- планируется его подпись у директора ФСТЭК, а не его заместителя
- выбор и реализация методов и способов защиты информации в ИСПДн осуществляются на основе определяемых оператором угроз безопасности персональных данных (модели угроз) и в зависимости от класса информационной системы, определенного в соответствии с Приказом трех.
- методы и способы защиты информации ... в зависимости от класса информационной системы определяются оператором в соответствии с приложением к настоящему Положению. Приложение к Положению привязано к 4-м классам. Т.к. приказ трех у нас не определяет классов для специальных систем, то... опять свобода творчества.
- вместо детального перечисления длин паролей и другой тягомотины первой версии четверокнижия, в данном Положении просто перечислены основные механизмы защиты, что большой плюс (да и перечень на первый взгляд достаточно грамотный). Правда, вся тягомотина, присущая первой версии четверокнижия, перекочевала в Приложение. Но ее причесали, убрали нестыковки, повторы и просто невыполнимые или непонятные требования. Т.е. привели в читаемый вид.
- НДВ требуется только для ИСПДн 1-го класса (для 2-го и 3-го - по решению оператора)
- защита от утечек по техническим каналам осталась для 1-го класса (но фраза может толковаться свободно - "могут использоваться", а не "должны использоваться"). Для ИСПДн 2-го класса надо применять СВТ, удовлетворяющие требованиям национальных стандартов по электросовместимости и т.п. (все как в первом четверокнижии).
- в системах 1-го класса с голосовым вводом (IVR) или воспроизведением голоса требуется защита акустики.
- борьба с видовыми утечками реализуется оргмерами (отвернуть монитор от окна, например).
PS. Malotavr у себя в блоге более детально и концептуально прошелся по новому проекту.
Очевидно, что во ФСТЭКе не самоубийцы.
ОтветитьУдалитьХе, интересно сейчас будет позырить волну "а ведь я Вам говорил".
а зачем теперь нужна класификация, если всё по модели угроз?
ОтветитьУдалитьВыглядит более адекватно. Раздел 2 воплощает собой шаг в сторону подхода по реализации базового уровня безопасности исходя из архитектуры ИС - теперь понятно, когда нужны МЭ, VPN, антивирусы, независимо от классов ИС. Несмотря на отсутствие явного требования использования только сертифицированных СЗИ - при проверке вам зададут резонный вопрос: а чем вы подтвердите, что указанные в НРД требования по безопасности реализованы в вашей ИСПДн?
ОтветитьУдалитьИ криптографию никто не отменял. Используете VPN? Будьте любезны ГОСТ.
Да уж, не самоубийцы, но видно тернист был путь к этому выводу, раз Гришанков понадобился.
ОтветитьУдалить"Могут применяться" вместо "должны" очень радует. Теперь в качестве меры обработки риска от утечки по техническим каналам отодвигаем АРМ от внешней стены. А необходимость контроля НДВ для К1 и тестирование на проникновение огорчили((
Какой-такой Гришанков-Мишанков? У системы инстинкт самосохранения по-любому включился бы.
ОтветитьУдалитьГеннадий: Пока это проект, каким он выйдет скоро увидим... Всё может поменяться.
ОтветитьУдалитьНо в таком виде более интересно, немного изменили фразы и сразу смысл жругой :-)
Про НДВ для К1, зато написано, что только для СЗИ. БЕз прикладного ПО.
Классифицировать все равно надо.
