25.11.2010

Об оценке соответствия средств защиты

Задался я тут целью провести исследование на тему надо ли все-таки сертифицировать средства защиты или нет. И вот что, вкратце, у меня получилось. В существующей нормативной базе существует два примера упоминания вопросов сертификации - прямое и косвенное. Прямое, например, есть в совместном приказе ФСТЭК и ФСБ, в Указе Президента 351 или в пресловутом Постановлении Правительства 330. В них прямо говорится, что средства защиты должны быть сертифицированы ФСБ или ФСТЭК. Косвенное упоминание есть в Постановлении Правительства № 424, в Приказе ФСТЭК № 58, в СТО Банка России (РС 2.3) и т.п. В них говорится о том, что системы защиты должны пройти оценку соответствия в установленном порядке.

Согласно ФЗ-184 "О техническом регулировании" установлено 3 формы подтверждения соответствия - декларация соответствия, обязательная и добровольная сертификация. Декларировать нам не на что - техрегламента по ИБ так и не появилось. Остается два оставшихся варианта - добровольная и обязательная сертификация. С обязательной все ясно - она должна быть определена Правительством или Президентом (но не регулятором и поэтому приказ ФСТЭК № 199 "не у дел"). По обязательной сертификации средств защиты у нас несколько постановлений, как минимум, ПП-608 "О сертификации средств защиты информации". С ним вроде бы все ясно - оно четко говорит, что обязательной сертификации у нас подлежат только средства защиты гостайны. Все остальное носит добровольный характер. И вот тут начинается самое интересное.

Оказывается системы сертификации Федеральной службы по техническому и экспортному контролю (регистрационный номер № РОСС RU.0001.01БИ00), Федеральной службы безопасности (регистрационный номер № РОСС RU.0001.030001), Министерства обороны Российской Федерации (регистрационный номер № РОСС RU.0001.01ГШ00) и у Службы Внешней Разведки (регистрационный номер № РОСС RU.0001.01СЗ00) являются системами добровольной сертификации средств защиты. Именно так они зарегистрированов в Ростехрегулировании, который в России и отвечает за регистрацию систем добровольной сертификации и регулировании вопросов обязательной оценки соответствия.

Также к системам добровольной сертификации средств защиты информации относятся:
  • система добровольной сертификации ГАЗПРОМСЕРТ. Она создана ОАО «Газпром» приказом от 06 февраля 1999 г. № 10 (регистрационный № РОСС RU.3022.04ГО00 от 17 июля 2000 г.). Ориентирована только на Газпром и его дочерние предприятия.
  • система добровольной сертификации «АйТиСертифика». Она создана ЕВРААС (регистрационный № РОСС RU.М089.04ИТ00). По информации создателей данной системы ее сертификаты признаются ФСТЭК России и Федеральной службой безопасности.
  • система добровольной сертификации Ecomex (регистрационный № РОСС RU.З680.04УЭТ0). Данная система сертификации создана в сентябре 2010 года в связи с чем широкого распространения она пока не получила. Я вообще ее в Интернете, кроме сайта Ростехрегулирования, не нашел.

Иными словами уйти от сертификации нам пока не удается (если это прямо не разрешено отраслевым регулятором, как, например, ЦБ в СТО разрешил для защиты АБС не использовать сертифицированные средства защиты). Вопрос в том, что сертификация средств защиты не должна быть обязательной, и не обязательно по линии ФСТЭК или ФСБ ;-) Вы можете провести ее, например, в "Газпромсерте" или в "АйТиСертифике". Законодательство дает вам такое право (как, собственно, и сама ФСТЭК своей формулировкой об "оценке соответствия в установленном порядке"). А системы сертификации, отличные от, например, ФСТЭКовской, должны быть выгоднее. Иначе они не смогут конкурировать с регуляторами.

Вот такой расклад получается... на данный момент.

51 коммент.:

sany комментирует...

