16.9.20

Про обязательную сертификацию для всех без исключения значимых объектов КИИ

Позавчера был опубликован принятый ФСТЭК еще в феврале приказ (видимо, на передержке держали) о внесении изменений в 239-й приказ с требованиями по обеспечению безопасности значимых объектов КИИ. Этим приказом регулятор, качество документов которого в последнее время скатилось ниже плинтуса, в очередной раз подтвердил, что думать о потребителях, то есть читателях своей нормативки, он не хочет и ему, в целом, наплевать на то, как будут выполняться новые требования. А требования достаточно примечательные.

Одно из них - расширение запрета на использование элементов значимого объекта КИИ не только 1-й, но уже и 2-й категорией. Прощай Zoom, облака и сервера обновлений, расположенные за пределами Российской Федерации. Ну да и ладно. Зачем значимым объектам КИИ обновление? Не нужно оно. Хотя допускаю, что регулятор не рассматривает сервера обновлений как угрозу для ОКИИ и не включает их в контур контроля. Ну тем лучше.

Гораздо большие последствия будет иметь другое изменение, а именно, новые правила оценки соответствия средств защиты значимых объектов. Напомню, что в прежней редакции средства защиты должны были пройти оценку соответствия в одной из трех форм - испытания, приемки или обязательной сертификации. Так как достаточного количества сертифицированных изделий в России просто нет (особенно для промышленных площадок), то многие субъекты КИИ планировали воспользоваться оставшимися двумя формами оценки соответствия, которые никак не регламентировались ФСТЭК. И вот сюрприз. Теперь при выборе формы оценки соответствия в виде испытаний или приемки, средства защиты (исключая встроенные в общесистемное и прикладное ПО) в обязательном порядке должны дополнительно еще проходить проверку на 6-й уровень доверия согласно 131-му приказу ФСТЭК. И вот тут начинается самое интересное.

Испытания, согласно новой редакции 239-го приказа, могут проводиться самостоятельно или с привлечением внешних лиц. Вроде бы логично с целью экономии провести такие испытания, включая  оценку доверия, самостоятельно. Но на этом пути нас ждет одна небольшая засада. Требования, устанавливающие уровни доверия, утвержденные 131-м приказом ФСТЭК, являются ДСПшными. ФСТЭК, правда, выложила у себя на сайте выписку из них, но документ этот неполон. Кроме того, он ссылается на совсем уж ДСПшную методику ФСТЭК по выявлению уязвимостей и недекларированных возможностей, без которых провести оценку соответствия на 6-й уровень доверия невозможно.

Можно ли получить данную методику и требования по доверию посторонним лицам? Согласно требованиям ФСТЭК, они "предназначены для организаций, осуществляющих в соответствии с законодательством Российской Федерации работы по созданию средств, заявителей на осуществление сертификации, а также для испытательных лабораторий и органов по сертификации, выполняющих работы по сертификации средств на соответствие обязательным требованиям по безопасности информации". Учитывая курс ФСТЭК на засекречивание всего и вся, боюсь, что обычный субъект КИИ, владеющий значимыми объектами КИИ, получить их не сможет. И даже если у него есть лицензия ФСТЭК на ТЗКИ или разработку СрЗИ, тоже. А откуда у районной поликлиники или транспортной компании такая лицензия? Вот и получается, что своими силами провести такую оценку будет очень проблематично. Я уже не говорю, про отсутствие у субъектов КИИ специалистов, способных провести такой анализ. Да и вообще, эти требования в принципе не способен выполнить субъект КИИ, как бы он не хотел, так как они рассчитаны либо на разработчиков средств защиты, имеющих весь пакет документации и исходных кодов на свою продукцию, либо на лиц, которым они доверили ее анализ. Субъекты КИИ, до свидания!.. 


Но может тогда внешние лица смогут провести такую оценку? Смогут. Это могут быть, как написано выше, разработчики средств защиты (если они отечественные), заявители на сертификацию (обычно, если средство защиты иностранное), испытательные лаборатории и органы по сертификации. Немного зная, как строится работа в таких организациях, могу предположить, что оценивать уровни доверия средств защиты без выдачи сертификата или иного документа, "равного" ему по своему уровню, они не будут. То есть, по сути, сертификация, пусть и не функциональная, а по уровням доверия, но становится обязательной для любого средства защиты значимого объекта КИИ.

А вот дальше я вновь возвращаюсь к первому абзацу этой заметки. Есть у меня подозрения, что регулятор сам-то не читал свой приказ, а если читал, то не пытался хотя бы на минутку поставить себя на место субъекта КИИ и попробовать выполнить те изменения, которые были внесены. Если бы попытался, то у него бы возникли следующие вопросы (у меня они возникли сразу, а я даже не субъект КИИ). Требования по оценке по уровням доверия вступает в силу с 1-го января 2023 года, но... 

