29.08.2012

Что думает Банк России о сертифицированных СЗИ?

Совершенно случайно наткнулся в Гаранте на письмо ЦБ от от 17 ноября 2011 г. № 015-16-9/4713 "О средствах защиты информации, применяемых при обработке персональных данных", которое является ответом на запрос Ассоциации Российских Банков о проблемах в реализации требований законодательства в области обеспечения безопасности персональных данных (письмо № А-02/5-398 от 07.06.2011 г.).

Ответ Банка России примечателен и гласит следующее: "Отсутствие в настоящее время технических регламентов, устанавливающих требования к средствам защиты информации (СЗИ), используемым для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных, делает невозможным как оценку соответствия, так и добровольное или обязательное подтверждение соответствия СЗИ.

Таким образом, до выпуска документов, обеспечивающих выполнение требований законодательства, считаем возможным применение для обеспечения безопасности персональных данных при их обработке в информационных системах встроенных защитных мер, сертифицированных СЗИ, а также средств защиты, не включённых в Единый перечень товаров, к которым применяются запреты или ограничения на ввоз или вывоз государствами - участниками таможенного союза, в рамках Евразийского экономического сообщества в торговле с третьими странами."

По сути, это тоже что и написано в СТО БР ИББС 1.0, но... статус письма совершенно иной. Подписан он Сенаторовым М.Ю. и вляется официальной позицией и рекомендацией регулятора, в отличие от СТО, который носит характер рекомендательный.

Интересно, если АРБ направит такой же запрос относительно средств защиты в НПС, то будет ли ответ таким же?...

26 коммент.:

Сергей комментирует...

Алексей, обратите внимание на формулировку 584ПП о НПС: применение средств защиты информации (шифровальные (криптографические) средства, средства защиты информации от несанкционированного доступа, средства антивирусной защиты, средства межсетевого экранирования, системы обнаружения вторжений, средства контроля (анализа) защищенности); - нет любимой фразы про оценку соответствия.
Далее 382П: Оператор по ... обеспечивают применение некриптографических средств защиты информации от несанкционированного доступа, в том числе прошедших в установленном порядке процедуру оценки соответствия. Допускается применение некриптографических средств защиты информации от несанкционированного доступа иностранного производства.

Алексей Волков комментирует...

СильнО банковское лобби - везет им.

Евгений комментирует...

Интересно, как соотноситься эта позиция с ст.5 ФЗ №184-ФЗ. Или банковская тайна "вдруг" перестала быть "охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа"?

toparenko комментирует...

Все вполне укладывается в действующее законодательство. И банковское лобби здесь, вААЩе-то не при чем ;-)

Системы сертификации СЗИ/СКЗИ ФСТЭК/ФСБ/МО/СВР являются системами ДОБРОВОЛЬНОЙ сертификации - см. на сайте Ростеста
Закон о техрегулировании запрещает навязывать ту или иную систему добровольной сертификации.
В принципе НПС, с таким же успехом, может создать свою систему добровольной сертификации.

Т.ч. НЕ лицензиаты ФСБ/ФСТЭК могут абсолютно спокойно использовать несертифицированные средства не запрещенные к ввозу в РФ

Кстати: будь СЗИ/СКЗИ включенные в систему обязательной сертификации для пользователя вообще не стало бы проблем (проблемы остались бы у вендоров и поставщиков) - ибо тогда несертифицированная продукция банально была бы ВООБЩЕ запрещена на территории РФ, т.ч. можно было бы использовать ЛЮБЫЕ ЛЕГАЛЬНЫЕ СЗИ/СКЗИ

vsv комментирует...

Для toparenko. При чем здесь ДОБРОВОЛЬНАЯ сертифкация и при чем здесь Ростест? Обращайтесь к Маркусу, а не к конспекту. В Положении о сертификации средств защиты информации в п. 1.2 четко записано: "1.2. Настоящее Положение устанавливает основные принципы, организационную структуру системы ОБЯЗАТЕЛЬНОЙ сертификации средств защиты информации, порядок проведения сертификации этих средств по требованиям безопасности информации, а также государственного контроля и надзора за сертификацией и сертифицированными средствами защиты информации.А так любимое Вами ПП330 распрстраняет обязательную сертификацию на целый ряд конфиденциальной информации.