ну у нас и страна:как может требоваться использование сертифицированных СКЗИ ПП 330, если его нет в открытом доспупе!(позвонил в фсб, а там даже не знают о нем - сказали в 152 приказе сказано обязательно использовать серт СКЗИ)
Мне кажется ПП 330 ориентированно на производителей СКЗИ поэтому, оно и закрытое и обязательств на пользователей оно точно не вводит!

Werewolf комментирует...

Алексей, а как же пп. 7 п. 3.1 "Методических рекомендации по обеспечению с помощью криптосредств безопасности персональных данных..." где написано: "Для обеспечения безопасности персональных данных при их обработке в информационных системах должны использоваться сертифицированные в системе сертификации ФСБ России (имеющие положительное заключение экспертной организации о соответствии требованиям нормативных документов по безопасности информации) криптосредства".

Данные рекомендации должны исполняться при передаче ПДн по каналам связи (Интернет).

Алексей Лукацкий комментирует...

sany: Нет, на всех. К разработчикам оно как раз никакого отношения не имеет.

werewolf: В смысле как? Это один из нормативных актов, которые прямо говорят о сертификации, а не о оценке соответствия. Но сейчас статус документов ФСБ под большим вопросом - они не совсем легитимны.

Werewolf комментирует...

В п.5 ПП-781: "Средства защиты информации, применяемые в информационных системах, в установленном порядке проходят процедуру оценки соответствия".

Получается, что для защиты ПДн любого класса (К1, К2, К3) обязательно использовать сертифицированные средства защиты информации? Это так???

Алексей Лукацкий комментирует...

Увы, да. Только систем сертификации у нас семь.

sany комментирует...

Если я в Windows буду использовать вход в систему по логин-паролю(при обрабоке ПДн), то я должен купить сертифицированную windows!?!

Можно ли вместо средств защиты информации(ПП 781) использовать методы и способы(приказ 58 фстэк) чтобы не покупать сертиф средства защиты?

Алексей Лукацкий комментирует...

Если вы Windows используется как СЗИ, то она должна быть сертифицированной.

58-й приказ тоже говорит о сертифицированных средствах защиты.

John комментирует...

Вообще говоря, 330 постановление однозначно требует сертификацию в системе ФСТЭК для персональных данных. Для конфиденциальной информации, относящейся к государственному ресурсу, трбования прописаны в СТР-К. В остальных случаях сертифкация действительно является добровольной - см. множество материалов на ispdn.ru.

Werewolf комментирует...

Так можно ли в ИСПДн (К3) обойтись без использования СЗИ? Или надо обязательно что-то покупать, да еще и сертифицированное?

Алексей Лукацкий комментирует...

Нельзя

Werewolf комментирует...

Почему нельзя? Согласно п.2.1 "Положения о методах и способах..." - использование средств защиты информации является лишь одним из многих методов и способов.
Если, согласно п.1.4, 1.5 того же Положения, я с помощью других методов и способов нейтрализую угрозы, то я могу и не выбирать использование средств защиты.
А в оставшихся методах и способах есть все функции СЗИ.

Алексей Лукацкий комментирует...

А как вы с вирусами будете бороться? С атаками? Разграничивать доступ при подключении к Интернет? Руками?

Werewolf комментирует...

Я имел ввиду без дополнительных покупок СЗИ от НСД на каждый локальный комп, обрабатывающий ПДн (таких компов в организации может быть не одна сотня).
Антивирус и сейчас стоит везде, а от атак спасет корпоративный маршрутизатор (с IDS и МЭ).

Алексей Лукацкий комментирует...

Если у вас функции защиты от НСД выполняет ОС, то она должна быть сертифицирована как СЗИ. Тоже касается и маршрутизатора, который должен быть сертифицирован как МСЭ. А антивирус у вас сертифицированный? Есть на каждый комп голограмма и копия сертификата?

Алексей Волков комментирует...

