По сравнению с предыдущей в новую версию проект проникло очень интересное дополнение, которое обязывает финансовые организации применять только сертифицированные в ФСТЭК средства защиты информации. И речь идет не о пресловутых СКЗИ, уровень сертификации которых установлен классом КС2 (знакомая по СТО БР конструкция), а именно о всех остальных средствах защиты — МСЭ, IPS, антивирусы, DLP, сканеры безопасности, средства контроля доступа, системы идентификации и аутентификации, а также множество других защитных средств, описанных в ГОСТе. Выглядит этот фрагмент таким вот образом:
Надо признать, что на прошлом заседании ПК1 ТК122 эта тема также озвучивалась, так как в первом проекте также было указано про сертифицированные средства защиты, но не про все, а только про СВТ, МСЭ, IDS и антивирусы (то, на что у ФСТЭК были соответствующие РД).
На совещании была достигнута договоренность (мне так казалось, так как это требование многие банки — участники ПК1 ТК122 посчитали избыточным), что жесткую формулировку про обязательную сертификацию уберут и заменят ее дипломатичной «оценкой соответствия в установленном порядке» — так, как это написано в документах ФСТЭК по персональным данным или по защите АСУ ТП. И ЦБ вроде принял это предложение. И вот нате вам, сюрприз 🙁
На мой взгляд, сюрприз неприятный, так как заставит все финансовые организации, включая малые банки, микрофинансовые организации, страховые, ломбарды, брокеров, негосударственные пенсионные фонды, операторы платежных систем и другие, выбросить то, что ими применялось до сих пор (а в массе своей оно было несертифицированным, исключая СКЗИ и некоторые крупные кредитные организации) и искать продукты, которые будут не просто сертифицированы как МСЭ или IDS или еще что-то, а искать продукты, проверенные на отсутствие НДВ (у МСЭ — это требование с 5-го класса, у IDS — пока с 4-го). Много ли у нас таких продуктов на рынке? И если с МСЭ или IDS еще можно поискать, то вот что делать с другими типами средств защиты, упомянутыми в проекте ГОСТа, но которые даже на ТУ не сертифицировались, не говоря уже про отсутствие НДВ.
Не знаю, многие ли финансовые организации с радостью воспримут такое нововведение? И есть ли у них бюджеты на это? А время на реализацию еще не принятого и не выпущенного документа? Это же не одномоментно делается — особенно если сертификата на средство защиты нет и надо подавать их на сертификацию. А процесс этот непростой и небыстрый. Число испытательных лабораторий в России ограничено.
В целом, какое-то у меня пессимистичное отношение к данной новации. Никакого отношения к реальной защите наличие или отсутствие бумажки с голограммкой не имеет и уж коммерческие организации вольны сами принимать решения о том, какие средства защиты применять — на то они и занимаются предпринимательской деятельностью, то есть на свой страх и риск. Ну да финансовому регулятору виднее.
ЗЫ. И самое интересное, что в дорожной карте Банка России с переченем мер по повышению уровня защищенности финансовой системы Российской Федерации эта норма (по сертификации средств защиты) отсутствует 🙁
Ну, если по поводу использования сертифицированных СЗИ дискуссии велись давно,
то про необходимость контроля на НДВ для ПО АС речь зашла впервые.
Судя по сентябрьской версии проекта стандарта (интересно, что в текущей редакции), см. ЖЦ.8 —
Применение ПО АС, прошедшего проверку не ниже чем по 3 уровню контроля отсутствия недекларированных возможностей и анализ уязвимостей в объеме, предусмотренным оценочным уровнем ОУД 3 по ГОСТ Р ИСО/МЭК 15408-3, и (или) сертифицированного на соответствие требованиям по безопасности информации в соответствии с законодательством РФ.
Вопрос в т.ч. — кто это будет делать в случае внешней разработки, вендоры или банки?
Сейчас в ЖЦ.8 не так — нет НДВ, но ОУД4. А делать это будут и те и другие. Если вендор захочет остаться на рынке, то он. Если это нужно банку, а вендор не захочет — то банк. Но ОУД4 без вендора не реализовать
Впору открывать свой бизнес по торговле бумажками с голограммой.