20.12.10

Что ФСТЭК нам готовит в следующем году?!

Во исполнение ПП-330 ФСТЭК готовит сейчас проект нового положения "Об оценке соответствия продукции (работ, услуг), используемой в целях защиты информации конфиденциального характера, а также процессов ее проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации и хранения".

Какие ключевые моменты в данном положении могут быть отражены:
  • Описывает порядок организации и проведения обязательной сертификации продукции, а также госконтроля и надзора.
  • Будет распространяться на госресурсы и ПДн (ибо в ПП-330 только про это сказано).
  • Применяться будет к средствам ЗИ, средствам, в которых реализованы ЗИ и средствам контроля эффективности.
  • В нем предлагается сделать аттестацию государственных объектов информатизации обязательной (пока только на уровне предложения).
  • В этом же положении будет отражен вопрос признания сертификатов, выданных ФСБ, ФСТЭК и МО на категории систем защиты (МСЭ, IDS и т.п.). Но пока непонятно как.
  • Предлагается сертификаты сделать бессрочными, а для сертификатов на серийное производство установят срок действия три года (пока только на уровне предложения).
  • Средства иностранного производства сертифицируются также как и все остальные. Признания выданных заграницей сертификатов не будет.
  • Будет описана процедура обновления сертифицированных средств защиты, но вопрос с доверенным источником обновления и вопрос с сертифицированными обновлениями баз сигнатур (не продукта) остается открытым.
  • Будет описан порядок инспекционного контроля сертифицированных средств.
  • В процессе сертификации появится новый этап - рассмотрение заявки на сертификацию и оценка возможности сертификации средства защиты (будет определен набор необходимой конструкторской и эксплуатационной документации).
  • Сам проект выложат на сайт ФСТЭК на 30 дней, а после этого будет согласование с МинЭкономРазвития. Когда, неизвестно.

Вот такие "приятные" новости ;-( Если положение примут и если не пройдут изменения Резника по ст.19, то будем все курить бамбук - любые экзерсисы насчет добровольной сертификации будут нервно курить в сторонке.

17 коммент.:

exp001 комментирует...

Накрылась медным тазом наша качалка. Мне кажется у медиков как небыло средств на сертифированные СЗИ, так и неоткуда им появиться.

Baevsky комментирует...

Будем надеяться на лучшее (ФСТЭК "одумается"), и готовиться к худшему (все предложения ФСТЭК примут). :(

Алексей Т. комментирует...

А что вам не нравится в таком законопроекте? Зато не надо будет думать - сертифицированные или не сертифицированные и нервно курить в ожидании проверки. Систему сертификации давно пора зарегулировать, а то порядка там мало... У медиков как не было, так и не будет, это верно. Но при чем здесь документ ФСТЭК? У медиков вариантов нет - только защищаться.

Алексей Лукацкий комментирует...

Мне не нравится то, что приходится сертифицировать КАЖДЫЙ экземпляр, а не НАИМЕНОВАНИЕ, как во всем мире.

Alexey Volkov комментирует...

> Мне не нравится то, что приходится сертифицировать КАЖДЫЙ экземпляр, а не НАИМЕНОВАНИЕ, как во всем мире.

Поддерживаю. Получается, что на каждом предприятии, где используются СЗИ, должен быть 1 отдел, в котором должны быть представители, аффилированные ФСТЭК и ФСБ, с пачкой голограмм.

Мне еще не нравятся "сертифицированные обновления". И еще мне не нравится, что в предлагаемом подходе использовать несертифицированные средства будет нельзя, а обязаность сертификации лежит на потребителе. Это все равно, что покупать в РФ алкоголь без акцизных марок, и нести пузырь на "растаможку". Такого же не происходит. И с "серыми поставками" электроники у нас борются. Если уж говорить о "тотальной" сертификации, почему нельзя повесить обязанность сертификации всех СЗИ, продаваемых на территории РФ, на продавцов и производителей, как это сделано, например, с мобильными телефонами?

Сергей Борисов комментирует...

Вообще говоря - покупать средства защиты напрямую у производителя это всё-таки редкость. Так что в основном головная боль по поводу "нести на растаможку" возникает у продавца - дистрибьютора или интегратора.

С экземплярами СЗИ напряженность потихоньку спадает - уже большинство вендоров проводит сертификацию производства или большой партии.

А вот проблема с пере-сертификацией при смене версии СЗИ или при небольших обновлениях действительно существует.
Хотелось бы чтобы сертификация обновлений проходила по ускоренной программе. Например, с участием испытательной лаборатории, но без участия ФСТЭК.

exp001 комментирует...

Я вот не понимаю как можног оворить о сертификации, если на данный момент фактически даже нет требований к СЗИ ИСПДн. Есть только требования к ИСПДн (пп781) и методы и способы(приказ 58), но конкретных требований к именно СЗИ в ИСПДн нет.
На данный момент производители СЗИ проводят сертификацию по требованиям к классам защищенности АС, но ведь по сути это требования совсем не к ИСПДн.
На данный момент приказ 58 регламентирует высталвлять требования к конкретной ИСПДн на основании модели угроз. Для каждой ИСПДн требования будут разные, о какой сертификации может идти речь вообще.
Но, к слову, ходят слухи о том, что воронежский институт разрабатывает техрегламент оценки соответствия средств защиты персональных данных. Ну штож, подождем, а пока все это демагогия )).

