А вот и вторая заметка про оценку соответствия, но уже более приземленная, чем вчерашние рассуждения. Т.к. у нас продолжает активно меняться нормативная база ФСТЭК для разных видов защищаемой информации/информационных систем, то регулярно всплывает вопрос о необходимости применения сертифицированных средств защиты информации. Решил свести все воедино (по состоянию на момент написания заметки).
Итак, у нас есть 3 основных документа ФСТЭК, которые будут определять развитие ИБ в ближайшие годы, - ПДн (21-й приказ), ГИС/МИС (17-й приказ) и АСУ ТП (проект приказа). С приказом по государственным и муниципальным информационным системам все понятно. Средства защиты оцениваются только в форме обязательной сертификации, объект информатизации (читай ГИС с помещениями) только в форме аттестации; проверяющими являются сотрудники ФСТЭК. Все четко и понятно и вопросов, по идее, быть не должно.
С АСУ ТП ситуация и проще и сложнее. Проще тем, что регулятор прекрасно понимает, что сертифицированных СЗИ для АСУ ТП нет (точнее есть всего 3 индустриальных межсетевых экрана, имеющих сертификаты ФСТЭК), а задачу ИБ решать как-то надо. Поэтому в проекте приказа по АСУ ТП явно написано о возможности оператором/владельцем АСУ ТП самостоятельного выбора способа оценки соответствия согласно ФЗ-184. Хотите сертификацию? Пожалуйста. Хотите оценку средства защиты в форме ввода в эксплуатацию? Тоже можно. С оценкой соответствия самой АСУ ТП требованиям по безопасности тоже просто - на выбор владельца АСУ ТП. Хотите аттестацию только по требованиям ИБ, а хотите, проводите оценку в рамках общих приемочных испытаний АСУ ТП (достаточно жестких). Открытым пока остается вопрос по контролю и надзору за выполнением требований - по каким-то вопросам это будет ФСБ, а по каким-то выбираемый сейчас федеральный орган исполнительной власти, ответственный за безопасности критических информационных инфраструктур.
Самой непростой продолжает оставаться тема с персональными данными. В 21-м приказе нет такой явной формулировки, как в проекте приказа по АСУ ТП. Но нет и такой, как и в 17-м приказе. Отсюда каждый делает свой вывод - одни, что сертификация обязательна, другие - что не очень. Я придерживаюсь второй позиции. Оценка соответствия средств защиты ПДн должна быть обязательной, но форму оператор ПДн (если он не госорган) выбирает самостоятельно. Это вытекает из здравого смысла, текущих формулировок нормативных актов и практики. С оценкой соответствия ИСПДн ситуация чуть проще. В разъяснении ФСТЭК по факту выхода 17/21-го приказов было четко написано, что коммерческий оператор ПДн форму оценки эффективности принимаемых мер определяет самостоятельно, а для госорганов это может быть только аттестация.
Но, допустим, оператор ПДн решит следовать здравому смыслу и выберет сам форму оценки соответствия. И будет это не сертификация. Что произойдет, если к нему придет проверка?... Этот вопрос мне задают постоянно :-) Хотелось бы обратить внимание на то, что по закону (ст.19) ни ФСТЭК, ни ФСБ не уполномочены проводить проверки операторов ПДн, не являющихся государственными и муниципальными учреждениями. И Роскомнадзор также не имеет таких полномочий. Проверять-то коммерческих операторов он может, а вот лезть в тематику технической защиты ПДн (в ст.19) и интересоваться сертификатами на СЗИ (и уж тем более наказывать за их отсутствие) он не имеет права. Но мне можно возразить, что проверяет же... Да, бывает. Но тут уж я ничего поделать не могу. Если оператор ПДн не знает своих прав и полномочий проверяющих, если он не готов отстаивать свою правоту и готов не задумываясь "лечь" под РКН, то кто ж тут может помочь?
Никто не совершенен (в регионах представители РКН сами не всегда знают пределов своих полномочий) и каждый сам оценивает свои риски и принимает стратегии по управлению ими. Кто-то готов отстаивать свою позицию на самостоятельность выбора формы оценки соответствия, кто-то не готов. Кто-то хочет сэкономить, кто-то будет переплачивать за бумажку, которая прекратит свое действие при первом же обновлении. Кстати, незнание Роскомнадзором особенностей действия сертификатов ФСТЭК/ФСБ на средства защиты при их обновлении играет на руку потребителю - сертификат хоть и не действует, но как бы есть :-)
Вот такие краткие итоги текущей ситуации по сертификации средств защиты информации.
Итак, у нас есть 3 основных документа ФСТЭК, которые будут определять развитие ИБ в ближайшие годы, - ПДн (21-й приказ), ГИС/МИС (17-й приказ) и АСУ ТП (проект приказа). С приказом по государственным и муниципальным информационным системам все понятно. Средства защиты оцениваются только в форме обязательной сертификации, объект информатизации (читай ГИС с помещениями) только в форме аттестации; проверяющими являются сотрудники ФСТЭК. Все четко и понятно и вопросов, по идее, быть не должно.