Кто такой Гришанков? Инстинкты-инстинктами, а эволюцию никто не отменял. Попробовали, поработали - всплыли проблемы, устраняют. Про вложенные деньги можно забыть, ошибок без затрат не бывает. :-) Ждем утверждения. Не совсем понятна взаимосвязь с Мероприятиями/Рекомендациями. Если вместо них - не совсем корректно. Если вместе с ними - еще хуже. Отсутствие обязательной аттестации не радует. Иногда проще провести аттестацию и показать РКН аттестат, чем долго объяснять не разбирающимся людям технические вопросы ЗИ. А вот оставить аттестацию и в случае чего разбираться с лицензиатом и оператором. ФОрмально, но ответственность есть. Коррупции меньше. Да и аттестовать по новому документу значительно проще. ГНИИИ ПТЗИ молодцы - отдельное спасибо за переработку! :-)
ОтветитьУдалитьНе согласен с тем, что сертификацию отменили - ведь в ПП781 прописана необходимость оценки соответствия. А она может быть сейчас либо в виде сертификации либо в виде аттестации ;-)
ОтветитьУдалитьВ ПП781 говорится только о том, что "Средства защиты информации, применяемые в информационных системах, в
ОтветитьУдалитьустановленном порядке проходят процедуру оценки соответствия". Про аттестацию ИСПДн нет ни слова.
В настоящее время установлены следующие процедуры оценки соответствия: Сертификация или Аттестация, т.к. нет явного указания, оператор может выбирать самостоятельно (не относится к гос.).
ОтветитьУдалитьРигель
ОтветитьУдалитьА если бы нет? Тем более, что самой-то системе выгодно ставить невыполнимые задачи, так их нужность не иссякнет. Сослагательное наклонение здесь не к месту, еж птица гордая - пока не пнешь, не полетит. Насчет Гришанкова - это шутка? http://www.tsarev.biz/?p=916
Алексей Т.
У меня не сложилось ощущения, что здесь сработала схема "Попробовали, поработали - всплыли проблемы, устраняют." Это разумная и функциональная схема импрувмента, в отчизне малоупотребимая. Представители ФСТЭК с адским пламенем в очах твердили, что "да, жестко, но вы обязаны и точка". Ни грамма сомнений в верности курса не было, никаких намеков на самокритику. Если бы они хоть раз сказали "давайте поработаем так, накопим замечаний, и после переделаем" - сомнений бы не возникало. Во всяком случае я не слышал. А в данном случае прав Малотавр - заставили сделать ударными темпами, ну те и сделали, нате! Живите теперь по ним. Ну а дальше все по схеме летающего ежа.
Алексей Т.: Гришанков - это зам.главы комитета ГД по безопасности.
ОтветитьУдалитьИ зачем РКН объяснять технические вопросы? Это не их тема. Они только ФЗ занимаются. Технические вопросы в сфере компетенции иных служб.
Анонимному (второму с конца): Правила оценки соответствия устанавливает Правительство. Оно этого по теме персданных не сделало. Т.ч. требование есть, но оно не реализуемо
Анонимному (первому с конца): Аттестации вообще нет в списке форм оценки соответствия. Посмотрите ФЗ "О техрегулировании".
Если не ошибаюсь в законе о тех. рег. указано что оценка соответствия может проводиться ТОЛЬКО на соответствие тех регламенту... коего нет ?!
ОтветитьУдалитьAndrewZ пишет...
ОтветитьУдалитьИ криптографию никто не отменял. Используете VPN? Будьте любезны ГОСТ.
Из текста, кстати, не следует это утверждение.
См. http://dom.bankir.ru/showpost.php?p=2673808&postcount=3126
Скорее следует VPN, PKI и токены не относятся к СКЗИ - что несколько удивило, но вспомнилась практика сертификации продуктов их содержащих как СЗИ...
и еще неопределенность в п. 2.6.:
ОтветитьУдалить"анализ принимаемой по информационно-телекоммуникационным сетям международного информационного обмена (сетям связи общего пользования) информации, в том числе на наличие компьютерных вирусов."
А если пойти от противного:
ОтветитьУдалитьПункт нового документа 2.11:
Подключение информационной системы к информационной системе другого класса ... осуществляется с использованием межсетевых экранов.
То есть при взаимоподключении ИСПДн одного класса - не надо МЭ ?
"Ни слова про сертифицированные решения, аттестацию объекта информацизации и получение лицензии на ТЗКИ!"
