Что думает Банк России о сертифицированных СЗИ?

Совершенно случайно наткнулся в Гаранте на письмо ЦБ от от 17 ноября 2011 г. № 015-16-9/4713 «О средствах защиты информации, применяемых при обработке персональных данных», которое является ответом на запрос Ассоциации Российских Банков о проблемах в реализации требований законодательства в области обеспечения безопасности персональных данных (письмо № А-02/5-398 от 07.06.2011 г.).

Ответ Банка России примечателен и гласит следующее: «Отсутствие в настоящее время технических регламентов, устанавливающих требования к средствам защиты информации (СЗИ), используемым для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных, делает невозможным как оценку соответствия, так и добровольное или обязательное подтверждение соответствия СЗИ.

Таким образом, до выпуска документов, обеспечивающих выполнение требований законодательства, считаем возможным применение для обеспечения безопасности персональных данных при их обработке в информационных системах встроенных защитных мер, сертифицированных СЗИ, а также средств защиты, не включённых в Единый перечень товаров, к которым применяются запреты или ограничения на ввоз или вывоз государствами — участниками таможенного союза, в рамках Евразийского экономического сообщества в торговле с третьими странами

По сути, это тоже что и написано в СТО БР ИББС 1.0, но… статус письма совершенно иной. Подписан он Сенаторовым М.Ю. и вляется официальной позицией и рекомендацией регулятора, в отличие от СТО, который носит характер рекомендательный.

Интересно, если АРБ направит такой же запрос относительно средств защиты в НПС, то будет ли ответ таким же?…

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем. Ваш комментарий может появиться не сразу, а после модерации (так бывает не всегда, но бывает).

  1. Сергей

    Алексей, обратите внимание на формулировку 584ПП о НПС: применение средств защиты информации (шифровальные (криптографические) средства, средства защиты информации от несанкционированного доступа, средства антивирусной защиты, средства межсетевого экранирования, системы обнаружения вторжений, средства контроля (анализа) защищенности); — нет любимой фразы про оценку соответствия.
    Далее 382П: Оператор по … обеспечивают применение некриптографических средств защиты информации от несанкционированного доступа, в том числе прошедших в установленном порядке процедуру оценки соответствия. Допускается применение некриптографических средств защиты информации от несанкционированного доступа иностранного производства.

    Ответить
  2. Unknown

    СильнО банковское лобби — везет им.

    Ответить
  3. Евгений

    Интересно, как соотноситься эта позиция с ст.5 ФЗ №184-ФЗ. Или банковская тайна "вдруг" перестала быть "охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа"?

    Ответить
  4. toparenko

    Все вполне укладывается в действующее законодательство. И банковское лобби здесь, вААЩе-то не при чем 😉

    Системы сертификации СЗИ/СКЗИ ФСТЭК/ФСБ/МО/СВР являются системами ДОБРОВОЛЬНОЙ сертификации — см. на сайте Ростеста
    Закон о техрегулировании запрещает навязывать ту или иную систему добровольной сертификации.
    В принципе НПС, с таким же успехом, может создать свою систему добровольной сертификации.

    Т.ч. НЕ лицензиаты ФСБ/ФСТЭК могут абсолютно спокойно использовать несертифицированные средства не запрещенные к ввозу в РФ

    Кстати: будь СЗИ/СКЗИ включенные в систему обязательной сертификации для пользователя вообще не стало бы проблем (проблемы остались бы у вендоров и поставщиков) — ибо тогда несертифицированная продукция банально была бы ВООБЩЕ запрещена на территории РФ, т.ч. можно было бы использовать ЛЮБЫЕ ЛЕГАЛЬНЫЕ СЗИ/СКЗИ

    Ответить
  5. vsv

    Для toparenko. При чем здесь ДОБРОВОЛЬНАЯ сертифкация и при чем здесь Ростест? Обращайтесь к Маркусу, а не к конспекту. В Положении о сертификации средств защиты информации в п. 1.2 четко записано: "1.2. Настоящее Положение устанавливает основные принципы, организационную структуру системы ОБЯЗАТЕЛЬНОЙ сертификации средств защиты информации, порядок проведения сертификации этих средств по требованиям безопасности информации, а также государственного контроля и надзора за сертификацией и сертифицированными средствами защиты информации.А так любимое Вами ПП330 распрстраняет обязательную сертификацию на целый ряд конфиденциальной информации.