Alexey Volkov комментирует...

>Ну штож, подождем, а пока все это демагогия )).

И с этим трудно не согласиться. Давайте решать проблемы по мере их поступления.

Анна комментирует...

Я согласна с Алексеем Т., хочется ясности. Но чем больше я вникаю в вопрос защиты ПДн, тем больше понимаю, что ясности не будет...

exp001, да, требования к СЗИ только более-менее понятны в отношении МЭ. И для К1 четко прописано, что необходим контроль на отсутствие НДВ по 4-му уровню. С остальными СЗИ все туманно.

Я вот, например, недавно столкнулась с проблемой, что механизмы разграничения доступа средствами ОС (в частности винды) для ИСПДн К1 использовать нельзя. Ввиду отсутствия этого самого сертификата на отсутствие НДВ по 4-му уровню. Получается, что для всех АРМ необходимо приобретать, например SecretNet, если по модели угроз необходимо разграничение доступа.

Может кто-нибудь обрадует меня и скажет, что я что-то путаю и есть другие пути решения? По-дешевле.

Алексей Лукацкий комментирует...

exp001: А отдельных требований к СЗИ ИСПДн и быть не может - они же ничем от АС не отличаются. А техрегламента по ИБ не будет - вместо этого будет положение, которое в посте и описано.

Анна: Классифицируйте как спец.ИСПДн, уберите из модели угроз разработчика ПО и уйдете от НДВ.

Алексей Т. комментирует...

2 А. Лукацкий и Анна "Классифицируйте как спец.ИСПДн, уберите из модели угроз разработчика ПО и уйдете от НДВ".

По Вашему всё так просто, Алексей? Не ожидал от Вас такого волюнтаризма. :-) Во-первых откуда в модели угроз разработчик? Как источник угрозы? Во-вторых не только разработчик может закладывать НДВ. И каким образом Вы предлагаете убрать Разработчика? Обоснование в студию!

Анна комментирует...

Я пока все-таки не рискую классифицировать ИСПДн просто как специальную. Классифицирую по аналогии с типовой. Конечно, вопрос очень спорный. Однако, позиция регуляторов (по крайней мере в нашем крае) пока такая.

По поводу уйти от НДВ. Тут не в разработчике дело и даже не в модели угроз. В 58м четко сказано:
"Для информационных систем 1 класса применяется программное обеспечение средств защиты информации, соответствующее 4 уровню контроля отсутствия недекларированных возможностей".
Я так понимаю, если СЗИ применяются для нейтрализации актуальных угроз, то они должны иметь соответствующий сертификат.

Алексей Лукацкий комментирует...

Алексею Т.: Нормальная модель должна учитывать не только саму угрозу и канал ее реализации, но и ее источник.

А убрать разработчика мне позволяет ФСТЭК с ее экспертным подходом ;-) Я как эксперт считаю, что НДВ - угроза неактуальная, а разработчику я доверяю. Вот и все. Именно так ЦБ убрал ПЭМИН из своей модели.

Алексей Лукацкий комментирует...

Анна: Во-первых, у вас типовых систем нет по ЗАКОНУ. Все специальные. По приказу трех для классификации спецсистем должен был быть разработан новый методический документ. И он также должен быть подписан тремя регуляторами. Этого нет. А без этого, это все слова про классияикацию спецсистем как типовых. Я знаю, как минимум, три "официальных" документа, описывающих классификацию спецсистем. И все они разные ;-) И какой использовать?

Алексей Т. комментирует...

2 Алексей Лукацкий: Вы как Владимир Владимирович, Алексей, отвечаете не на те вопросы, что Вам задают :-)

"А убрать разработчика мне позволяет ФСТЭК с ее экспертным подходом ;-) Я как эксперт считаю, что НДВ - угроза неактуальная, а разработчику я доверяю. Вот и все. Именно так ЦБ убрал ПЭМИН из своей модели."

ПЭМИН из моделей убирают ВСЕ экспертным методом, это к обсуждению не относится. Если Вы, как эксперт, доверяете ВСЕМ разработчикам и убираете угрозу НДВ, то что про Вас подумают люди как об эксперте? ;-)

Алексей Лукацкий комментирует...

Ничего плохого не подумают ;-) Ибо если вы, как эксперт, докажете мне реальность угрозы закладки для СЗИ, обрабатывающей ПДн, то я буду вам благодарен. Я, к счастью, за 18 лет работы не сталкивался с практическими примерами реализации этой угрозы. И мой экспертный опыт подсказывает, что не столкнусь. Ибо ПДн не стоят затрат на внедрение закладки в ПО.

Alexey Volkov комментирует...

> Ибо ПДн не стоят затрат на внедрение закладки в ПО.

signed and agreed :)