнейшему тезису Шнайера: Безопасность не продукт, а процесс.

Поэтому, в этом их западе, проверяют не какую-то фиксированную систему, а организацию процесса. Причем, они же придумали формализованные методы проверки, чтоб всякому РКН было понятно - отчеты установленной формы.

RST комментирует...

doom: Сейчас в этом направлении, как раз и делаются шаги. Для проведения проверок на соответствие, а не проведение аттестаций.

Роман комментирует...

RST, мне интересно. Выкладывайте!

mimas комментирует...

2 Евгений Родыгин

1.2 читал.
Что по поводу 1.6?

Алексей Т. комментирует...

2 Евгений Родыгин:
В текущей сертификации есть такой пункт "сертификация производства". То есть не партии колбасы, а именно котла с супом. ;-) Нешуточная дискуссия развернулась.

RST комментирует...

Роман: Организаторы уже выложили записи на сайте
http://ib-bank.ru/arhiv_03.php

Анонимный комментирует...

2 Алексей Т.
"В текущей сертификации есть такой пункт "сертификация производства". То есть не партии колбасы, а именно котла с супом. ;-) Нешуточная дискуссия развернулась."

Не совсем так... только проверка производства колбасы. А про суп я писал что его постоянно изменяют новыми ингредиентами.

2 mimas
пункт 1.2 заявляет область действия. Все что ниже попадает в область и не противоречит области. По крайней мере 1.2 должен перекрывать 1.6

doom комментирует...

2 Евгений Родыгин

В том-то и проблема, что становится непонятно - что такое производство ПО без изменений? Штамповка верифицированных дистрибутивов? У нас основная проблема, что система сертификации ориентирована на производство чего-то материального и отсюда идиотизмы типа "сертификации партии ПО", а от и единичного экземпляра.

Мое понимание, что сертификация производства ПО - это сертификация процессов проектирования, кодирования, тестирования и т.п. + периодический контроль соответствия проекта верхнего уровня каким-то требованиям по безопасности информации - опять же на западе эта тема развивается давно. Есть для этого механизмы, например, в Общих Критериях. Есть методологии "безопасной разработки" типа того же SDL у Microsoft и т.п.
А вот у нас, к сожалению, пока никакого движения не видно...

Анонимный комментирует...

2 doom

Не совсем так...
Что мы проверяем по крупному при сертификации по схеме производства для ПО.
1. наличие всякого рода организационно распорядительных документов (приказов инструкций и т.п.)
2. наличие оборудования для тиражирования
3. всякие технологические карты и т.п.
...

По сути сертифицированное производство ПО это тиражирование например:
Наличие в архиве Эталона изделия - компакт диск и документация.
Эталонный образец уже сертифицирован и зафиксирован контрольными суммами.

Что происходит при производстве:
1. берется в архиве эталонный диск
2. берется специально подготовленная ПЭВМ
3. на ней нарезается 10 копий эталонного диска - проверяются КС - отбраковка всякая и т.п.
4. делается 10 копий документации, оформляются как копии.
5. заполняются всякие журналы учета и т.п.

Все... произведено 10 экземпляров. Речь не идет о сертифицированных методах разработки и т.п. в этом часто ошибаются...
С аппаратными и программно-аппаратными изделиями все сложнее...

Алексей Т. комментирует...

2 doom&Е.Родыгин: "п. 2.6 Положения о сертификации: Заявители извещают орган по сертификации и испытательный центр (лабораторию), проводившие сертификацию, о всех изменениях в технологии, конструкции (составе) сертифицированных средств защиты информации для принятия решения о необходимости проведения повторной сертификации" То есть повторная сертификация может и не проводиться! Это было заложено еще изначально в Положение, однако никто этим не пользовался, а все трактовали в лоб. А сертификация производства как раз позволяет разработчику изменять сертифицированное ПО (в разумных пределах) и отвечать за неизменность выполняемых функций по ЗИ. Изменения в составе опять же вносятся в документацию на СЗИ (формуляр, паспорт) и согласовываются с ИЛ и ОС. Еще раз сформулирую свою позицию - у нас вполне работоспособные документы, которые можно (и нужно) обновлять и по ним работать. Переход на западные стандарты будет являться признаком слабости и экономически опять же ослабит отрасль. Разгоняем ФСТЭК и Ко и вступаем в Евросоюз? (правда нас не возьмут, но попробовать стоит ;-)).

Алексей Т. комментирует...

Кстати в положении заложены "другие схемы сертификации", которыми никто почему-то никогда не пользуется. А производство в виде нарезки дистрибутивов СЗИ - это "неписанные правила", введенные кем-то давно и которые все бояться нарушить или спросить "А почему так"? А на самом деле это не так, читать надо внимательно Положения.

Анонимный комментирует...

2 Алексей Т
А что Вы имеете в виду ?..

doom комментирует...

2 Евгений Родыгин:

Я о том и говорю, что описанная схема сертификации ПО - это отъем денег, а не сертификация. Непонятно вообще зачем она нужна. Благодаря ей существуют всякие Алтексы, которые за определенное вознаграждение превращают обычную Windows XP в сертифицированную. Волшебники, блин.