ОтветитьУдалитьНу и правильно. В установленном порядке. :-)
А установленный порядок... Одно лицензрирование чего стоит:
ТЗКИ - лицензируемый вид деятельности, а по ПП504 лицензионное требование - аттестация. Выходит, обязательное. Так что придется и K4 аттестовать?
А.Лукацкий:
ОтветитьУдалитьПро Гришанкова почитал, спасибо. :-) Много интересного в интернете есть.
По поводу аттестации: если убрать аттестацию, фактически непонятна форма оценки защищенности ИСПДн. Формально, аттестация является неплохой формой (если будет контролироваться периодически ФСТЭК) и освобождает от РКН от дебрей проверки реализации требований. Участие специалистов ФСТЭК в проверках вызывает очень большие сомнения - ну нет такого количества специалистов у ФСТЭК.
Еще раз повторю - ждем окончательного решения по статусу документа.
Возникает вопрос - ДОКОЛЕ?
ОтветитьУдалитьС одной стороны хорошо, что требования вроде ослабляются. С другой - а как быть тем, кто "с шашкой наголо" уже все привел в соответствие 4-книжию? А что будет дальше? Будь я на стороне оператора, уже стал бы задумываться - а стоит ли напрягаться, может еще подождать. Того и гляди требования еще ослабят...
"С другой - а как быть тем, кто "с шашкой наголо" уже все привел в соответствие 4-книжию?"
ОтветитьУдалитьКак что? Исполнять закон (еще раз). :-)
И как показывают рекомендации Минсоцздрава, это обычный совет ;-) Хотя тех, кто что-то сделал с технической точки зрения - единицы. Только те, кого запугали регуляторы или интеграторы.
ОтветитьУдалитьВ защиту интеграторов... Те, кто хотят не просто срубить бабло, уже давно говорят клиентам, что сначала стоит выполнить требования 152-ФЗ, а потом уже думать о реализации требований ФСТЭК/ФСБ ))
ОтветитьУдалитьА что им остается говорить, когда всем стало понятно, что регуляторы (один из них) сели в лужу со своими требованиями
ОтветитьУдалитьТем не менее, возникает странная ситуация, что сами заказчики спрашивают о ПОЛНОСТЬЮ реализованных проектах...
ОтветитьУдалитьА это те, которых запугали интеграторы ;-)
ОтветитьУдалить"сначала стоит выполнить требования 152-ФЗ, а потом уже думать о реализации требований ФСТЭК/ФСБ"
ОтветитьУдалитьА в чем разница?
2 Евгений Родыгин
ОтветитьУдалить>Если не ошибаюсь в законе о тех. рег. указано что оценка соответствия может проводиться ТОЛЬКО на соответствие тех регламенту... коего нет ?!
Есть еще последняя статья (переходные положения), где оговаривается пара исключений:
До дня вступления в силу соответствующих технических регламентов обязательная оценка соответствия, в том числе подтверждение соответствия и государственный контроль (надзор), а также маркирование продукции знаком соответствия осуществляется в соответствии с правилами и процедурами, установленными нормативными правовыми актами Российской Федерации и нормативными документами федеральных органов исполнительной власти, принятыми до дня вступления в силу настоящего Федерального закона.
Помните вашу ремарку про положение о сертификации средств защиты информации (что оно вообще-то только на СрЗИ для защиты гос. тайны распространяется)? Вот эта ремарка и позволяет говорить, что требование обязательной сертификации СрЗИ для нужд защиты ПДн - незаконно.
Но меня в свое время за такое заявление разве что не побили на одном мероприятии :)
Второй момент, это:
3. Правительством Российской Федерации до дня вступления в силу соответствующих технических регламентов утверждаются и ежегодно уточняются единый перечень продукции, подлежащей обязательной сертификации, и единый перечень продукции, подлежащей декларированию соответствия.
Естественно, никаких СрЗИ в этом перечне нет.