Алексею. мне кажется, письмо Сенаторова надо читать правильно. Во-первых обращу внимание на приписку Гаранта : Присьмо официально опубликовано не было.Следовательно это письмо можно оценивать на уровне "частной" переписки. И в этом случае это нельзя расценивать, как официальную точку ЦБ РФ. Во-вторых, Ю.М. Сенаторов в своем письме НЕ ОТРИЦАЕТ необходимость использования сертифицированных средств, а наоборот, говорит о том что их надо использовать. В-третьих, Закон о техническом регулировании не предполагает разработку технических регламентов по защите информации. Ст. 5 допускается предъявление ТРЕБОВАНИЙ к СЗИ. Такие требования постепенно разрабатываются. Пример требования к САВЗ. Думаю, имеен про эти требования и говорил Сенатров.

Сергей комментирует...

Во многих случаях сертифицированных СЗИ, удовлетворяющих требованиям банков просто нет, а иногда и быть не может - МПС.

toparenko комментирует...

vsv пишет...
В Положении о сертификации средств защиты информации

Подзаконный акт, в части противоречащей Закону, не применяется ;-)

Кстати есть еще Постановление Правительства РФ от 1 декабря 2009 г. N 982 "Об утверждении единого перечня продукции, подлежащей обязательной сертификации, и единого перечня продукции, подтверждение соответствия которой осуществляется в форме принятия декларации о соответствии" ( http://www.rostest.ru/certification_ALL/perechen.php ) и Единый перечень продукции, подлежащей обязательной оценке (подтверждению) соответствия в рамках таможенного союза с выдачей единых документов

Ткните пож. пальцем на СЗИ и/или СКЗИ в любом из этих ЕДИНЫХ перечней :-D

vsv пишет...
При чем здесь ДОБРОВОЛЬНАЯ сертифкация и при чем здесь Ростест?

Та же самая информация есть и на сайте Федерального агентства по техническому регулированию и метрологии (Росстат), который является ОФИЦИАЛЬНЫМ источником информации в области сертификации продуктов и услуг

На страничке http://www.gost.ru/wps/portal/pages.voluntaryvalidation попробуйте в поиске задать "защиты информации" и сравнить с идентификационныеми номерами систем сертификации СЗИ/СКЗИ

vsv комментирует...

toparenko Ничего удивительног, что на сайте Росстата эта система указана и в разделе добровольной сертификации. Читаем внимательно Положение: "1.6. Обязательной сертификации подлежат средства защиты информации, предназначенные для защиты сведений, составляющих государственную тайну, а также другой информации с ограниченным доступом, подлежащей защите в соответствии с действующим законодательством, систем управления экологически опасными производствами, объектами, имеющими важное оборонное или экономическое значение и влияющими на безопасность государства, ... В остальных случаях сертификация носит добровольный характер (добровольная сертификация) и осуществляется по инициативе заявителя (разработчика, изготовителя, поставщика или потребителя) средств защиты информации.

toparenko комментирует...

vsv пишет...
Читаем внимательно Положение

Читаем Закон (о техрегулировании):
Статья 19. Принципы подтверждения соответствия
1. Подтверждение соответствия осуществляется на основе принципов:
- доступности информации о порядке осуществления подтверждения соответствия заинтересованным лицам;
- недопустимости применения обязательного подтверждения соответствия к объектам, в отношении которых не установлены требования технических регламентов;
- установления перечня форм и схем обязательного подтверждения соответствия в отношении определенных видов продукции в соответствующем техническом регламенте;
- уменьшения сроков осуществления обязательного подтверждения соответствия и затрат заявителя;
- недопустимости принуждения к осуществлению добровольного подтверждения соответствия, в том числе в определенной системе добровольной сертификации;
- защиты имущественных интересов заявителей, соблюдения коммерческой тайны в отношении сведений, полученных при осуществлении подтверждения соответствия;
- недопустимости подмены обязательного подтверждения соответствия добровольной сертификацией.