Вопрос оценки соответствия описан в Законе "о техническом
регулировании"
от 27 декабря 2002 года N 184-ФЗ., где под оценкой соответствия
понимается
прямое или косвенное определение соблюдения требований, предъявляемых к
объекту (ст.2).
Оценка соответствия проводится в формах государственного контроля
(надзора), аккредитации, испытания, регистрации, подтверждения
соответствия,
приемки и ввода в эксплуатацию объекта, строительство которого
закончено, и
в иной форме. (ст. 7.3)

Поэтому в соответствии с законодательством, полностью мысль будет звучать как "испытание, подтверждение соответствия и В ИНОЙ ФОРМЕ". Что за "иная форма" - будем разбираться.

Смотрим 781 ПП - там "оценка соответствия", смотрим Приказ 58 - там тоже, как ни странно, "оценка соответствия".

Нужен уточняющий ЮРИДИЧЕСКИЙ документ, и он де факто есть - это постановление правительства № 330 "Об особенности оценки соответствия..." - http://anvolkov.blogspot.com/2010/08/330.html

А вот ДЕ-ЮРО он нелегитимен, так как а) носит ограничительный гриф ДСП б) не зарегистрирован в Минюсте

Вот такая логика.

sany комментирует...

Почему тогда по СТО БР,которые согласованы всеми органами указано, что сертификация обязаетльна для СКЗИ?

Алексей Волков комментирует...

Однако, как Вы, Алексей. меняете мнение...

Werewolf прав - согласно 58 приказа, использование средств ЗИ прошедших оценку соответствия - это всего лишь один из методов.

Werewolf комментирует...

Что-то стало мне совсем грустно... Думал, что для ИСПДн К3 можно обойтись орг. мерами (по крайней мере, закрыть бОльшую часть требований), без покупки сертифицированных СЗИ. Более того, уже сделал пару проектов, где защиту для К3 организовал орг. мерами (помимо межсетевого взаимодействия и антивируса)...

Алексей Лукацкий комментирует...

Вот есть у меня угроза вирусов для ПДн? Есть! Как с ней бороться? Только средствами защиты. А они должны пройти оценку соответствия.

Я проводил недавно исследование по вопросам сертификации. И в результате поменял свое мнение о "ненужности" сертификации. Просто не всегда нужна сертификация ФСТЭК. Можно обойтись сертификацией ЕВРААС, например. Или создать свою систему сертификации СЗИ.

Хотя ты мне подкинул идею насчет оценки соответствия... буду думать

Алексей Волков комментирует...

"Оценку соответствия" я поддерживаю. Любое средство (не только СЗИ, а вообще ЛЮБОЕ) должно пройти оценку соответствия. Иначе как можно понять, что вышедший с конвейера продукт соответствует исходным требованиям?

А вот сертификацию - нет. Ибо практика показывает, что за бабло можно купить любой сертификат.

Надо менять что-то в корне в нашей стране. И название этому "чему-то" всем хорошо известно.

Алексей Т. комментирует...

действительно странно было прочитать такой пост... Не иначе сертификация производства Cisco так благоприятно подействовало. На самом деле большинство интеграторов и не пытается уйти от сертифицированных СЗИ, чтобы не подставлять своих Заказчиков перед регуляторами. Главная проблема, которая стоит - это минимизация сертифицированных СЗИ и минимизация "бесполезной" сертификации - типа сертифицированных пакетов Microsoft и т.д. Лучшая позиция, на мой взгляд у производителей антивирусов - они не заставляют покупать сертифицированную версию на каждый экземпляр компании.

exp комментирует...

Алексей, я вас немного поправлю:

Системы сертификации Федеральной службы по техническому и экспортному контролю (регистрационный номер РОСС RU.0001.01БИ00) является системой обязательной сертификации. (выделенные цифры "01" это подтверждают). Как и другие системы сертификации с индексом типа объекта 01.
А вот система сертификации Федеральной службы безопасности (регистрационный номер РОСС RU.0001.030001) действительно является добровольной.

exp комментирует...