    Алексею. мне кажется, письмо Сенаторова надо читать правильно. Во-первых обращу внимание на приписку Гаранта : Присьмо официально опубликовано не было.Следовательно это письмо можно оценивать на уровне "частной" переписки. И в этом случае это нельзя расценивать, как официальную точку ЦБ РФ. Во-вторых, Ю.М. Сенаторов в своем письме НЕ ОТРИЦАЕТ необходимость использования сертифицированных средств, а наоборот, говорит о том что их надо использовать. В-третьих, Закон о техническом регулировании не предполагает разработку технических регламентов по защите информации. Ст. 5 допускается предъявление ТРЕБОВАНИЙ к СЗИ. Такие требования постепенно разрабатываются. Пример требования к САВЗ. Думаю, имеен про эти требования и говорил Сенатров.

    Ответить
  6. Сергей

    Во многих случаях сертифицированных СЗИ, удовлетворяющих требованиям банков просто нет, а иногда и быть не может — МПС.

    Ответить
  7. toparenko

    vsv пишет…
    В Положении о сертификации средств защиты информации

    Подзаконный акт, в части противоречащей Закону, не применяется 😉

    Кстати есть еще Постановление Правительства РФ от 1 декабря 2009 г. N 982 "Об утверждении единого перечня продукции, подлежащей обязательной сертификации, и единого перечня продукции, подтверждение соответствия которой осуществляется в форме принятия декларации о соответствии" ( http://www.rostest.ru/certification_ALL/perechen.php ) и Единый перечень продукции, подлежащей обязательной оценке (подтверждению) соответствия в рамках таможенного союза с выдачей единых документов

    Ткните пож. пальцем на СЗИ и/или СКЗИ в любом из этих ЕДИНЫХ перечней 😀

    vsv пишет…
    При чем здесь ДОБРОВОЛЬНАЯ сертифкация и при чем здесь Ростест?

    Та же самая информация есть и на сайте Федерального агентства по техническому регулированию и метрологии (Росстат), который является ОФИЦИАЛЬНЫМ источником информации в области сертификации продуктов и услуг

    На страничке http://www.gost.ru/wps/portal/pages.voluntaryvalidation попробуйте в поиске задать "защиты информации" и сравнить с идентификационныеми номерами систем сертификации СЗИ/СКЗИ

    Ответить
  8. vsv

    toparenko Ничего удивительног, что на сайте Росстата эта система указана и в разделе добровольной сертификации. Читаем внимательно Положение: "1.6. Обязательной сертификации подлежат средства защиты информации, предназначенные для защиты сведений, составляющих государственную тайну, а также другой информации с ограниченным доступом, подлежащей защите в соответствии с действующим законодательством, систем управления экологически опасными производствами, объектами, имеющими важное оборонное или экономическое значение и влияющими на безопасность государства, … В остальных случаях сертификация носит добровольный характер (добровольная сертификация) и осуществляется по инициативе заявителя (разработчика, изготовителя, поставщика или потребителя) средств защиты информации.

    Ответить
  9. toparenko

    vsv пишет…
    Читаем внимательно Положение

    Читаем Закон (о техрегулировании):
    Статья 19. Принципы подтверждения соответствия
    1. Подтверждение соответствия осуществляется на основе принципов:
    — доступности информации о порядке осуществления подтверждения соответствия заинтересованным лицам;
    недопустимости применения обязательного подтверждения соответствия к объектам, в отношении которых не установлены требования технических регламентов;
    — установления перечня форм и схем обязательного подтверждения соответствия в отношении определенных видов продукции в соответствующем техническом регламенте;
    — уменьшения сроков осуществления обязательного подтверждения соответствия и затрат заявителя;
    недопустимости принуждения к осуществлению добровольного подтверждения соответствия, в том числе в определенной системе добровольной сертификации;
    — защиты имущественных интересов заявителей, соблюдения коммерческой тайны в отношении сведений, полученных при осуществлении подтверждения соответствия;
    недопустимости подмены обязательного подтверждения соответствия добровольной сертификацией.