С АСУ ТП ситуация и проще и сложнее. Проще тем, что регулятор прекрасно понимает, что сертифицированных СЗИ для АСУ ТП нет (точнее есть всего 3 индустриальных межсетевых экрана, имеющих сертификаты ФСТЭК), а задачу ИБ решать как-то надо. Поэтому в проекте приказа по АСУ ТП явно написано о возможности оператором/владельцем АСУ ТП самостоятельного выбора способа оценки соответствия согласно ФЗ-184. Хотите сертификацию? Пожалуйста. Хотите оценку средства защиты в форме ввода в эксплуатацию? Тоже можно. С оценкой соответствия самой АСУ ТП требованиям по безопасности тоже просто - на выбор владельца АСУ ТП. Хотите аттестацию только по требованиям ИБ, а хотите, проводите оценку в рамках общих приемочных испытаний АСУ ТП (достаточно жестких). Открытым пока остается вопрос по контролю и надзору за выполнением требований - по каким-то вопросам это будет ФСБ, а по каким-то выбираемый сейчас федеральный орган исполнительной власти, ответственный за безопасности критических информационных инфраструктур.
Самой непростой продолжает оставаться тема с персональными данными. В 21-м приказе нет такой явной формулировки, как в проекте приказа по АСУ ТП. Но нет и такой, как и в 17-м приказе. Отсюда каждый делает свой вывод - одни, что сертификация обязательна, другие - что не очень. Я придерживаюсь второй позиции. Оценка соответствия средств защиты ПДн должна быть обязательной, но форму оператор ПДн (если он не госорган) выбирает самостоятельно. Это вытекает из здравого смысла, текущих формулировок нормативных актов и практики. С оценкой соответствия ИСПДн ситуация чуть проще. В разъяснении ФСТЭК по факту выхода 17/21-го приказов было четко написано, что коммерческий оператор ПДн форму оценки эффективности принимаемых мер определяет самостоятельно, а для госорганов это может быть только аттестация.
Но, допустим, оператор ПДн решит следовать здравому смыслу и выберет сам форму оценки соответствия. И будет это не сертификация. Что произойдет, если к нему придет проверка?... Этот вопрос мне задают постоянно :-) Хотелось бы обратить внимание на то, что по закону (ст.19) ни ФСТЭК, ни ФСБ не уполномочены проводить проверки операторов ПДн, не являющихся государственными и муниципальными учреждениями. И Роскомнадзор также не имеет таких полномочий. Проверять-то коммерческих операторов он может, а вот лезть в тематику технической защиты ПДн (в ст.19) и интересоваться сертификатами на СЗИ (и уж тем более наказывать за их отсутствие) он не имеет права. Но мне можно возразить, что проверяет же... Да, бывает. Но тут уж я ничего поделать не могу. Если оператор ПДн не знает своих прав и полномочий проверяющих, если он не готов отстаивать свою правоту и готов не задумываясь "лечь" под РКН, то кто ж тут может помочь?
Никто не совершенен (в регионах представители РКН сами не всегда знают пределов своих полномочий) и каждый сам оценивает свои риски и принимает стратегии по управлению ими. Кто-то готов отстаивать свою позицию на самостоятельность выбора формы оценки соответствия, кто-то не готов. Кто-то хочет сэкономить, кто-то будет переплачивать за бумажку, которая прекратит свое действие при первом же обновлении. Кстати, незнание Роскомнадзором особенностей действия сертификатов ФСТЭК/ФСБ на средства защиты при их обновлении играет на руку потребителю - сертификат хоть и не действует, но как бы есть :-)
Вот такие краткие итоги текущей ситуации по сертификации средств защиты информации.
Вопросы.
ОтветитьУдалить1. Обязательно использовать СКЗИ при защите ПДн при передаче по каналам связи, выходящим за пределы КЗ?
2. Где это написано? Или необходимо во всех случаях строить модель угроз безопасности ПДн для ответа на этот вопрос?
3. Если СКЗИ использовать обязательно, имеется требование об обязательной оценке соответствия (ст. 19) и форма оценки соответствия для СКЗИ единственная в РФ (+ ПП РФ № 330), то ответ во всех случаях - использовать сертифицированные СКЗИ?
4. А если не СКЗИ, то как защищать ПДн в канале связи в соответствии с ЗИС.3 (приказ № 21)? VPN MPLS, выделенные каналы связи, кабели под давлением, ...?
напомнило одну известную песню:
ОтветитьУдалитьМы продолжаем простые движения.
Мы продолжаем простые движения.
Не задавай эти вопросы.
Просто давай, двигайся просто.
>В 21-м приказе нет такой явной формулировки, как в проекте приказа по АСУ ТП. Но нет и такой, как и в 17-м приказе. Отсюда каждый делает свой вывод - одни, что сертификация обязательна, другие - что не очень. Я придерживаюсь второй позиции.
ОтветитьУдалитьНу дак письмо ж написать с вопросом можно...
Вообще оператора и аттестат интересовать не должен, а к кому не придешь защищать ПДн, все в один голос кричат нужен аттестат. Еще и на стенку повесить можно, спрашивают. А насчет проверок по ПДн, по технической части, есть еще ряд коммерческих организаций, аккредитованных РКН как экспертными, так что техническую часть и без ФСБ/ФСТЭК проверить можно, при желании.
ОтветитьУдалитьЮрий,
ОтветитьУдалитьвообще-то в п. 67 Административного регламента РКН по проверкам персданных четко сказано, что они проверяют.
Никакой речи о проверке технической составляющей защиты ПДн там нет. Да и не могли они это в регламенте указать, т.к. ст. 23 ФЗ-152 говорит о том, что РКН - уполномоченный орган по вопросам обработки, а не защиты ПДн.
Проверить при желании можно, если оператор о своих правах не в курсе =)
Target: 1. По мнению ФСБ да.
ОтветитьУдалить2. Нигде :-)
3. Форма оценки СКЗИ единственная у ФСБ, но не в РФ.
4. Да, а также обезличивание
-)гоист: согласен на 100%
ОтветитьУдалить