хотя, возможно я ошибаюсь.
Расшифровку номера системы сертификации я нашел только для системы сертификации ГОСТ Р.
Возможно в других системах сертификации цифры в номере означают совсем другое.

Алексей Волков комментирует...

> Не иначе сертификация производства Cisco так благоприятно подействовало.

Была и у меня такая мыслишка ;)

doom комментирует...

Кстати, буквально вчера у нас на банковской конференции Павел Гениевский объявил, что ABISS будет преобразована в СРО. Вообще, как мне казалось, было бы очень логично под эгидой этого СРО создать систему добровольной сертификации и (такой еще финт ушами в голову пришел) - попробовать как-то закрепить положение о признании сертификации по Общим Критериям в этой созданной СДС. Павел правда сказал, что они этим не думали заниматься :(

Тогда та же Cisco, прошедшая сертификацию по какому-нибудь могучему EAL4+ где-нибудь в США, станет автоматически сертифицированной в этой системе сертификации.
Интересно, можно ли так сделать? Если создать такую систему сертификации СрЗИ в России, то, готов поспорить, она станет самой популярной :)

Сергей Б комментирует...

По смыслу - есжи уж система сертификации, то должна выполнятся какая-то проверка.

Просто процесс признания сертификатов из другой системы сертификации не может называться системой сертификации.

Cкорее СРО может признать сертификацию по Общим Критериям.

Алексей Лукацкий комментирует...

Сертификация производства тут ни причем ;-) Вот если бы в России признавали западные сертификаты, я был бы рад ;-) А так просто исследование как раз в контексте сертификации производства... которое у нас, кстати, впервые было запущено еще 3 года назад.

epx: Я покопаю в этом направлении. Но на сайте Ростехрегулирования система ФСТЭК заявлена как добровольная.

doom: Такая мысль была. Только не у ABISS, а у ЦБ. Мы ее обсуждали. Но создание СРО для финансовых организаций пока запрещено по закону о СРО. И в это все и упирается. ЦБ планировал разрулить это как-то и видимо сейчас это делает.

doom комментирует...

2 Алексей Лукацкий

Но вот в том-то и дело, что ABISS - не финансовая организация (они вообще формально не организация). Сначала будет образовано НКО, а потом СРО - и, если я правильно понял, все вопросы уже решены.
Так что им, казалось бы, сам бог велел...

Алексей Лукацкий комментирует...

ABISS - не финансовая, но финансовые организации не могут вступать в СРО

exp001 комментирует...

Эхх, хотел я уже взять на вооружение эту идею об альтернативных системах сертификации, как вспомнил несколько пунктов из положения 781:
18. Результаты оценки соответствия и (или) тематических исследований средств защиты информации, предназначенных для обеспечения безопасности персональных данных при их обработке в информационных системах, оцениваются в ходе экспертизы, осуществляемой Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности Российской Федерации в пределах их полномочий.

19. К средствам защиты информации, предназначенным для обеспечения безопасности персональных данных при их обработке в информационных системах, прилагаются правила пользования этими средствами, согласованные с Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности Российской Федерации в пределах их полномочий.

Изменение условий применения средств защиты информации, предусмотренных указанными правилами, согласовывается с этими федеральными органами исполнительной власти в пределах их полномочий.


20. Средства защиты информации, предназначенные для обеспечения безопасности персональных данных при их обработке в информационных системах, подлежат учету с использованием индексов или условных наименований и регистрационных номеров. Перечень индексов, условных наименований и регистрационных номеров определяется Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности Российской Федерации в пределах их полномочий.

И как я понимаю, не АйТиСертифик, не Газпромнефть, не могут похвастаться согласованием со ФСТЭКом и ФСБ результатов сертификации и прочими указанными вещями. (

Алексей Лукацкий комментирует...