    Статья 28. Права и обязанности заявителя в области обязательного подтверждения соответствия
    2. Заявитель обязан:

    — выпускать в обращение продукцию, подлежащую обязательному подтверждению соответствия, только после осуществления такого подтверждения соответствия;

    Статья 29. Условия ввоза в Российскую Федерацию продукции, подлежащей обязательному подтверждению соответствия
    1. Для помещения продукции, подлежащей обязательному подтверждению соответствия, под таможенные процедуры, предусматривающие возможность отчуждения или использования этой продукции в соответствии с ее назначением на территории Российской Федерации, в таможенные органы одновременно с таможенной декларацией заявителем либо уполномоченным заявителем лицом представляются декларация о соответствии или сертификат соответствия либо документы об их признании в соответствии со статьей 30 настоящего Федерального закона. Представление указанных документов не требуется в случае помещения продукции под таможенную процедуру отказа в пользу государства.

    Т.ч. когда не будут выпускаться/ввозиться НЕсертифицированные СЗИ/СКЗИ только тогда можно будет говорить об обязательной сертификации

    Лучше бы не ПП (в том числе с незаконным ограничением доступа) проталкивали, а техрегламент нарисовали и сняли бы все вопросы…

    Ответить
  10. Евгений

    А если внимательно прочитать статью 5 того же ФЗ?

    4. Особенности оценки соответствия продукции (работ, услуг) и объектов, указанных в пункте 1 настоящей статьи, а также соответственно процессов их проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации, захоронения устанавливаются Правительством Российской Федерации.

    Ответить
  11. toparenko

    Евгений пишет…
    А если внимательно прочитать статью 5 того же ФЗ?

    Ага. Обязательно и ее:

    1. В отношении оборонной продукции (работ, услуг), поставляемой по государственному оборонному заказу; продукции (работ, услуг), используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа; продукции (работ, услуг), сведения о которой составляют государственную тайну; продукции, для которой устанавливаются требования, связанные с обеспечением безопасности в области использования атомной энергии; процессов проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации, захоронения соответственно указанной продукции обязательными требованиями наряду с требованиями технических регламентов являются требования, установленные государственными заказчиками, федеральными органами исполнительной власти, уполномоченными в области обеспечения безопасности, обороны, внешней разведки, противодействия техническим разведкам и технической защиты информации, государственного управления использованием атомной энергии, государственного регулирования безопасности при использовании атомной энергии, и (или) государственными контрактами (договорами).

    Т.ч. еще раз повторюсь "Лучше бы не ПП (в том числе с незаконным ограничением доступа) проталкивали, а техрегламент нарисовали и сняли бы все вопросы…"
    10 лет не могут техрегламент нарисовать…

    Ответить
  12. Сергей

    +5 копеек: ст 46
    3. Правительством Российской Федерации до дня вступления в силу соответствующих технических регламентов утверждаются и ежегодно уточняются единый перечень продукции, подлежащей обязательной сертификации, и единый перечень продукции, подлежащей декларированию соответствия.
    3.1. Продукция, на которую не распространяется действие технических регламентов и которая при этом не включена ни в один из перечней, указанных в пункте 3 настоящей статьи, не подлежит обязательному подтверждению соответствия.

    Ответить
  13. Сергей

    З.Ы. Если техрегламент разработать достаточно сложно, то уж включить СЗИ в перечень …

    Ответить
  14. vsv

    Этот спор по "наряду с техническими регламентами" уже оскомину набил. Кто сказал, что аппаратные или аппаратно-программные СЗИ не должны соответствовать техническим регламентам по электробезопасности или техническим регламентам по ЭМС? Надо правильно ЧИТАТЬ закон, а не додумывать то, что хочется.

    Ответить
  15. Сергей

    2 vsv
    Получаем, что программные СЗИ сертифицировать не надо 🙂

    Ответить
  16. toparenko

    vsv пишет…
    Кто сказал, что аппаратные или аппаратно-программные СЗИ не должны соответствовать техническим регламентам по электробезопасности или техническим регламентам по ЭМС?

    Вот это и относится к ОБЯЗАТЕЛЬНОЙ сертификации

    vsv пишет…
    Надо правильно ЧИТАТЬ закон, а не додумывать то, что хочется.