Статья 28. Права и обязанности заявителя в области обязательного подтверждения соответствия
2. Заявитель обязан:
...
- выпускать в обращение продукцию, подлежащую обязательному подтверждению соответствия, только после осуществления такого подтверждения соответствия;

Статья 29. Условия ввоза в Российскую Федерацию продукции, подлежащей обязательному подтверждению соответствия
1. Для помещения продукции, подлежащей обязательному подтверждению соответствия, под таможенные процедуры, предусматривающие возможность отчуждения или использования этой продукции в соответствии с ее назначением на территории Российской Федерации, в таможенные органы одновременно с таможенной декларацией заявителем либо уполномоченным заявителем лицом представляются декларация о соответствии или сертификат соответствия либо документы об их признании в соответствии со статьей 30 настоящего Федерального закона. Представление указанных документов не требуется в случае помещения продукции под таможенную процедуру отказа в пользу государства.


Т.ч. когда не будут выпускаться/ввозиться НЕсертифицированные СЗИ/СКЗИ только тогда можно будет говорить об обязательной сертификации

Лучше бы не ПП (в том числе с незаконным ограничением доступа) проталкивали, а техрегламент нарисовали и сняли бы все вопросы...

Евгений комментирует...

А если внимательно прочитать статью 5 того же ФЗ?

4. Особенности оценки соответствия продукции (работ, услуг) и объектов, указанных в пункте 1 настоящей статьи, а также соответственно процессов их проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации, захоронения устанавливаются Правительством Российской Федерации.

toparenko комментирует...

Евгений пишет...
А если внимательно прочитать статью 5 того же ФЗ?

Ага. Обязательно и ее:

1. В отношении оборонной продукции (работ, услуг), поставляемой по государственному оборонному заказу; продукции (работ, услуг), используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа; продукции (работ, услуг), сведения о которой составляют государственную тайну; продукции, для которой устанавливаются требования, связанные с обеспечением безопасности в области использования атомной энергии; процессов проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации, захоронения соответственно указанной продукции обязательными требованиями наряду с требованиями технических регламентов являются требования, установленные государственными заказчиками, федеральными органами исполнительной власти, уполномоченными в области обеспечения безопасности, обороны, внешней разведки, противодействия техническим разведкам и технической защиты информации, государственного управления использованием атомной энергии, государственного регулирования безопасности при использовании атомной энергии, и (или) государственными контрактами (договорами).

Т.ч. еще раз повторюсь "Лучше бы не ПП (в том числе с незаконным ограничением доступа) проталкивали, а техрегламент нарисовали и сняли бы все вопросы..."
10 лет не могут техрегламент нарисовать...

Сергей комментирует...

+5 копеек: ст 46
3. Правительством Российской Федерации до дня вступления в силу соответствующих технических регламентов утверждаются и ежегодно уточняются единый перечень продукции, подлежащей обязательной сертификации, и единый перечень продукции, подлежащей декларированию соответствия.
3.1. Продукция, на которую не распространяется действие технических регламентов и которая при этом не включена ни в один из перечней, указанных в пункте 3 настоящей статьи, не подлежит обязательному подтверждению соответствия.

Сергей комментирует...

З.Ы. Если техрегламент разработать достаточно сложно, то уж включить СЗИ в перечень ...

vsv комментирует...

Этот спор по "наряду с техническими регламентами" уже оскомину набил. Кто сказал, что аппаратные или аппаратно-программные СЗИ не должны соответствовать техническим регламентам по электробезопасности или техническим регламентам по ЭМС? Надо правильно ЧИТАТЬ закон, а не додумывать то, что хочется.

Сергей комментирует...

2 vsv
Получаем, что программные СЗИ сертифицировать не надо :)

toparenko комментирует...

vsv пишет...
Кто сказал, что аппаратные или аппаратно-программные СЗИ не должны соответствовать техническим регламентам по электробезопасности или техническим регламентам по ЭМС?

Вот это и относится к ОБЯЗАТЕЛЬНОЙ сертификации

vsv пишет...
Надо правильно ЧИТАТЬ закон, а не додумывать то, что хочется.