Ну как раз АйТиСертифика заявляет, что их сертификаты признаются в ФСТЭК. У ГАЗПРОМСЕРТа тоже. Но все это неформально.

serg комментирует...

Посмотрел сайт Росстата. Действительно, РОСС RU.0001.01БИ00 находится в списке добровольных систем. Но списка обязательных систем там просто нет. В наименовании системы не указано, что это система добровольной сертификации, как у других. ФСТЭК ее позиционирует как обязательную. Думаю, в случае судебных тяжб, суд ее тоже признает обязательной.

Алексей Лукацкий комментирует...

Ну у судя должны быть основания для признания ее обязательной. Пока я таких не вижу, исключая гостайну, что и вытекает из ПП-608. В остальных случаях сертификация носит добровольный характер.

Артур К. комментирует...

В том реестре ростехрегулирования и система сертификации СЗИ ГТ тоже есть. Можно поискать по номеру РОСС RU.0003.01БИ00. Но она-то точно не добровольная.

Алексей Лукацкий комментирует...

Ну вот и я про тоже. У ФСБ тоже ведь система для ГТ обязательная, а вторая добровольная.

John комментирует...

>> "Ну как раз АйТиСертифика заявляет, что их сертификаты признаются в ФСТЭК. У ГАЗПРОМСЕРТа тоже"

Можно уточнить. У Газпрома совсем другие сертификаты в области защиты (они не копируют ФСТЭК и ФСБ). АйТиСертифика (работающая по документам ФСТЭК) в докризисные времена согласовала свои документы с ФСБ и ФСТЭК, и все. Например, на объектах информатизации эксперты аккредитованного органа по аттестации ФСТЭК не воспримут сертификаты добровольных систем, им нужны только сертификаты ФСТЭК и ФСБ.

Получается, сертификаты добровольных систем (как документы гособразца) в области безопасности информации могут быть субъективно или временно восприняты некоторыми заказчиками работ (но не федеральными органами в области безопасности информации).

Есть пост, если интересно:
http://s3r.ru/14/12/2010/sertifikatsiya_szi/certification/

Алексей Лукацкий комментирует...

Так и ФСТЭК считает, что сертификация СЗИ может быть только у них. А ведь это не так. Если аттестационная лаборатория не принимает объект, то любой суд их поставит на место, ибо закон разрешает ЛЮБУЮ систему добровольной сертификации, если это не оговорено особо.

John комментирует...

Дело в том, что орган по аттестации (ФСТЭК - других нет) выписывает аттестат на соответствие СТР-К. Здесь b проблемы с добровольными системами. На практике были бадания даже между сертификатами Минобороны и ФСТЭК (на соответствие одинаковым документам Гостехкомиссии) - с отрицательным результатам. До суда дело не дошло. Может знаете примеры?

Алексей Лукацкий комментирует...

Не знаю ;-) Просто мало кто знает, что сертификация СЗИ может быть не во ФСТЭК ;-) И мало кто хочет рисковать, отстаивая свои интересы потом.

doom комментирует...

2 John

Наш местный ФСТЭК на всех последних мероприятиях ведет линию, что оценка соответствия, требуемая по 781-му постановлению может проводиться и в системах добровольной сертификации.

Кроме того, для аттестации на соответствие СТР-К никакой аттестат аккредитации не нужен. Аттестат аккредитации нужен только для аттестации по гос. тайне.

Ну и для ПДн тем более - там даже СТР-К никому не нужен.

John комментирует...

>to doom

1. Было бы интересно узнать инновационный уральский опыт. Нам-то что. На криптосредства тоже указания местного ФСТЭК распространяется?
Между нами, зная обе системы сертификации (АйТиСертифика – Ассоциация ЕВРОААС, Газпромсерт – Газпром), сомневаюсь, что официально центральный ФСТЭК может делегировать им свои функции (при аттестации). Можно попробовать подержать уральский ФСТЭК в плане защиты ИСПДн К4. :)

2. В результате аттестации мы имеем какой-то документ? Правильно – аттестат.
Организация, выписывающая аттестат, должна иметь аттестат аккредитации органа по аттестации (при защите гостайны) или лицензию ФСТЭК по конфиденциалке (при защите конфиденциальной информации).

