Во исполнение ПП-330 ФСТЭК готовит сейчас проект нового положения «Об оценке соответствия продукции (работ, услуг), используемой в целях защиты информации конфиденциального характера, а также процессов ее проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации и хранения».
Какие ключевые моменты в данном положении могут быть отражены:
- Описывает порядок организации и проведения обязательной сертификации продукции, а также госконтроля и надзора.
- Будет распространяться на госресурсы и ПДн (ибо в ПП-330 только про это сказано).
- Применяться будет к средствам ЗИ, средствам, в которых реализованы ЗИ и средствам контроля эффективности.
- В нем предлагается сделать аттестацию государственных объектов информатизации обязательной (пока только на уровне предложения).
- В этом же положении будет отражен вопрос признания сертификатов, выданных ФСБ, ФСТЭК и МО на категории систем защиты (МСЭ, IDS и т.п.). Но пока непонятно как.
- Предлагается сертификаты сделать бессрочными, а для сертификатов на серийное производство установят срок действия три года (пока только на уровне предложения).
- Средства иностранного производства сертифицируются также как и все остальные. Признания выданных заграницей сертификатов не будет.
- Будет описана процедура обновления сертифицированных средств защиты, но вопрос с доверенным источником обновления и вопрос с сертифицированными обновлениями баз сигнатур (не продукта) остается открытым.
- Будет описан порядок инспекционного контроля сертифицированных средств.
- В процессе сертификации появится новый этап — рассмотрение заявки на сертификацию и оценка возможности сертификации средства защиты (будет определен набор необходимой конструкторской и эксплуатационной документации).
- Сам проект выложат на сайт ФСТЭК на 30 дней, а после этого будет согласование с МинЭкономРазвития. Когда, неизвестно.
Вот такие «приятные» новости ;-( Если положение примут и если не пройдут изменения Резника по ст.19, то будем все курить бамбук — любые экзерсисы насчет добровольной сертификации будут нервно курить в сторонке.
Накрылась медным тазом наша качалка. Мне кажется у медиков как небыло средств на сертифированные СЗИ, так и неоткуда им появиться.
Будем надеяться на лучшее (ФСТЭК "одумается"), и готовиться к худшему (все предложения ФСТЭК примут). 🙁
А что вам не нравится в таком законопроекте? Зато не надо будет думать — сертифицированные или не сертифицированные и нервно курить в ожидании проверки. Систему сертификации давно пора зарегулировать, а то порядка там мало… У медиков как не было, так и не будет, это верно. Но при чем здесь документ ФСТЭК? У медиков вариантов нет — только защищаться.
Мне не нравится то, что приходится сертифицировать КАЖДЫЙ экземпляр, а не НАИМЕНОВАНИЕ, как во всем мире.
> Мне не нравится то, что приходится сертифицировать КАЖДЫЙ экземпляр, а не НАИМЕНОВАНИЕ, как во всем мире.
Поддерживаю. Получается, что на каждом предприятии, где используются СЗИ, должен быть 1 отдел, в котором должны быть представители, аффилированные ФСТЭК и ФСБ, с пачкой голограмм.
Мне еще не нравятся "сертифицированные обновления". И еще мне не нравится, что в предлагаемом подходе использовать несертифицированные средства будет нельзя, а обязаность сертификации лежит на потребителе. Это все равно, что покупать в РФ алкоголь без акцизных марок, и нести пузырь на "растаможку". Такого же не происходит. И с "серыми поставками" электроники у нас борются. Если уж говорить о "тотальной" сертификации, почему нельзя повесить обязанность сертификации всех СЗИ, продаваемых на территории РФ, на продавцов и производителей, как это сделано, например, с мобильными телефонами?
Вообще говоря — покупать средства защиты напрямую у производителя это всё-таки редкость. Так что в основном головная боль по поводу "нести на растаможку" возникает у продавца — дистрибьютора или интегратора.
С экземплярами СЗИ напряженность потихоньку спадает — уже большинство вендоров проводит сертификацию производства или большой партии.
А вот проблема с пере-сертификацией при смене версии СЗИ или при небольших обновлениях действительно существует.
Хотелось бы чтобы сертификация обновлений проходила по ускоренной программе. Например, с участием испытательной лаборатории, но без участия ФСТЭК.
Я вот не понимаю как можног оворить о сертификации, если на данный момент фактически даже нет требований к СЗИ ИСПДн. Есть только требования к ИСПДн (пп781) и методы и способы(приказ 58), но конкретных требований к именно СЗИ в ИСПДн нет.
На данный момент производители СЗИ проводят сертификацию по требованиям к классам защищенности АС, но ведь по сути это требования совсем не к ИСПДн.