  • Значит ли, что уже сейчас нельзя устанавливать на ЗОКИИ средства защиты, прошедшие оценку соответствия в форме испытаний или приемки, но без уровней доверия? Или запрет вступает в силу именно в 2023-м году? 
  • Если я сейчас внедрю (или они уже внедрены) такие средства защиты, то 2-го января 2023-го года мне надо от них отказываться или все-таки закон не имеет обратной силы?
  • Если закон обратной силы не имеет, то можно ли мне после 1-го января 2023-го года обновлять средства защиты или это уже будет считаться модернизацией ЗОКИИ, а значит, как написано в приказе, надо будет уже проводить оценку по 6-му уровню доверия?
  • А если сейчас идет проектирование системы и в ТЗ таких требований не было, то что делать? Будет ли отсрочка?
  • Если у меня инвестпрограмма рассчитана на 3 года и в нее уже внесены средства защиты без оценки по 6-му уровню доверия, то что делать в таком случае? Бюджет уже заложен и часто это бюджет государственный.
  • Закупка обновлений средств защиты без 6-го уровня доверия не будет ли рассматриваться для госкомпаний или госорганов, как нецелевое расходование средств со всеми вытекающими последствиями? 
  • Как будет трактоваться отсутствие 6-го уровня доверия при проведении проверок ФСТЭК (если средство защиты было внедрено до 1-го января 2023-го года)? 
Вопросы, конечно, риторические. Авторы приказа явно не думали о них, когда готовили свой документ. Даже информационного сообщения никакого на сайте не опубликовали с разъяснениями. Видимо, не досуг.

Кстати, еще пример, как ФСТЭК подходит к своим документам. 12-го августа регулятор утвердил список документов, необходимых лицензиатам для выполнения работ по ТЗКИ, включая и тематику КИИ. В этом перечне присутствуют и 17-й, и 21-й приказы, и методичка по защитным мерам, и даже ДСПшная методика моделирования угроз ПДн 2008-го года, на смену которой скоро придет новая методика моделирования угроз ФСТЭК. Чего в этом перечне нет, так это 235-го и 239-го приказов по КИИ. То есть строить защиту субъектам КИИ лицензиат может, а вот документы, устанавливающие требования к этой защите, лицензиату иметь необязательно. В - Внимательность...

8 коммент.:

Ryi комментирует...

1 момент. Маленькая, но гордая областная поликлиника может написать, что использует встроенное в общесистемное ПО СЗИ, в случае если сможет обосновать термин "встроенное". Ну да антивирус clamav, ну да встроенный. Ну да сами встроили и провели испытания. Даже бюджет РФ не пострадал, покупать "внешнее" СЗИ не пришлось. Покажите определение термина "встроенное" и "не встроенное" применительно к КИИ.

2 момент, который насторожил это требования проведение анализа исходного кода -Прикладного ПО-. Это требования вообще для кого? Ладно была бы фраза "в случае самостоятельной разработки", но там такого нет. Субъекту требовать исходники приобретаемого ПО и анализировать?

Ratraco Solutions комментирует...
Этот комментарий был удален администратором блога.
Алексей Лукацкий комментирует...

1. Может, но это риски и неопределенность, так как проверяющие из ФСТЭК, особенно на местах, будут следовать букве хакона, как они ее понимают. А они не понимают, что значит средство защиты несертифицированное

2. Это отдельняя песня - я даже комментировать не стал. Там все печально

Unknown комментирует...

А что может являться значимым объектом КИИ в ОМСУ?
Мы например в отчетах всегда пишем, что у нас этого нет.

sergsmmile комментирует...
Этот комментарий был удален автором.
Александр Германович комментирует...

Регулятор ведь не всё сам придумывает: есть генеральная линия Партии, которой он обязан следовать.

А если кто-то при разработке инвестпрограммы не учел ежедневное изменение российского законодательства, значит, ему нечего делать на российском рынке, хе-хе. Прогнозирование и анализ рисков никто не отменял.

Packers And Movers Mumbai комментирует...
Этот комментарий был удален администратором блога.
Target комментирует...

Алексей, не рассмотрено другое критическое для субъектов КИИ нововведение – запрет на техническую поддержку со стороны третьих лиц (если это не дочерняя компания). Исключение делают только если нет «технической» возможности исключить доступ. Есть понимание что означает нет «технической» возможности исключить доступ? Как это обосновать для регулятора?