2 Алексей Т.:

Согласовывать любое изменение с ИЛ и ОС - это жуткое количество бюрократии. Будет занимать месяц-два - это не совместимо с требованиями бизнеса. И знаете ли, слабо я себе представляю, чтобы этот процесс был чем-то кроме формальности. Что в ГНИИ ПТЗИ ФСТЭК есть специалисты по всем-всем системам, что они могут грамотно оценить вносимые изменения?

И по поводу западных стандартов - те же ОК - стандарт международный, его, как минимум, больше грамотных людей разрабатывало - да и процесс разработки открыт, в отличие от...
"Особый" путь почему-то, как ни крути, в тупик приводит - только создаем себе лишние проблемы.

А первые шаги по внедрению ОК в России начались еще в далеком 2002-м (или даже еще раньше), правда кончились буквально уже в 2004-м, к сожалению.

Алексей Т. комментирует...

В соответствии с "Порядком проведения сертификации продукции в Российской Федерации" есть 10 схем с вариациями - в том числе рассмотрение декларации о соответствии. Но дело скорее не в схемах - а в возможностях, которые предусмотрены в Положении ФСТЭК, которыми никто не пользуется, а все ругают порядок сертификации за корупционность, необъективность и т.д. Предложить, к сожалению, никто ничего не может.

Анонимный комментирует...

2 Алексей Т.
"однако никто этим не пользовался, а все трактовали в лоб. А сертификация производства как раз позволяет разработчику изменять сертифицированное ПО (в разумных пределах) и отвечать за неизменность выполняемых функций по ЗИ."

Как же Вы ошибаетесь !!! - только этим и занимаемся и даже без сертификации производства. Внесение изменений в разумных пределах ограничивается фиксацией этих разумных пределов. Как правило эти "разумные пределы" фиксируются в формуляре в виде составной части СрЗИ с пометкой "переменная" например файл входящий в состав изделия, содержащий некие нормы расчетов и т.п. которые по решению ИЛ и Органа не влияют на сертифицированные механизмы защиты. Подходы к определению переменной части - очень тонкие...

Анонимный комментирует...

2 doom
Вы не совсем правы...
Я бы расписал подробнее зачем это нужно и почему можно сертифицировать даже пуголо огородное - были бы требования... но извините перезагруз...

Алексей Т. комментирует...

2 doom: скажу Вам по секрету, ОК еще не похоронили, они живут и процветают - опять же посмотрите на Альтекс. Возможно, когда-нибудь ОК примут (сомнения у меня есть в этом, я не стал прикладывать к этому руку). Согласование с ОС и ИЛ: 2 месяца? А если по факсу и попросить ускорить? И на что влияют 2 месяца? Вы свои обязанности выполнили - уведомили, ждите решения. По поводу ГНИИИ ПТЗИ: если они проводили сертификацию или анализ материалов СИ, эти специалисты никуда не делись, поднимают материалы, смотрят изменения и оценивают. Никаких проблем. Еще раз про ОК: пока они делают карты, мы изменяем местность. Примерно так же и у нас. Пока переведем, примем, согласуем - Запад ушел далеко вперед. Английский знают не все специалисты ИБ (про регуляторов молчу), так что и перспектив у зарубежных стандартов маловато будет.

doom комментирует...

2 Алексей Т.

Давайте конкретный пример рассмотрим.
Есть антивирусное решение, производитель потратил кучу денег на сертификацию по какому-нибудь классу контроля НДВ и как ему сделать, чтобы это уже через неделю не стало просто бумажкой для пиара или формального выполнения требований? Антивирусное ядро любого современного решения меняется почти ежедневно, если что.

P.S. Общий смысл сводится к следующему: не надо брать написанные 15 лет назад документы, которые уже тогда не учитывали всех тонкостей и пытаться менять реальность под них - гораздо проще поменять документы. Опять же, в этих наших заграницах вопросам оценки соответствия ПО и возникающим при этом проблемам уделяют должное внимание. Проводят научные работы, организуют рабочие группы, разрабатывают частные стандарты, схемы, системы и т.п. Почему бы банально не включиться в процесс?

Алексей Т. комментирует...

2 doom и Родыгин: Давайте закругляться? Далеко от темы ушли, по-моему тему сертификации и аттестации обсудили, по ней работаем и работать будем еще долгое время. Эволюция требований по ПДн идет своим ходом, я так понимаю в банковской сфере СТО БР только выиграл от ФЗ-152, аудит придется делать всем. Клиентов скорее всего у всех интеграторов хватает, так что давайте работать и "включать фонарик". (Кто не понял - ролик с маленькой девочкой на ютюбе). С уважением.

Алексей Т. комментирует...

2 doom: сложно достаточно "включение в процесс". К сожалению, большинство интеграторов на словах критикуют много, а когда просишь (за деньги) связать пару слов - получаешь материалы из интернета плохо отредактированные. Тяжело с этим. Когда денег в стране не было, все ушли из науки в интеграторы. Процесс судя по всему, необратимый... А НИРы проводятся, интересные, хотя и не сказать, чтобы актуальные. Но они есть - проблема в профессионалах.

doom комментирует...