На данный момент приказ 58 регламентирует высталвлять требования к конкретной ИСПДн на основании модели угроз. Для каждой ИСПДн требования будут разные, о какой сертификации может идти речь вообще.
Но, к слову, ходят слухи о том, что воронежский институт разрабатывает техрегламент оценки соответствия средств защиты персональных данных. Ну штож, подождем, а пока все это демагогия )).
>Ну штож, подождем, а пока все это демагогия )).
И с этим трудно не согласиться. Давайте решать проблемы по мере их поступления.
Я согласна с Алексеем Т., хочется ясности. Но чем больше я вникаю в вопрос защиты ПДн, тем больше понимаю, что ясности не будет…
exp001, да, требования к СЗИ только более-менее понятны в отношении МЭ. И для К1 четко прописано, что необходим контроль на отсутствие НДВ по 4-му уровню. С остальными СЗИ все туманно.
Я вот, например, недавно столкнулась с проблемой, что механизмы разграничения доступа средствами ОС (в частности винды) для ИСПДн К1 использовать нельзя. Ввиду отсутствия этого самого сертификата на отсутствие НДВ по 4-му уровню. Получается, что для всех АРМ необходимо приобретать, например SecretNet, если по модели угроз необходимо разграничение доступа.
Может кто-нибудь обрадует меня и скажет, что я что-то путаю и есть другие пути решения? По-дешевле.
exp001: А отдельных требований к СЗИ ИСПДн и быть не может — они же ничем от АС не отличаются. А техрегламента по ИБ не будет — вместо этого будет положение, которое в посте и описано.
Анна: Классифицируйте как спец.ИСПДн, уберите из модели угроз разработчика ПО и уйдете от НДВ.
2 А. Лукацкий и Анна "Классифицируйте как спец.ИСПДн, уберите из модели угроз разработчика ПО и уйдете от НДВ".
По Вашему всё так просто, Алексей? Не ожидал от Вас такого волюнтаризма. 🙂 Во-первых откуда в модели угроз разработчик? Как источник угрозы? Во-вторых не только разработчик может закладывать НДВ. И каким образом Вы предлагаете убрать Разработчика? Обоснование в студию!
Я пока все-таки не рискую классифицировать ИСПДн просто как специальную. Классифицирую по аналогии с типовой. Конечно, вопрос очень спорный. Однако, позиция регуляторов (по крайней мере в нашем крае) пока такая.
По поводу уйти от НДВ. Тут не в разработчике дело и даже не в модели угроз. В 58м четко сказано:
"Для информационных систем 1 класса применяется программное обеспечение средств защиты информации, соответствующее 4 уровню контроля отсутствия недекларированных возможностей".
Я так понимаю, если СЗИ применяются для нейтрализации актуальных угроз, то они должны иметь соответствующий сертификат.
Алексею Т.: Нормальная модель должна учитывать не только саму угрозу и канал ее реализации, но и ее источник.
А убрать разработчика мне позволяет ФСТЭК с ее экспертным подходом 😉 Я как эксперт считаю, что НДВ — угроза неактуальная, а разработчику я доверяю. Вот и все. Именно так ЦБ убрал ПЭМИН из своей модели.
Анна: Во-первых, у вас типовых систем нет по ЗАКОНУ. Все специальные. По приказу трех для классификации спецсистем должен был быть разработан новый методический документ. И он также должен быть подписан тремя регуляторами. Этого нет. А без этого, это все слова про классияикацию спецсистем как типовых. Я знаю, как минимум, три "официальных" документа, описывающих классификацию спецсистем. И все они разные 😉 И какой использовать?
2 Алексей Лукацкий: Вы как Владимир Владимирович, Алексей, отвечаете не на те вопросы, что Вам задают 🙂
"А убрать разработчика мне позволяет ФСТЭК с ее экспертным подходом 😉 Я как эксперт считаю, что НДВ — угроза неактуальная, а разработчику я доверяю. Вот и все. Именно так ЦБ убрал ПЭМИН из своей модели."
ПЭМИН из моделей убирают ВСЕ экспертным методом, это к обсуждению не относится. Если Вы, как эксперт, доверяете ВСЕМ разработчикам и убираете угрозу НДВ, то что про Вас подумают люди как об эксперте? 😉
Ничего плохого не подумают 😉 Ибо если вы, как эксперт, докажете мне реальность угрозы закладки для СЗИ, обрабатывающей ПДн, то я буду вам благодарен. Я, к счастью, за 18 лет работы не сталкивался с практическими примерами реализации этой угрозы. И мой экспертный опыт подсказывает, что не столкнусь. Ибо ПДн не стоят затрат на внедрение закладки в ПО.
> Ибо ПДн не стоят затрат на внедрение закладки в ПО.
signed and agreed 🙂