И вновь об оценке соответствия средств защиты

Пункт 4 ст.5 ФЗ-184 «О техническом регулировании» в прежней редакции звучал следующим образом «Особенности оценки соответствия продукции (работ, услуг) и объектов, указанных в пункте 1 настоящей статьи, а также соответственно процессов их проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации, захоронения устанавливаются Правительством Российской Федерации«. Все было предельно четко и понятно. Требования по сертификации средств защиты устанавливаются только Правительством РФ и никем иным.

30 ноября 2011 года незамеченный многими ФЗ-347 внес малюсенькое такое изменение, которое коренным образом меняет ситуацию с сертификацией средств защиты, ужесточая ее (или давая такую возможность). Новый текст звучит так: «Особенности оценки соответствия продукции (работ, услуг), указанной в пункте 1 настоящей статьи, а также соответственно процессов ее проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации, захоронения устанавливаются Правительством Российской Федерации или уполномоченными им федеральными органами исполнительной власти«. Жирным выделено внесенное изменение.

Вот тут и вспомнишь поневоле старый мультфильм про Виктора Перестукина «Страна невыученных уроков» и задачу «где поставить запятую в фразе «казнить нельзя помиловать». Незначительная поправка и ситуация меняется в худшую сторону — регуляторы теперь имеют право самостоятельно, без оглядки на Правительство выпускать собственные нормативные требования по сертификации средств защиты.

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем.

  1. Anik1966

    Несмотря на то что нововведение напрямую относится к объектам атомной энергетики очень реально может много чего поменять в подходах регуляторов.
    Очень тонкая формулировочка с толстыми последствиями.

    Ответить
  2. Сергей

    Разница в установлении тех или иных норм правительством или иными органами заключается только в подписи — автор то в любом случае именно этот орган, в чьем ведении находится этот вопрос, ну и естественно увеличивается время на принятие. А лучше это или хуже вопрос сложный. С одной стороны лишний фильтр, с другой — время. А главная проблема — компетентность.

    Ответить
  3. Алексей Лукацкий

    Главная проблема — использование норм 20-тилетней давности, применимых к гостайне

    Ответить
  4. doom

    Стоить отметить, что и такая редакция пятой статьи появилась тихой сапой в конце 2009 (?) года. Раньше исключение было вообще только для гос. тайны.

    Ответить
  5. Сергей

    2 "Главная проблема — использование норм 20-тилетней давности, применимых к гостайне"
    Причем не понятна упертость регулятов, ладно неоткуда было бы содрать, практик — стопицот.

    Ответить
  6. Алексей Лукацкий

    Так раньше эта статья только для оборонной продукции вообще была. Ни о каких средства защиты информации.

    Ответить
  7. Евгений

    Алексей, ну вы же писали ранее (когда тема ПДн только развивалась), что сертификация от ФСТЭК нелигитимна, только от Правительства РФ. Они отработали ваше замечание, чем же вы недовольны? 🙂

    Ответить
  8. Анонимный

    2 Алексей "Главная проблема — использование норм 20-тилетней давности"
    — а что из требований 5 класса РД СВТ например не устраивает ? конкретно? http://goo.gl/QXEgH подискутируем ?!

    Ответить
  9. Алексей Лукацкий

    Меня не устраивает:
    1. Подход к сертификации
    2. Подход к лицензированию
    3. Подход к аттестации.

    Ответить
  10. Алексей Лукацкий

    Евгению Родыгину: Ты бы еще спросил, что меня не устраивает в слове "защита" 😉

    Претензий к буквам русского языка из которых составлен РД по СВТ у меня, кстати, нет.

    ЗЫ. В 92-м году у меня претензий к РД по СВТ тоже не было. Но сейчас на дворе 2012-й.

    Ответить
  11. Алексей Лукацкий

    И, кстати, хочешь претензий?.. Я тебе дам. Даже к 6-му классу. Берем обычный планшетный компьютер iPad2, обрабатывающий конфиденциальную информацию.