3. Частично. СТР-К обязательно только для госучреждений, для других – имеет рекомендательный характер.
Еще, есть дискуссионное Постановление Правительства РФ №330, а в нем – обязательная сертификация СЗИ. Что думает здесь ФСТЭК, декларирующая, что сертификация СИСТЕМ должна проводиться в форме обязательной аттестации, - до конца непонятно.

Сейчас много устных заявлений от регуляторов (ФСБ и ФСТЭК) о снижении требований, но пока они не подтверждены документально ведомственными документами, и все мы имеем проблемы на практике (сдать работу и судиться или не судиться). :)

Алексей Лукацкий комментирует...

ФСТЭК только на словах говорит о снижении требования, а на деле уже подготовил новое положение об обязательной оценке соответствия СЗИ для ПДн, положение по аттестации объектов, обрабатывающих конфиденциалку и даже имеет планы по обязательной сертификации по НДВ прикладного ПО, обрабатывающего отдельные категории конфиденциалки. А вы говорите снижают требования...

Про ФСБ я вообще молчу. Как только они выпустили совместный приказ с ФСТЭК, так сразу забрали на себя антивирусы, МСЭ, IDS и т.п. А сертифицировать эти решения в ФСБ задача архисложная.

doom комментирует...

2 John

СКЗИ - песня отдельная. Тут уж все смирились, что сертифицированные ФСБ решения приходится использовать.

А то, что ФСТЭК не станет доверять Газпромсерт - почему бы и нет? Там тот же ФСТЭК сидит, просто старая команда - отношения с ЦА у них нормальные.

А лицензия на ТЗКИ и аттестат аккредитации - вещи очень разные. Понятно, что лицензию получить в разы проще. Кстати, то, что лицензии для аттестации ИСПДн и АС на соответствие СТР-К достаточно - это вполне официально. У нас есть официальный ответ на запрос из ФСТЭК.

romarius-2010 комментирует...

Извините, а из чего следует Ваш вывод, что обязательная сертификация д.б. установлена только актом Правительства или Президента? Спасибо.

Алексей Лукацкий комментирует...

Из закона о техрегулировании

romarius-2010 комментирует...

Спасибо. А статью не назовете?

В старом законе указывалось, что обязательность сертификации устанавливается законодательными актами РФ, без конкретики, на какие именно.

В новом же есть ст.46, согласно которой до принятия техрегламентов действуют имеющиеся нормативные акты. Можно ли сделать вывод о том, что 199 приказ, касающийся обязательной сертификации все же правомерен, как думаете?

Алексей Лукацкий комментирует...

5-я

romarius-2010 комментирует...

Спасибо большое!

Игорь Грабов комментирует...

Добрый день!

Я прошу прощения, если повторюсь или ответ на мой вопрос будет очевиден, но, не мог бы мне кто-нибудь подсказать:
1. Сертифицируя СКЗИ по КС1 или КС2, каким образом я могу показать соответствие требованиям, если во-первых я не могу найти эти требования, во-вторых, насколько я понял, исходя из "ФСБ РФ 21.02.2008 N 149/54-144" соответствие определяется из модели нарушителя? Как производитель оборудования получает сертификат на КС если модель угроз формируется конкретно на объекте? Или брать модель угроз ФСБ?
2. Получить список необходимых документов для сертификации можно только обратившись непосредственно к ФСБ?

Заранее спасибо.

Вадим Поляков комментирует...

Правильно ли я понимаю. что сейчас нужно оформлять такие вот декларации таможенного союза http://www.rospromtest.ru/sertifikati/deklaraciya-sootvetstviya-tamojennogo-soyuza/?

Алексей Лукацкий комментирует...

На что?