И я о том же :-D
Системы сертификации СЗИ/СКЗИ не относятся к системам обязательной сертификации. А то, что написано (в том числе во всеми "любимом" ПП330) про обязательную сертификацию СЗИ относится к электробезопасности, ЭМС и т.п. определенному техрегламентами.

Если помните в "Основных мероприятиях" были в конце указаны ряд ГОСТ-ов (правда с ошибками - но были) - вот они то как раз и подпадали под обязательную сертификацию и для их идентификации было достаточно, чтоб был нанесен любым способом "Знак обращения на рынке" (а не голограммы согласно ст.22 закона о техрегулировании)

Кстати: СЗИ от НСД одним своим названием определяют использование для обеспечения конфиденциальности. И хде они в единых перечнях продукции, подлежащей обязательной сертификации???

vsv комментирует...

toparenko И опять внимательно читаем ст. 5 закона." ...ОБЯЗАТЕЛЬНЫМИ требованиями наряду с требованиями технических регламентов являются требования, установленные... федеральными органами..." И еще: "ОСОБЕННОСТИ оценки соответствия продукции (работ, услуг), указанной в пункте 1 настоящей статьи,... устанавливаются Правительством Российской Федерации или уполномоченными им федеральными органами исполнительной власти..."
Вот и получается, что ЭТА продукция выведена из под юрисдикции Закона о техническом регулировании в части определения порядка оценки соотвествия.

Сергей комментирует...

2 vsv
Вы не будете спорить, что техрегламент все таки должен быть (независимо от того, установлены иные обязательные требования или нет)? А пока техрегламента нет, а требование обязательной оценки соответствия (152ФЗ) в форме сертификации (330ПП) установлены, то эта продукция должна быть в перечне.

toparenko комментирует...

vsv пишет...
Вот и получается, что ЭТА продукция выведена из под юрисдикции Закона о техническом регулировании в части определения порядка оценки соотвествия

Не-а. Не получается.
Не выведена она из-под закона о техрегулировании.
Определены особенности, но закон действует и на эту продукцию - т.ч. внесение в ЕДИНЫЙ перечень и ОБЯЗАТЕЛЬНОСТЬ для всей легальной продукции данного класса будет показателем обязательной сертификации.

Когда существуют как сертифицированные, так и не сертифицированные версии одного и того же продукта (и сертифицированность ложится на потребителя продукции, а не на производителя) это ДОБРОВОЛЬНАЯ сертификация (конкурентное преимущество, но не более). Ну и обозначения для обязательной сертификации совсем не такие как на СЗИ/СКЗИ ;-)

vsv комментирует...

toparenko. Да нет же! Надо всегда помнить, что НЕ ДЛЯ ВСЕХ СЛУЧАЕВ необхоодима сертификация СЗИ. Например, Вы защищаете коммерческую тайну и САМИ устанавливаете КАК и КАКИМИ средстави ее защищать. И здесь ОБЯЗАТЕЛЬНОЙ сертификации не требуется, но остается и добровольная. Именно поэтому ВСЕ СЗИ НЕЛЬЗЯ вносить в перечень обязательной сертификации. А по поводу регламентов, то закон о Техническом регулировании дает конечный перечень областей, где такие регламенты должны быть. И именно поэтому статье 5 это выведено в особую зону регулирования.

toparenko комментирует...

vsv пишет...
НЕ ДЛЯ ВСЕХ СЛУЧАЕВ необхоодима сертификация СЗИ. Например, Вы защищаете коммерческую тайну и САМИ устанавливаете КАК и КАКИМИ средстави ее защищать

Вы сами цитировали Положение: "1.6. Обязательной сертификации подлежат средства защиты информации, предназначенные для защиты сведений, составляющих государственную тайну, а также другой информации с ограниченным доступом, подлежащей защите в соответствии с действующим законодательством"
КТ тоже защищаемая законом тайна и полностью подходит под процитированное ;-)

Алексей Лукацкий комментирует...