    Как для этого устройства выполнить самое первое требование для 6-го класса СВТ — Для каждой пары (субъект – объект) в СВТ должно быть задано явное и недвусмысленное перечисление допустимых типов доступа (читать, писать и т.д.), т.е. тех типов доступа, которые являются санкционированными для данного субъекта (индивида или группы индивидов) к данному ресурсу СВТ (объекту).

    Ответить
  12. Анонимный

    1 — подход к сертификации (ну чем тебя общие критерии не устраивают например ?)
    2 — другие доки уже не 20ти летней давности…
    3 — а я не про буквы русского языка — я про требования/нормы… РД СВТ которому как раз 20 лет…

    Похоже конкретных претензий нет ?
    На дворе 12 год, но указанные мной требования вполне хороши и они не устанавливают требования к конкретным механизмам и реализации — тут полная свобода разработчика…

    Я не против претензий!!! — Надоела демагогия — есть конкретная претензия — сформулируй, ткни носом в строчку, обоснуй что не так и предложи как надо !!!

    Ответить
  13. Анонимный

    Ура !!!
    Отвечаю как выполнить требование!!!
    1 — реализовать в ipad 2 дискреционный механизм. Разработчику необходимо видимо программно внести в изделие механизм, который это будет выполнять!

    Если в изделии нет механизмов реализующих это, то в чем проблема — пусть реализовывают !!!

    Ответить
  14. Анонимный

    Если в ipad2 нет таких механизмов то разграничение доступа не реализовать !

    Ответить
  15. Анонимный

    И потом выбрал устройство на которое ребята из купертино могут поставить или снести любое приложение с рутовыми правами…
    Мысль о защищенности таких поделок и обработке конфы странна… система закрытая и т.п.

    Ответить
  16. Анонимный

    И потом выбрал устройство на которое ребята из купертино могут поставить или снести любое приложение с рутовыми правами…
    Мысль о защищенности таких поделок и обработке конфы странна… система закрытая и т.п.

    Ответить
  17. Анонимный

    Ага… САМ ЛУКАЦКИЙ не может сформулировать и обосновать недостатки о которых трубит блогосфера… 😉

    Ответить
  18. Алексей Лукацкий

    Отвечаю:
    1. Общие критерии меня устраивают. Меня не устраивает, что Россия не признает сертифкаты по Общим критериям, выданным в других странах, и требует повторной сертификации тут, у себя. При этом сертифицируется не наименование изделия, а конкретные экземпляры.

    2. Другие доки "не 20-тилетней давности" базируются на подходах 20-тилетней давности для ГТ.

    3. Теперь по поводу iPad. Мне насрать, что думает там себе ФСТЭК. Я владелец системы и я сам принимаю риск того, что Джобс с Возняком заинтересуются моей конфой (к слову сказать, я в это верю меньше, чем в то, что моей конфой для своих задач заинтересуются ФСТЭК и ФСБ). И мне достаточно того, что у меня будет 10-тисимвольный пароль на вход в iPad. Но ФСТЭК почему-то от меня требует дискретку на любом устройстве, обрабатывающем конфу, даже на однопользовательском. С какого перепугу?

    Ответить
  19. Анонимный

    1. США признает сертификаты выданные ФСТЭК по ОК ?

    2. Все документы базируются на чем то предыдущем 😉

    3. Про дискету — плиз ссылку на НМД или РД ?

    Ответить
  20. Алексей Лукацкий

    1. Так проблема не в США, а в том, что Россия отказалась ратифицировать ОК и вступать в список стран, которые признают сертификаты друг друга.

    3. Не дискета, а дискретка.

    Ответить
  21. Анонимный

    1. ну мы недозрели вступать причин может быть многа 😉 но я поржу если в белый дом поставят стража сертифицированного по ОК ФСТЭК даже если ратифицируем… они же не ратифицируют :))

    2. (сорри уже вижу что хочу видеть 🙂 )

    дык как правило есть админ и юзер… ну да бог с ним 1 юзер…
    что если 1 юзер уже не дискретка? Просто права полные…

    Ответить
  22. Анонимный

    Да… если совсем нетерпится — применяй ОК с обоснованием в ЗБ отсутствие дискретки… какие проблемы ?