    И я о том же 😀
    Системы сертификации СЗИ/СКЗИ не относятся к системам обязательной сертификации. А то, что написано (в том числе во всеми "любимом" ПП330) про обязательную сертификацию СЗИ относится к электробезопасности, ЭМС и т.п. определенному техрегламентами.

    Если помните в "Основных мероприятиях" были в конце указаны ряд ГОСТ-ов (правда с ошибками — но были) — вот они то как раз и подпадали под обязательную сертификацию и для их идентификации было достаточно, чтоб был нанесен любым способом "Знак обращения на рынке" (а не голограммы согласно ст.22 закона о техрегулировании)

    Кстати: СЗИ от НСД одним своим названием определяют использование для обеспечения конфиденциальности. И хде они в единых перечнях продукции, подлежащей обязательной сертификации???

    Ответить
  17. vsv

    toparenko И опять внимательно читаем ст. 5 закона." …ОБЯЗАТЕЛЬНЫМИ требованиями наряду с требованиями технических регламентов являются требования, установленные… федеральными органами…" И еще: "ОСОБЕННОСТИ оценки соответствия продукции (работ, услуг), указанной в пункте 1 настоящей статьи,… устанавливаются Правительством Российской Федерации или уполномоченными им федеральными органами исполнительной власти…"
    Вот и получается, что ЭТА продукция выведена из под юрисдикции Закона о техническом регулировании в части определения порядка оценки соотвествия.

    Ответить
  18. Сергей

    2 vsv
    Вы не будете спорить, что техрегламент все таки должен быть (независимо от того, установлены иные обязательные требования или нет)? А пока техрегламента нет, а требование обязательной оценки соответствия (152ФЗ) в форме сертификации (330ПП) установлены, то эта продукция должна быть в перечне.

    Ответить
  19. toparenko

    vsv пишет…
    Вот и получается, что ЭТА продукция выведена из под юрисдикции Закона о техническом регулировании в части определения порядка оценки соотвествия

    Не-а. Не получается.
    Не выведена она из-под закона о техрегулировании.
    Определены особенности, но закон действует и на эту продукцию — т.ч. внесение в ЕДИНЫЙ перечень и ОБЯЗАТЕЛЬНОСТЬ для всей легальной продукции данного класса будет показателем обязательной сертификации.

    Когда существуют как сертифицированные, так и не сертифицированные версии одного и того же продукта (и сертифицированность ложится на потребителя продукции, а не на производителя) это ДОБРОВОЛЬНАЯ сертификация (конкурентное преимущество, но не более). Ну и обозначения для обязательной сертификации совсем не такие как на СЗИ/СКЗИ 😉

    Ответить
  20. vsv

    toparenko. Да нет же! Надо всегда помнить, что НЕ ДЛЯ ВСЕХ СЛУЧАЕВ необхоодима сертификация СЗИ. Например, Вы защищаете коммерческую тайну и САМИ устанавливаете КАК и КАКИМИ средстави ее защищать. И здесь ОБЯЗАТЕЛЬНОЙ сертификации не требуется, но остается и добровольная. Именно поэтому ВСЕ СЗИ НЕЛЬЗЯ вносить в перечень обязательной сертификации. А по поводу регламентов, то закон о Техническом регулировании дает конечный перечень областей, где такие регламенты должны быть. И именно поэтому статье 5 это выведено в особую зону регулирования.

    Ответить
  21. toparenko

    vsv пишет…
    НЕ ДЛЯ ВСЕХ СЛУЧАЕВ необхоодима сертификация СЗИ. Например, Вы защищаете коммерческую тайну и САМИ устанавливаете КАК и КАКИМИ средстави ее защищать

    Вы сами цитировали Положение: "1.6. Обязательной сертификации подлежат средства защиты информации, предназначенные для защиты сведений, составляющих государственную тайну, а также другой информации с ограниченным доступом, подлежащей защите в соответствии с действующим законодательством"
    КТ тоже защищаемая законом тайна и полностью подходит под процитированное 😉

    Ответить
  22. Алексей Лукацкий

    Какой спор 😉 Сергей Викторович, давайте не будем лукавить… Изначально, после появления ФЗ-184 была попытка разработки техрегламентов по ИБ (двух, если точнее), но их не приняли, т.к. техрегламента по ИБ не может быть в принципе — средств защиты не относятся к продукции, применение которой может нанести ущерб жизни и здоровью. Поэтому в 5-ю статью ФЗ-184, которая изначально касалось оборонки, ГТ и атомной жнергетики, и внесли пункт про средства защиты информации ограниченного доступа. А то такая замечательная статья доходов просто исчезала 😉 Я, кстати, с ссылкой Сенаторова на техрегламенты не согласен 😉

