13.1.20

Является ли ГОСТ по ИБ обязательным к применению?

Обновляя курс по законодательству ИБ, который я читал в декабре прошлого года, я существенно обновил некоторые разделы и один из них касается вопросов национальной стандартизации, а точнее одного вопроса - может ли ГОСТ быть обязательным? Учитывая, что Банк России активно помещает свои требования по ИБ в ГОСТы и планы по развитию ГОСТов достаточно агрессивные, то стоит понимать, каков статус у этого документа и насколько он является обязательным для финансовых организаций. Картина получается следующей.


В 2015-м году был принят закон "О стандартизации в Российской Федерации", 6-я статья которого так и называется "Стандартизация в отношении оборонной продукции (товаров, работ, услуг) по государственному оборонному заказу, продукции, используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа, продукции, сведения о которой составляют государственную тайну, продукции, для которой устанавливаются требования, связанные с обеспечением безопасности в области использования атомной энергии, а также в отношении процессов и иных объектов стандартизации, связанных с такой продукцией". Согласно этой статье порядок стандартизации вопросов ИБ устанавливается только Правительством РФ.


Правительство в стороне не осталось и спустя полтора года с момента принятия ФЗ-162 выпустило свое Постановление под номером 1567 (оно отменило ранее действующее ПП-822 на ту же тему), которое утвердило два положения:
  • о стандартизации в отношении оборонной продукции (товаров, работ, услуг) по государственному оборонному заказу, а также процессов и иных объектов стандартизации, связанных с такой продукцией
  • о стандартизации в отношении продукции, используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа, продукции, сведения о которой составляют государственную тайну, а также процессов и иных объектов стандартизации, связанных с такой продукцией.
"Нашу" тему затрагивает второе положение. Оно очень короткое - в нем всего 10 пунктов (по сравнению с полусотней в положении о стандартизации оборонной продукции".


Согласно нему стандартизацией ИБ у нас занимаются ФСТЭК, ФСБ, МинОбороны и СВР, а утверждает разработанные ими стандарты Росстандарт. ЦБ в списке нет.


Предметом стандартизации этих ГОСТов (в том числе и ограниченного распространения) является продукция и связанные с ней процессы. Предметом регулирования ГОСТ 57580.1 является не продукция и не процессы, а уровни и требования.


Отсюда возникает закономерный вопрос - на каком основании ГОСТ Р 57580.1 считается обязательным? В самом стандарте написано, что область его применения устанавливается в нормативных актах Банка России путем включения в них ссылки на ГОСТ, что разрешено 27-й статьей закона "О стандартизации в Российской Федерации". Ни слова про то, что ГОСТ в этом случае является обязательным. Так является ли он таковым?


Стоит обратиться к другим нормативным правовым актам. В частности к Положению Банка России от 22.09.2017 №602-П "О правилах подготовки нормативных актов Банка России", в котором перечисляются нормативные и ненормативные акты Банка России:


Национальных стандартов в их числе нет. При этом любые обязательные нормативные и нормативные правовые акты, включая и документы ЦБ, которые устанавливают обязательные требования к своим "подопечным" должны быть официально зарегистрированы в МинЮсте. Это вытекает из 1009-го Постановления Правительства.


Разумеется, не все нормативные акты ЦБ подлежат регистрации. Но согласно 602-П список нерегистрируемых документов четко определен и ГОСТы к их числу не относятся.


Согласно же разъяснениям МинЮста, утвержденным приказом от 04.05.2007 №88, национальные стандарты можно не регистрировать, но только если они не содержат нормативных предписаний. Поэтому получается, что если рассматривать ГОСТ 57580.1 как содержащий такие предписания, то он должен быть зарегистрирован МинЮстом, а это условие выполнено не было и, как следствие, применению этот ГОСТ не подлежит. Если же рассматривать ГОСТ просто как сборник рекомендаций, то тогда все нормально - это руководство к действию, но не более. Обязать его исполнять и тем более наказывать за его неисполнение нельзя.


Ну и еще. Вспоминая законы "О Центральном банке" и "О Национальной платежной системе", Банк России имеет право устанавливать обязательные требования по защите информации, но только по согласованию с ФСБ и ФСТЭК. Согласно уже упомянутому Положению Банка России 602-П, нормативный правовой акт считается совместно изданным, если он подписан/утвержден руководителями соответствующих ФОИВ, то есть в нашем случае с ФСТЭК и ФСБ.  Те же 382-П, 683-П, 684-П были согласованы с указанными регуляторами по ИБ. И соответствующий гриф согласования должен быть на совместно принятом нормативном правовом акте. А вот ГОСТ 57580.1 это требования снова нарушает - никаких согласующих грифов на нем нет.