    Ответить
  23. Алексей Лукацкий

    Ну вот примерно такие же объяснения были у ФСТЭК на всех совещаниях по персданным. Типа все же нормально и все решаемо. Вот наши лицензиаты — они помогут вам все решить.

    Вопросов к тебе больше не имею.

    Ответить
  24. Анонимный

    В последнее время лицензиатам сложно обосновать ту или иную позицию юридической службе Заказчика…
    Фразы типа "сложилась такая практика" или "это мнение Регулятора" уже не катят… и в этом есть существенная проблема…

    Ответить
  25. Алексей Лукацкий

    Именно поэтому нужно официально спрашивать и получать официальные ответы.

    Ответить
  26. Анонимный

    Канефна 😉

    Ответить
  27. doom

    2 Евгений Родыгин
    Своеобразная постановка вопроса про РД ФСТЭК…
    Они устарели хотя бы потому, что предъявляют функциональные требования к отдельным СВТ — когда в 90-ые ГТК эти документы "писала", то во всем мире уже поняли порочность такого подхода — системы слишком разные, контекст игнорировать нельзя, предположения среды и актуальные угрозы игнорировать нельзя и т.п.

    И я уж молчу о том, что в документах есть куча явных ошибок (в том числе пунктуационных!), которые за 20 лет никто и исправить-то не удосужился…

    Ответить
  28. Анонимный

    2 doom
    Да я не против… Просто у нас много "экспертов" воспринимают эти требования как требования к механизмам. А они по сути на более высоком уровне абстракции и не предъявляют требования по реализации.
    Они интерпритируемы.
    Для замены требований в 2002 введены общие критерии — пользуемся ?!
    Но при этом можно натянуть РД СВТ на любое изделие 😉

    Ответить
  29. doom

    2 Евгений Родыгин
    Не соглашусь. Четко написано:

    1.2. Показатели защищенности СВТ применяются к общесистемным программным средствам и операционным системам (с учетом архитектуры ЭВМ).
    Конкретные перечни показателей определяют классы защищенности СВТ.
    Уменьшение или изменение перечня показателей, соответствующего конкретному классу защищенности СВТ, не допускается.
    Каждый показатель описывается совокупностью требований.
    Дополнительные требования к показателю защищенности СВТ и соответствие этим дополнительным требованиям оговаривается особо.
    1.3. Требования к показателям реализуются с помощью программно-технических средств.
    Совокупность всех средств защиты составляет комплекс средств защиты.

    Ну а про Общие критерии — куда их ввели? 🙂
    Где упоминание о них в том же 58-м приказе например?
    Тема была классная, развивалась достаточно активно, а потом все свернулось. Даже S-terra перестала сертифицироваться по ОК, потому что толку от этого ноль — везде надо 1Г, К1 и прочие классификации ортогональные общим критериям…

    Ответить
  30. Анонимный

    не согласитесь с чем ?

    Ответить
  31. Анонимный

    "Настоящий Руководящий документ устанавливает классификацию средств вычислительной техники по уровню защищенности от несанкционированного доступа к информации на базе перечня показателей защищенности и совокупности описывающих их требований.
    Под СВТ понимается совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем."

    Ответить
  32. doom

    Ну а ниже-то — как раз речь о том, что показатели — это наборы требований, а требования должны реализовываться программно-техническими средствами, которые составляют комплекс средств защиты СВТ…
    Т.е. эти требования именно что к механизмам (как еще трактовать "программно-технические"?).

    Тут, кстати, всплывает параллельно проблема нечеткой терминологической базы. Для того же СВТ я просто не смог в свое время найти однозначного определения.

    Ответить
  33. Анонимный

    Для СВТ в самом РД см. выше цитату.

    См. требования для 5 класса — не пишут они как должно быть реализовано… пишут что…

    Ответить