Но, чисто теоретически, возможность протащить обязательную сертификацию по нынешним документам - была.
2 doom
ОтветитьУдалитьИменно !!!
Осталось найти ссылку на действующий перечень...
Такие же ссылки идут в КОАП-е статьи 13.** там явно только про гос.тайну и перечень...
Вне всякого сомнения ФСЭКу бы ло бы не плохо внести ясность в этом вопросе у себя на сайте... ибо требования к сертифицированным средствам появляются в конкурсной документации в контрактах и т.п. только на основе представлений составителей конкурсной документации.
>Осталось найти ссылку на действующий перечень...
ОтветитьУдалитьА что ее искать-то - вот оно. Свеженькое. Никаких тебе СрЗИ.
>ибо требования к сертифицированным средствам появляются в конкурсной документации в контрактах и т.п. только на основе представлений составителей конкурсной документации.
Тем не менее, они имеют право - это уже не обязательная сертификация просто, а добровольная.
А вы скачайте перечень и посмотрите - мне кажется этот перечень не меняется лет ...дцать. :-) Мне кажется полемика по этой теме бесполезна - надо сертифицировать и аттестовывать. :-) Кто-нибудь может предложить что-нибудь лучше? Нужно улучшать и делать прозрачными работающие процедуры, чем обсуждать насколько они нужны.
ОтветитьУдалить2 Алексей Т.
ОтветитьУдалитьА тут вопрос не в обсуждении необходимости... вопрос в :
1. четкости и прозрачности требований
2. стройности нормативно-методических документах.
Порой такие курьезы происходят на конференциях !!! Консультанту не говоря уж о представителях нужно на что то опираться(документ недвусмысленную формулировку) а так и опереться не на что кроме фразы "сложилась такая практика и мой большой опыт...."
2 Алексей Т.
ОтветитьУдалитьВесь дух закона о тех. регулировании говорит о простой вещи государству: не лезь ты во все щели!
Не нужны эти навязанные сверху схемы, если только речь не о здоровье и угрозе жизни людей.
А вся узкоспециальная сертификация должна быть добровольной.
И никого туда не надо загонять силком. Ведь Common Criteria занимались тем, что популяризировали свою систему, объясняли ее преимущества перед другими - теперь западные вендоры такое ощущение, что хвалятся у кого EAL выше :) Эта схема работает.
А платить 20% от стоимости коммутатора Cisco, чтобы убедиться, что его ACL действительно способен фильтровать пакеты по IP адресам отправителя и получателя - это дорогое и никому не нужное удовольствие (хотя какое оно удовольствие).
Тоже самое касательно аттестации. Аттестация в соответствии с действующим положением или с СТР-К - нежизнеспособна по определению.
Наметки более жизнеспособной схемы так и остались наметками и никакого движения там нет (речь о проекте концепции оценки соответствия автоматизированных систем требованиям по безопасности информации).
Я здесь утверждаю, что обязывать обычных людей сертифицировать СрЗИ в системах сертификации ФСТЭК или ФСБ - это заведомо неправильно. Это такая же непонятно кому нужная условность, как и проверка каждой асы, поставляемой в Россию в недрах ФСБ - от таких действий виден только вред, а польза как-то не наблюдается...
мдааа... вполне компетентные, но глубоко наивные люди))
ОтветитьУдалитьи не один из них не вспомнил о "теории хаоса"...
документов мало, и разрабатывал их ограниченный круг людей... поговорите с ними, войдите в их положение... и вы всё поймёте))
2 doom Проектов по ОК и не только все больше и больше на сайте ФСТЭК. ПРоблем с их внедрением еще больше:
ОтветитьУдалить- нестыковка с действующими РД/НМД (АС, СВТ, СТР-К) не позволяет полностью одномоментно перейти к их применению;
- несоответствие терминов и понятий (для специалистов ИТ не проблема, для всех остальных конец света). Несоответствие так и не было устранено из-за исторического соперничества двух организаций (кому надо, могу рассказать каких);
- вымирание специалистов, способных разработать нормальные документы (в этих двух организациях их фактически осталось очень мало, и то среднего и высшего уровня управления);
- ну и еще куча проблем.