2 Алексей Т.

Просили, конечно, закругляться - но на последнюю реплику не мог не отреагировать.

Я какое-то время назад пытался пройти аспирантуру по ИБшной специальности (051319) на родном факультете (математико-механическом).

Денег там не было никаких, а ситуация примерно такая: аспиранты, которые были математиками, вели серьезные работы по современным областям той же теории групп, контактировали с зарубежными учеными, читали мировые научные журналы, пытались туда публиковаться и т.п.
С ИБ ситуация была гораздо хуже - все на свете закрыто, почти все под грифами секретно и выше. Работу делают какие-то изолированные от внешнего мира институты - полный мрак по сравнению с нашими математиками. И еще вопрос у кого при этом денег больше...

Алексей Т. комментирует...

Закруглюсь. ЗИ - это не математика. Это либо чистая практика и обобщение, или фантастика не привязанная к реальности. С закрытостью полностью согласен. Плохие у нас регуляторы, но лучше не будет.

Роман комментирует...

RST, спасибо! Вчера не заметил.

Unknown комментирует...

Алексей, вопрос по поводу специальных и типовых ИСПДн. В Приказе везде следующая формулировка - "информационных систем" такого-то класса. Не может это означать, что под определение "информационная система" как раз подпадают все системы - и специальные и типовые?

Алексей Лукацкий комментирует...

Вот у меня система специальная. Какой у нее класс? Как его определить? На основании каких действующих документов? А раз нет ответа, то у меня система так и останется специальной.

Анонимный комментирует...

У меня отложилась позиция ФСТЭК такая...

1. при предварительной оценке проводится классификация ПредварительнаЯ. По ее результатам оцениваем как К2 например...
2. пишем всякие модели и уточняем. при этом говорим что ИСПДн К2 - уточненная моделью/специальная.

Насколько я понял классы не конец процесса - классы это база от которой отталкиваться.

Например в разговоре между Оператором/интегратором и аттестатором/ФСТЭК...

Оператор - мы хотим аттестовать/закрыть вопрос и т.п.
Аттестатор - а у вас что за система то..
О - К2 с усилением или К2 без ПЭМИН
А - а понятно примерно...

На мой взгляд уже перестали жестко давить на класс. Например К2 ослабленная или к3 усиленная - имеет значение для выбора средств защиты. Классы остались для понимания базиса.

Алексей Т. комментирует...

Согласен с Евгением Родыгиным - класс, это только начало, чтобы было от чего отталкиваться. Выбираем класс/характеристики системы - разрабатываем модель - разрабатываем требования на основе Мероприятий. А дальше внедрение, ОРД и аттестация. Специальные/неспециальные уже обсуждали тыщи раз, к общему мнению не пришли, мнение ФСТЭК (по-моему) - почти все ИСПДн специальные. Это мнение технарей, юристы настаивают на типовых системах. Кто прав неизвестно.

Алексей Лукацкий комментирует...

Спецсистемы - это мнение юристов, как раз. Т.к. вытекает напрямую из законодательства.

Александр Шелипов комментирует...
Этот комментарий был удален автором.
Александр Шелипов комментирует...

Читали приказ с Положением всем отделом вслух и по ролям.
После целого дня споров и дискуссий позвонили в представительство ФСТЭКа в нашем федеральном округе (благо как госконтора там завязки хорошие имеем). В данном региональном управлении регулятора споров ещё больше чем у нас. По этому поводу они уже готовят в центральный аппарат ФСТЭК письмо с просьбой разъяснить неясности. Так что ждём-с, господа)))

зы. уточнили у них заодно вопрос о публикации приказа. По их словам в ближайшее время приказ и положение будут официально опубликовано. А на данный момент с юридической точки зрения аргументированных поводов исполнять этот документ не имеется. Опять же ждём-с опубликования + 10 дней)))

doom комментирует...

Уже опубликовали так-то: http://www.rg.ru/2010/03/05/dannye-dok.html

Вступает в силу с 15-го марта.

Unknown комментирует...

Вести с полей.
Посетил сегодня семинар по ПДн, был упомянут приказ #58. На вопрос
о приоритетности применения "четверокнижья" или приказа #58 был дан ответ ("ведущим экспертом управления ФСТЭК по СЗФО"), что приказ #58 никоим образом не отменяет "четверокнижья", а дополняет его. Один из аргументов: в #58 ничего нет про отмену предудщих документов.
Предприятию, решившему выполнить самостоятельно работы по проектированию, созданию и внедрению средств обеспечения безопасности ПДн, придется получать соотв. лицензию ФСТЭК. Для защиты должны использоваться только сертифицированные средства.

Алексей Лукацкий комментирует...

Смотри завтрашнюю запись ;-) Как раз о приоритетности

Unknown комментирует...

panta rhei =)

http://www.fstec.ru/_docs/doc_781_1.htm

Алексей Лукацкий комментирует...

точно