09.06.2012

Аттестация и ФЗ-152: мнение ФСТЭК

Неделя была очень насыщенной - две командировки, 4 перелета, 8 презентаций... Поэтому не было сил что-то писать. Да и сейчас нет. Осмысливаю впечатления от московского PHD и казанского ITSF. Поэтому эту рабочую неделю хочется закончить "позитивно" ;-)

Коллеги часто присылают мне различные интересные документы, письма, запросы регуляторов, выдержки из актов проверок и т.д. И вот новый "подарок" - письмо одного из региональных управлений ФСТЭК. Текст привожу полностью: "В соответствии с требованиями совместного приказа ФСТЭК России № 55, ФСБ России № 86 и Мининформсвязи России № 20 от 13.02.2008 "Об утверждении порядка проведения классификации ИСПДн", зарегистрированного в Минюсте России 3.04.2008 № 11462, по результатам анализа исходных данных (в том числе и по категории обрабатываемых ПДн) ИСПДн присваивается один из классов К1, К2, К3, К4.

ИСПДн, обрабатывающие ПДн, находящиеся в ведении органов государственной власти, считаются обрабатывающими государственный информационный ресурс и подлежат обязательной аттестации по требованиям безопасности информации независимо от присвоенного класса. Режим защиты ПДн, не являющихся государственным информационным ресурсом, а также перечень необходимых мер защиты устанавливается собственником информационных ресурсов.
 

Аттестация информационных систем производится в соответствии с требованиями Специальных требований и рекомендаций по технической защите конфиденциальной информации (СТР-К 2002) и Положения о методах и способах защиты информации в ИСПДн, введенных в действие приказом ФСТЭК России от 5.02.2012 № 58".

Вот такие пироги. Госорганам стоит готовиться. Хотя они всегда попадали под требования СТР-К с аттестацией, но у кого-то были сомнения. Вот позиция регулятора.

В данном письме интересен и следующий фрагмент: "Режим защиты ПДн, не являющихся государственным информационным ресурсом, а также перечень необходимых мер защиты устанавливается собственником информационных ресурсов". Он ну очень многозначителен. Если быть позитивным, то гласит он только одно - коммерческие операторы ПДн сами решают, как защищать ПДн и приказ 58 им не указ. Но эту позицию мы оставим до выхода новых документов ФСТЭК по защите персданных, которые планируются к июлю этого года.

12 коммент.:

Д.Никитин комментирует...

Получит это региональное управление по шапке от ЦА за конфету коммерческим операторам ПДн, т.к. письмо противоречит требованиям новой редакции ФЗ-152 и уж никак не может их ослабить

Виктор комментирует...

Открытие Америки. А можно было просто СТР-К почитать внимательно.

Тоже касается "конфеты операторам" - что раньше, что сейчас уровень защиты они устанавливают сами, но в соответствии с методиками.

Д.Никитин комментирует...

уровень да, ну а в письме то "режим защиты и перечень мер". Так что не конфета, а пустой фантик :)

Ronin комментирует...

Который раз уже обсуждается эта тема и трактовка о самостоятельном определении мер. На мой взгляд, все куда проще - у операторов есть документы, в соответствии с которыми они определяют УЗ (ранее - класс), есть набор требований, которые являются минимальными необходимыми в целом (ФЗ и ПП) и по УЗ/классу (приказы), а далее, в соответствии с ФЗ, они могут сами выбирать меры, необходимые и достаточные для реализации этих требований. Если есть необходимость и желание - могут сами же определить и выполнять больший набот мер.
Как пример - есть требование учета машинных носителей - пожалуйста, выбирайте - можно вести электронную библиотеку, можно бумажную, можно ещё как-то. Есть требования по предотвращению несанкционированного физического доступа - выбираем замки, систему наблюдения, сигнализации, решетки на окнах и т.д.
Но в данном письме получается странной подача, как бы в противовес - для госов нужна аттестация, а коммерсы выбирают режим сами. Что же тогда подразумевается под этим режимом (с мерами защиты-то все понятно), который коммерсы выбирают сами, а, судя по стилю написанного, госы не могут сами выбрать? Определение УЗ-то для всех одинаково. Соответственно, и требования по УЗ для всех будут равны по идее.

Svyazist комментирует...

Данный ответ повторяет ответ ФСТЭК по ЦФО двухлетней давности
http://zalil.ru/33415282
... ничего не меняется

Сергей комментирует...

Интересно, а кто нибудь анализировал, почему регуляторы так настойчиво продавливают аттестацию и сертификацию? Кому это выгодно? Сильно сомневаюсь в их бескорыстной заботе о ПДн наших граждан. Деньги немалые, и получают их коммерческие структуры. А вот проследить бы цепочку до конечного получателя.

Алексей Лукацкий комментирует...

"Национальная безопасность" - это их все. Почитай стратегию нацбезопасности и доктрину ИБ - там все написано, чего они боятся и почему они продвигают оценку соответствия в разных формах

Виктор комментирует...

Аттестация и сертификация позволяет управлять рынком и отдельными участниками. Это ради власти.

Ledokol комментирует...

Ради власти?
Непродуманное и недальновидное утверждение. Вот объясните мне - почему мы предпочитаем покупать сертифицированные телефоны, продукты питания и т.п., а когда речь заходит про средства защиты информации, то некоторые "защитники информации" тут же ищут коррупцию и проявляют пофигизм (пардон за мой французский) в этом вопросе?
Аттестация для госструктур всегда была обязательна, аттестация для коммерческих организаций - рекомендована (см. СТР-К, там все понятно изложено). Но вопрос в другом - ЗАЧЕМ ИЗОБРЕТАТЬ ВЕЛОСИПЕД?
Если есть правила, по которым играет регулятор, зачем придумывать свои? Чтобы как китайские комсомольцы преодолевать трудности, которые сами же и придумали?
Да и, как здесь уже отметили, требования ФЗ-152 письмом регионального управления ФСТЭК нельзя отменить.
Кстати, кто докажет, что ПДн не относятся к государственным информресурсам?

Алексей Лукацкий комментирует...

Вот когда средства защиты будут сертифицировать как телефоны или продукты питания, т.е. по наименованию, а не по штучно, то тогда и вопросов не будет.

Ledokol комментирует...

Стоп, стоп, Алексей!
Вы слышали про такую схему сертификации, как "серийное производство"?
Все СЗИ по этой схеме сертифицированы.
Что касается АТТЕСТАЦИИ, то технические каналы утечки информации у каждого объекта индивидуальны.
Законы физики, видите-ли...

Алексей Лукацкий комментирует...

"Все", вы имеете ввиду российские? Так они занимают меньше половины доли российского рынка