Не буду делать финальных выводов по обязательности принятого Банком России ГОСТа для финансовых организаций. Это пусть банковские юристы об этом думают. Но на мой взгляд, обязательными ГОСТы бывают только в случае их разработки Министерством Обороны, Федеральной службой безопасности, Службой внешней разведки и Федеральной службой по техническому и экспортному контролю. В остальных случаях увы...

14 коммент.:

Александр Германович комментирует...

Суха теория...
На практике любой гос. орган считает любую выпущенную им бумажку подлежащей неукоснительному выполнению.
Несогласные могут, конечно, обращаться в суд, хе-хе.

Zuz комментирует...

Спасибо за ликбез, интересно.

Разделяю точку зрения, что сам по себе ГОСТ не является обязательным, КМК, он вводится через другие обязательные документы ЦБ (положения). Поэтому всё равно его необходимо выполнять для случаев, где это установлено (будет фиксироваться нарушение положения, со ссылкой на ГОСТ).

Алексей Лукацкий комментирует...

Александр: да, увы

Zuz: да, мы в телеге сейчас с Димой Кузнецовым это обсуждаем. Но там есть нюансы, связанные с тем, насколько я обязан выполнять весь ГОСТ или отдельные его положения, насколько вообще при принятии ГОСТа соблюдалась процедура самого же ЦБ и насколько правильно, что ЦБ меняет устную позицию относительно положений ГОСТа при неизменности самого ГОСТа

9d712a6c071b4a13 комментирует...

Ох, этот пост очень провокативный, если не сказать вредный. Регулятор легко отрегулирует тех, кто попытается регулировать регулятора. Я не про Вас, конечно, а про среднего банковского безопасника. Будет как-то так:

-- Товарищ Поднадзорный, стандарт нарушаете, с вас 100к штрафа.
-- Так у вас стандарт принят с нарушениями и вообще...
-- С вас 500к штрафа!

А что до устной позиции -- слишком ненадёжно.

Zuz комментирует...


Алексей Лукацкий:
1. Нюансы есть, есть разные области действия у положений, соответственно скоуп у ГОСТа ограничен, только частью процессов. Это я, думаю, всем очевидно.
2. Про устную позицию уточните, не перечитал ваши посты, не нашёл, что имеется в виду.

Алексей Лукацкий комментирует...

Zuz: про сертификацию средств защиты. Еще в сентябре они говорили, что можно без сертификата обойтись. А в декабрьских ответах - что сертификат нужен.

Zuz комментирует...

Алексей Лукацкий:
Да, есть не очень понятные пояснения от ЦБ, что к примеру СЗИ от ВВК это то что имеет сертификат соответствия на СЗИ, причём ФСТЭК. Но это не следствие самого ГОСТ. Я не вижу тут связи с ГОСТ.
Есть раздел 8.3. там есть требования по использованию СЗИ прошедших оценку соответствия (далее уже плавно перетекающую в классы защиты, что старанно, т.к. оценка соответствия может проводится и в ином порядке). Но это не означает, что СЗИ от ВВК это только то, что имеет сертификат ФСТЭК, как указано в ответе ЦБ на вопрос тут: https://lukatsky.blogspot.com/2019/12/575801.html

Алексей Лукацкий комментирует...

Ну больше нигде про сертификацию средств защиты ЦБ не пишет. Поэтому это следствие ГОСТа. А вот то, что СЗИ от ВВК - это не только антивирус, это очевидно, но ЦБ почему-то сузил это определение.

Zuz комментирует...

Алексей Лукацкий:
Не совсем, если говорить не про СКЗИ, есть в 382-П ещё, но там даже прямо разрешено СЗИ от НСД иностранного производства использовать (хотя это не означает, что они не должны иметь оценки соответствия) и нет явного требования для всех СЗИ проводить такую оценку.
Я не вижу связи с ГОСТ почему СЗИ от ВВК вдруг только, то что имеет сертификат ФСТЭК. А то, что имеет сертификат ФСБ не СЗИ от ВВК уже? :)
Сужение определения вообще не ясно и дальше требование сертификатов для всего прочего (ещё были вопросы по файрволам) тоже не понятно.

Алексей Лукацкий комментирует...

А просто вопрос был про вредоносный код только. Отсюда и ответ ДИБа

Unknown комментирует...

672-П устанавливает обязательное выполнение требований ГОСТ для клиентов платежной системы Банка России

Unknown комментирует...

И 672-П в Минюсте зарегистрировано.

Алексей Лукацкий комментирует...

Не требование ГОСТа, а достижение определенного уровня по ГОСТу. А меры защиты я выбираю самостоятельно :-)

Zuz комментирует...

Алексей Лукацкий:
Практика показала, что даже уровень 0,85+ по 382-П всё равно приводит к тому, что нарушения пишут в акт. Никто потом не разбирается достигнут там рекомендуемый уровень или нет. Так работает сейчас система. Но сама идея правильная, как достигнут уровень соответствия дело банков, о чём ранее неоднократно заявлялось.