Почему я иногда понимаю ФСТЭК и ФСБ ;-)

Пост в Твиттере вызвал живейший отклик и там и в Facebook, поэтому решил раскрыть тему чуть шире 😉 Итак, в одном печатном издании для наших силовиков опубликована статья одного из лидеров (и пионеров) отечественного рынка ИБ, посвященного теме построения защищенных ЛВС для органов госвласти. В статье рассказывается как решить классическую проблему защиты сведений, составляющих гостайну на предприятии. Традиционно она решалась (и решается до сих пор) «просто» — в режимных помещения устанавливаются АРМы, на которых разрешено вести работу именно с гостайной и ничего более. Безусловно неудобно. Безусловно не хочется ходить в секретную комнату для работы с гостайной. Безусловно не хочется иметь два рабочих места для обработки конфиденциалки и гостайны. А что делать?

Авторы статьи предлагают с помощью двух своих программных продуктов — межсетевого экрана и СЗИ от НСД решить эту проблему кардинально. По мнению авторов именно эти два решения позволяют:

1. Обрабатывать категорированную информацию (гостайну) на своем рабочем месте без необходимости наличия выделенных режимных помещений.
2. Отказаться от ежедневного общения с режимным отделом и получении/сдачи носителей для хранения сведений, составляющих гостайну.
3. Разрешить ввод и обработку на одном и том же АРМе несекретной и секретной информации.

По мнению авторов «Основное ноу-хау состоит  в настройке сертифицированных СЗИ и в конфигурации АРМ пользоваталей«, а это в свою очередь позволяет «любому РСО сделать однозначный вывод о том, что средства автоматизации не являются носителями секретной информации«. Правда, потом дается противоречащая всему остальному рекомендация «чтобы окончательно исключить нарекания РСО, все помещения, в которых ведется обработка, делаются режимными«, но это уже мелочи 😉

Я достаточно регулярно критикую ФСТЭК и ФСБ за то, как они регулируют область ИБ в России. Но видя такие перлы, я понимаю регуляторов и их желание позакрывать все, всех заставить получать лицензии, а специалистам иметь соответствующее повышение квалификации. Но и решение тоже лежит на поверхности. Пора обновлять СТР-К и СТР с учетом новых технологий, используемых в госорганах, и с учетом новых тенденций в обработке информации ограниченного доступа (разумеется с поправкой на уровень ее секретности). Да и требования по сертификации таких решений тоже надо обновлять и расширять (сейчас ФСТЭК активно эту тему стала осваивать, выпуская новые РД с требованиями к средствам защиты).

ЗЫ. А продавцов компаний-лицензиатов я бы обязал сдавать простой экзамен (можно онлайн) на знание основ регулирования ИБ в госорганах. Это бы позволило снять ряд проблем, включая и те, что описаны в упоминаемой выше статье. В некоторых компаниях-производителях такой подход применяется при получении статуса партнера.

UPDATE: Оказывается в статье не указано два важных момента, точнее три. В статье речь идет о КОНКРЕТНОМ решении для КОНКРЕТНОГО заказчика (хотя об этом ни слова). Также ни слова и о том, что разговор идет о бездисковых рабочих станциях и за скобками остается вопрос с защитой от утечек по техническим каналам, который решается традиционными средствами. И именно на это РЕШЕНИЕ в КОНКРЕТНОМ случае дано добро регулятора.