Позавчера был опубликован принятый ФСТЭК еще в феврале приказ (видимо, на передержке держали) о внесении изменений в 239-й приказ с требованиями по обеспечению безопасности значимых объектов КИИ. Этим приказом регулятор, качество документов которого в последнее время скатилось ниже плинтуса, в очередной раз подтвердил, что думать о потребителях, то есть читателях своей нормативки, он не хочет и ему, в целом, наплевать на то, как будут выполняться новые требования. А требования достаточно примечательные.
Одно из них - расширение запрета на использование элементов значимого объекта КИИ не только 1-й, но уже и 2-й категорией. Прощай Zoom, облака и сервера обновлений, расположенные за пределами Российской Федерации. Ну да и ладно. Зачем значимым объектам КИИ обновление? Не нужно оно. Хотя допускаю, что регулятор не рассматривает сервера обновлений как угрозу для ОКИИ и не включает их в контур контроля. Ну тем лучше.
Гораздо большие последствия будет иметь другое изменение, а именно, новые правила оценки соответствия средств защиты значимых объектов. Напомню, что в прежней редакции средства защиты должны были пройти оценку соответствия в одной из трех форм - испытания, приемки или обязательной сертификации. Так как достаточного количества сертифицированных изделий в России просто нет (особенно для промышленных площадок), то многие субъекты КИИ планировали воспользоваться оставшимися двумя формами оценки соответствия, которые никак не регламентировались ФСТЭК. И вот сюрприз. Теперь при выборе формы оценки соответствия в виде испытаний или приемки, средства защиты (исключая встроенные в общесистемное и прикладное ПО) в обязательном порядке должны дополнительно еще проходить проверку на 6-й уровень доверия согласно 131-му приказу ФСТЭК. И вот тут начинается самое интересное.
Испытания, согласно новой редакции 239-го приказа, могут проводиться самостоятельно или с привлечением внешних лиц. Вроде бы логично с целью экономии провести такие испытания, включая оценку доверия, самостоятельно. Но на этом пути нас ждет одна небольшая засада. Требования, устанавливающие уровни доверия, утвержденные 131-м приказом ФСТЭК, являются ДСПшными. ФСТЭК, правда, выложила у себя на сайте выписку из них, но документ этот неполон. Кроме того, он ссылается на совсем уж ДСПшную методику ФСТЭК по выявлению уязвимостей и недекларированных возможностей, без которых провести оценку соответствия на 6-й уровень доверия невозможно.
Можно ли получить данную методику и требования по доверию посторонним лицам? Согласно требованиям ФСТЭК, они "предназначены для организаций, осуществляющих в соответствии с законодательством Российской Федерации работы по созданию средств, заявителей на осуществление сертификации, а также для испытательных лабораторий и органов по сертификации, выполняющих работы по сертификации средств на соответствие обязательным требованиям по безопасности информации". Учитывая курс ФСТЭК на засекречивание всего и вся, боюсь, что обычный субъект КИИ, владеющий значимыми объектами КИИ, получить их не сможет. И даже если у него есть лицензия ФСТЭК на ТЗКИ или разработку СрЗИ, тоже. А откуда у районной поликлиники или транспортной компании такая лицензия? Вот и получается, что своими силами провести такую оценку будет очень проблематично. Я уже не говорю, про отсутствие у субъектов КИИ специалистов, способных провести такой анализ. Да и вообще, эти требования в принципе не способен выполнить субъект КИИ, как бы он не хотел, так как они рассчитаны либо на разработчиков средств защиты, имеющих весь пакет документации и исходных кодов на свою продукцию, либо на лиц, которым они доверили ее анализ. Субъекты КИИ, до свидания!..
А вот дальше я вновь возвращаюсь к первому абзацу этой заметки. Есть у меня подозрения, что регулятор сам-то не читал свой приказ, а если читал, то не пытался хотя бы на минутку поставить себя на место субъекта КИИ и попробовать выполнить те изменения, которые были внесены. Если бы попытался, то у него бы возникли следующие вопросы (у меня они возникли сразу, а я даже не субъект КИИ). Требования по оценке по уровням доверия вступает в силу с 1-го января 2023 года, но...
- Значит ли, что уже сейчас нельзя устанавливать на ЗОКИИ средства защиты, прошедшие оценку соответствия в форме испытаний или приемки, но без уровней доверия? Или запрет вступает в силу именно в 2023-м году?
- Если я сейчас внедрю (или они уже внедрены) такие средства защиты, то 2-го января 2023-го года мне надо от них отказываться или все-таки закон не имеет обратной силы?
- Если закон обратной силы не имеет, то можно ли мне после 1-го января 2023-го года обновлять средства защиты или это уже будет считаться модернизацией ЗОКИИ, а значит, как написано в приказе, надо будет уже проводить оценку по 6-му уровню доверия?
- А если сейчас идет проектирование системы и в ТЗ таких требований не было, то что делать? Будет ли отсрочка?
- Если у меня инвестпрограмма рассчитана на 3 года и в нее уже внесены средства защиты без оценки по 6-му уровню доверия, то что делать в таком случае? Бюджет уже заложен и часто это бюджет государственный.
- Закупка обновлений средств защиты без 6-го уровня доверия не будет ли рассматриваться для госкомпаний или госорганов, как нецелевое расходование средств со всеми вытекающими последствиями?
- Как будет трактоваться отсутствие 6-го уровня доверия при проведении проверок ФСТЭК (если средство защиты было внедрено до 1-го января 2023-го года)?
1 момент. Маленькая, но гордая областная поликлиника может написать, что использует встроенное в общесистемное ПО СЗИ, в случае если сможет обосновать термин "встроенное". Ну да антивирус clamav, ну да встроенный. Ну да сами встроили и провели испытания. Даже бюджет РФ не пострадал, покупать "внешнее" СЗИ не пришлось. Покажите определение термина "встроенное" и "не встроенное" применительно к КИИ.
ОтветитьУдалить2 момент, который насторожил это требования проведение анализа исходного кода -Прикладного ПО-. Это требования вообще для кого? Ладно была бы фраза "в случае самостоятельной разработки", но там такого нет. Субъекту требовать исходники приобретаемого ПО и анализировать?
Этот комментарий был удален администратором блога.
ОтветитьУдалить1. Может, но это риски и неопределенность, так как проверяющие из ФСТЭК, особенно на местах, будут следовать букве хакона, как они ее понимают. А они не понимают, что значит средство защиты несертифицированное
ОтветитьУдалить2. Это отдельняя песня - я даже комментировать не стал. Там все печально
А что может являться значимым объектом КИИ в ОМСУ?
ОтветитьУдалитьМы например в отчетах всегда пишем, что у нас этого нет.
Этот комментарий был удален автором.
ОтветитьУдалитьРегулятор ведь не всё сам придумывает: есть генеральная линия Партии, которой он обязан следовать.
ОтветитьУдалитьА если кто-то при разработке инвестпрограммы не учел ежедневное изменение российского законодательства, значит, ему нечего делать на российском рынке, хе-хе. Прогнозирование и анализ рисков никто не отменял.
Этот комментарий был удален администратором блога.
ОтветитьУдалитьАлексей, не рассмотрено другое критическое для субъектов КИИ нововведение – запрет на техническую поддержку со стороны третьих лиц (если это не дочерняя компания). Исключение делают только если нет «технической» возможности исключить доступ. Есть понимание что означает нет «технической» возможности исключить доступ? Как это обосновать для регулятора?
ОтветитьУдалить