    Что касается положения о сертификации, то к 199-му приказу немало претензий, т.к. туда вносились поправки ЗАДНИМ числом без соответствующего оформления этих поправок. Иными словами мы имеем приказ 95-го года (без указания приказов, вносящих в него изменения), который ссылается на нормативные документы, вышедшие ПОСЛЕ 95-го года. У меня где-то лежит файлик с 199-м приказом, датированный 98-годом, который отличается от нынешней редакции и там не было слов про средств защиты информации ограниченного доступа — это уже приписка, появившаяся потом. Изначально, как и говорит toparenko, 199-й приказ касался только обязательной сертификации СЗИ для ГТ и СЗИ для госов. Уже потом в него добавили про все остальные СЗИ, но пункт про добровольность остался.

    Что касается статуса письма ЦБ, то все прекрасно знают, что такое РЕКОМЕНДАЦИИ Банка России и какой де-факто они носят статус 😉

    Ну про обязательность ДОБРОВОЛЬНОЙ сертификации и гриф ПП-330 toparenko уже написал…

    Хочу заметить, что мало кто будет спорить с тем, что оценка соответствия СЗИ нужна. Вопрос в том, КАК она осуществляется в России. Правила, которые не меняются уже 17 лет, давно устарели и требуют пересмотра. ФСТЭК лучше концентрироваться на этом, а не на попытке доказать, что оценка соответствия и обязательная сертификация — это одно и тоже.

    Ответить
  23. Unknown

    Vsv — коммерсант от ФСТЭКа, ему впаривать надо, потому спор этот бессмысленный и беспощадный. Но все равно за аргументы спасибо, Сергей Викторович, точнее за их несостоятельность.

    Ответить
  24. Анонимный

    vsv пишет…
    "Во-вторых, Ю.М. Сенаторов в своем письме НЕ ОТРИЦАЕТ необходимость использования сертифицированных средств, а наоборот, говорит о том что их надо использовать."

    Коллеги, мне кажется, что если всё таки читать _внимательно_ (а здесь все к этому призывают), то видно, что Сенаторов как раз ОТРИЦАЕТ необходимость сертифицированных СЗИ. Собственно, в этом весь смысл письма.

    Ответить
  25. Ost Евгений

    В случае защиты гос. тайны все понятно. А в случае с КИ (без букваря, логически), например при инциденте где злоумышленник нанес ущерб, как использовать закон, можно ли привлеч к суду? только если режим установлен так как прописано в законе и подзаконниках. например АС для обработки таких сведений должна быть защищена..а как подтверждаем соответствие требований безопасности информации, таким образом чтоб потом без претензий можно было утверждать что оценка не с потолка, это аттестация соответствия…а для аттестации необходимы сертифицированные СЗИ. тоесть если хотим получить не просто защиту, но и правовую ее часть, то надо следовать сертификации..а вобще сертификация не обязательна..никто не принуждает..) И ЦБ можно понять. Для защиты разнообразных банковских систем и подсистем не всегда можно удовлетвориться функционалом имеющихся на рынке сертифицированных средств.

    Ответить
  26. toparenko

    Evgeniy West пишет…
    А в случае с КИ (без букваря, логически), например при инциденте где злоумышленник нанес ущерб, как использовать закон, можно ли привлеч к суду?

    К суду можно привлечь за любое нарушение охраняемой законом тайны. А вот для взыскания ущерба надо еще его определить и доказать 😉

    Evgeniy West пишет…
    только если режим установлен так как прописано в законе и подзаконниках

    Режим тайны установлен только для КТ. Какие-то наметки пытаются нарисовать для ПДн. Для всех остальных видов тайн (не составляющих ГТ) описания режима тайны нет.
    Для КТ техмеры не прописаны не в законе, не в подзаконниках.

    Ну и аттестация не факт, что защитит от утечки. Были поползновения сделать аттестацию индульгенцией — но они не прошли (и это отрадно)

    Ответить