В итоге сертификация по ОК стала в РОссии упрощенной сертификацией СЗИ, не став достоверней и полнее (а даже совсем наоборот).
Кстати, качество сертификации зависит от ОС и ИЛ - кому надо, могу порекомендовать качественные организации, которые отработают свои деньги. (это не реклама!!!!)
2 Алексей Т.
ОтветитьУдалитьПодписываюсь под сказанным!
Добавлю только что... "В итоге сертификация по ОК стала в РОссии упрощенной сертификацией СЗИ"...
С учетом названных и не названных проблем это "Упрощением" назвать нельзя... (для Заказчика/Разработчика/Пользователя)
Последний анонимный: Вы о ком? О каких людях? Из NIST? Я с ними часто общаюсь - очень толковые люди. Понимают, что к чему.
ОтветитьУдалитьНо ситуация в текущий момент в любом случае ведет к сертификации/аттестиации. Клиенты приходят и талдычат об одном - дайте нам ваши решения, но чтоб они были сертифицированы - это решит все наши проблемы с ФЗ-152. И начинается растолковывание каждому от и до.
ОтветитьУдалитьИ запугивают их не столько интеграторы, сколько регулятор(ы). В связи с чем делаю вывод, что кормушка была, есть и будет. Может более завуалированная, но состричь денег с операторов ПД (а вместе с ними с разработчиков софта, используемых в этих ИСПДн) некоторые товарищи возможности не упустят.
Ну вот доигрались...
ОтветитьУдалитьПроект-то убрали с сайта :)
Видимо накидали кучу вопросов. Поняли, что совсем сырой - вот и убрали.
ОтветитьУдалитьВы кидали?
ОтветитьУдалитьА кто-нибудь кидал?
А что, разве было какое-то предложение к обсуждению, по аналогии с СТО БР ИББС?
:-)
Если интересно, на
ОтветитьУдалитьhttp://www.ispdn.ru/forum/index.php?PAGE_NAME=message&FID=1&TID=441&MID=6385&result=reply#message6385
приведено сравнение требований к подсистемам безопасности по руководящему документу по АС (Гостехкомиссия) и проекту Приказу ФСТЭК.
Кто хотел, обсудил и кинул им ;-) Но и они и сами умеют читать форумы и блоги.
ОтветитьУдалитьСкорее всего звонков и запросов много появилось о разъяснениях. Кстати есть версия, что убрали, чтобы переложить в раздел с утвержденными документами. :-)
ОтветитьУдалить>>Осталось найти ссылку на >>действующий перечень...
ОтветитьУдалить>А что ее искать-то - вот оно. >Свеженькое. Никаких тебе СрЗИ.
Коллеги, почему при доказывании своей правоты, приводя ссылки на законодательные акты, все так любят "забывать" некоторые моменты?
Например, по приведенной ссылке на Постановление Правительства РФ от 1 декабря 2009 года N 982, почему то не рассмотрен п.4:
"Настоящее постановление не распространяется на отношения, возникающие при проведении оценки соответствия продукции, требования к которой устанавливаются в соответствии со статьей 5 Федерального закона "О техническом регулировании".
Смотрим статью 5 ФЗ о регулировании. И "вдруг" обнаруживаем там, что:
"В отношении ... продукции (работ, услуг), используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа; ... обязательными требованиями наряду с требованиями технических регламентов являются требования, установленные государственными заказчиками, федеральными органами исполнительной власти, уполномоченными в области обеспечения безопасности, обороны, внешней разведки, противодействия техническим разведкам и технической защиты информации"
Вот правомерность этих формулировок и комментируйте, а то "нет в списке, нет в списке"
>Коллеги, почему при доказывании своей правоты, приводя ссылки на законодательные акты, все так любят "забывать" некоторые моменты?