Какой спор ;-) Сергей Викторович, давайте не будем лукавить... Изначально, после появления ФЗ-184 была попытка разработки техрегламентов по ИБ (двух, если точнее), но их не приняли, т.к. техрегламента по ИБ не может быть в принципе - средств защиты не относятся к продукции, применение которой может нанести ущерб жизни и здоровью. Поэтому в 5-ю статью ФЗ-184, которая изначально касалось оборонки, ГТ и атомной жнергетики, и внесли пункт про средства защиты информации ограниченного доступа. А то такая замечательная статья доходов просто исчезала ;-) Я, кстати, с ссылкой Сенаторова на техрегламенты не согласен ;-)

Что касается положения о сертификации, то к 199-му приказу немало претензий, т.к. туда вносились поправки ЗАДНИМ числом без соответствующего оформления этих поправок. Иными словами мы имеем приказ 95-го года (без указания приказов, вносящих в него изменения), который ссылается на нормативные документы, вышедшие ПОСЛЕ 95-го года. У меня где-то лежит файлик с 199-м приказом, датированный 98-годом, который отличается от нынешней редакции и там не было слов про средств защиты информации ограниченного доступа - это уже приписка, появившаяся потом. Изначально, как и говорит toparenko, 199-й приказ касался только обязательной сертификации СЗИ для ГТ и СЗИ для госов. Уже потом в него добавили про все остальные СЗИ, но пункт про добровольность остался.

Что касается статуса письма ЦБ, то все прекрасно знают, что такое РЕКОМЕНДАЦИИ Банка России и какой де-факто они носят статус ;-)

Ну про обязательность ДОБРОВОЛЬНОЙ сертификации и гриф ПП-330 toparenko уже написал...

Хочу заметить, что мало кто будет спорить с тем, что оценка соответствия СЗИ нужна. Вопрос в том, КАК она осуществляется в России. Правила, которые не меняются уже 17 лет, давно устарели и требуют пересмотра. ФСТЭК лучше концентрироваться на этом, а не на попытке доказать, что оценка соответствия и обязательная сертификация - это одно и тоже.

Алексей Волков комментирует...

Vsv - коммерсант от ФСТЭКа, ему впаривать надо, потому спор этот бессмысленный и беспощадный. Но все равно за аргументы спасибо, Сергей Викторович, точнее за их несостоятельность.

imarsorama комментирует...

vsv пишет...
"Во-вторых, Ю.М. Сенаторов в своем письме НЕ ОТРИЦАЕТ необходимость использования сертифицированных средств, а наоборот, говорит о том что их надо использовать."

Коллеги, мне кажется, что если всё таки читать _внимательно_ (а здесь все к этому призывают), то видно, что Сенаторов как раз ОТРИЦАЕТ необходимость сертифицированных СЗИ. Собственно, в этом весь смысл письма.

Evgeniy West комментирует...

В случае защиты гос. тайны все понятно. А в случае с КИ (без букваря, логически), например при инциденте где злоумышленник нанес ущерб, как использовать закон, можно ли привлеч к суду? только если режим установлен так как прописано в законе и подзаконниках. например АС для обработки таких сведений должна быть защищена..а как подтверждаем соответствие требований безопасности информации, таким образом чтоб потом без претензий можно было утверждать что оценка не с потолка, это аттестация соответствия...а для аттестации необходимы сертифицированные СЗИ. тоесть если хотим получить не просто защиту, но и правовую ее часть, то надо следовать сертификации..а вобще сертификация не обязательна..никто не принуждает..) И ЦБ можно понять. Для защиты разнообразных банковских систем и подсистем не всегда можно удовлетвориться функционалом имеющихся на рынке сертифицированных средств.

toparenko комментирует...

Evgeniy West пишет...
А в случае с КИ (без букваря, логически), например при инциденте где злоумышленник нанес ущерб, как использовать закон, можно ли привлеч к суду?

К суду можно привлечь за любое нарушение охраняемой законом тайны. А вот для взыскания ущерба надо еще его определить и доказать ;-)

Evgeniy West пишет...
только если режим установлен так как прописано в законе и подзаконниках

Режим тайны установлен только для КТ. Какие-то наметки пытаются нарисовать для ПДн. Для всех остальных видов тайн (не составляющих ГТ) описания режима тайны нет.
Для КТ техмеры не прописаны не в законе, не в подзаконниках.

Ну и аттестация не факт, что защитит от утечки. Были поползновения сделать аттестацию индульгенцией - но они не прошли (и это отрадно)