ОтветитьУдалитьПочему сразу "забывать"? Честно признаюсь - никогда не замечал этих оговорок, ни в самом законе, ни в ПП.
Так что, спасибо за информацию - но возникает вопрос, почему даже представители наших федеральных органов исполнительной власти, уполномоченных по вопросам... не могли четко сказать про соответствие их позиции законодательству РФ?
2 DOOM
ОтветитьУдалитьРасскажу вам по секрету - они и сами не знают, что так можно. :-) А за информацию по необходимости сертификации спасибо - в наших законах "куда повернул, туда и вышло"...
Хорошо бы еще теперь понять, в каком виде требования ФСТЭК будут законными, а в каком можно поспорить?
ОтветитьУдалитьВот приказ, подписанный директором, более менее легитимен. А подписанный руководителем подразделения? А частное мнение руководителей ФСТЭК, активно высказываемое на различных конференциях и форумах, легко разрешающих то одно, то другое?
Частное мнение чиновника - это частное мнение гражданина, не имеющее никакой юридической силы.
ОтветитьУдалитьКак показала практика, если ФСТЭК припереть к стенке (в смысле отправить официальный запрос), то частное мнение может превратить в более-менее официальный документ - письмо от ФСТЭК. Это уже какая-никакая юридическая сила.
ОтветитьУдалитьВот если ты получишь официальный письменный ответ, то да ;-) Но у них колоссальное умение отвечать много, но не по существу.
ОтветитьУдалитьПо поводу казуса со статьей 5 закона О техническом регулировании...
ОтветитьУдалитьПокопался тут. Статья 5 была изменена 1 мая 2007 года, до этого она называлась:
Статья 5. Особенности технического регулирования в отношении оборонной продукции (работ, услуг) и продукции (работ, услуг), сведения о которой составляют государственную тайну.
Правда по тексту статьи все-таки была малопонятная оговорка про "или относимых к охраняемой в соответствии с законодательством Российской Федерации информации ограниченного доступа".
Но самое главное другое - вплоть до нынешнего года правительство не принимало ежегодное новое постановление об утверждении перечня товаров, подлежащих обязательной сертификации - они лишь вносили изменения в ПП аж от 1997 года, в котором, естественно, никаких оговорок про статью 5 закона О техническом регулировании не было.
Так что я все-таки пока еще прав :)
Новое ПП вступит в силу только с 14 февраля :)
Коллеги, а поделитесь, плиз, документом, который обсуждаете. А то как-то убрали его с сайта (((
ОтветитьУдалитья о "Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных"
serg13zhebr@mail.ru
> Так что я все-таки пока еще прав:)
ОтветитьУдалитьНе хочется огорчать, но поскольку ФЗ по статусу выше ПП, то статья 5 действует с момента принятия ФЗ №184. Так что не важно, было это раньше в ПП или нет.
2 Анонимный
ОтветитьУдалитьНо опять-таки не стоит забывать про 46 статью ФЗ, которая до сих пор говорит, что
До дня вступления в силу соответствующих технических регламентов обязательная оценка соответствия, в том числе подтверждение соответствия и государственный контроль (надзор), а также маркирование продукции знаком соответствия осуществляется в соответствии с правилами и процедурами, установленными нормативными правовыми актами Российской Федерации и нормативными документами федеральных органов исполнительной власти, принятыми до дня вступления в силу настоящего Федерального закона.
Здесь уже исключений не делают. И снова мы возвращаемся к тому, что у ФСТЭКа есть только Положение о сертификации, где прямо сказано, что СрЗИ - это ПТС, предназначенное для защиты гос. тайны и точка.
"НДВ требуется только для ИСПДн 1-го класса...", а разве в предыдущем документе было не так?)
ОтветитьУдалитьСмотря в какой из версий...
ОтветитьУдалить