Что такое средство защиты информации?

Законодательство

Хотелось бы еще пройтись касательно последнего требования Указа, который гласит, что с 1-го января 2025 все попавшие под Указ организации не смогут использовать средства защиты из недружественных государств, а также от иных организаций, которые прямо или косвенно подконтрольны таким государствам. Отдельные депутаты необдуманно заявляют, что надо распространить эту норму не только на недружественные, но и вообще на все зарубежные средства защиты, включая пока еще молчащие китайские и израильские, а также вполне дружественные ближневосточные и южноамериканские. И многие заказчики, несмотря на слова Президента о том, что надо поддержать те немногочисленные иностранные компании, что еще остались в России, последуют стратегии «лучше перебдеть».

Обратите внимание, что указ говорит не о запрете закупки, а запрете использования. А это гораздо жестче требование.

Но важно другое. Что такое «средство защиты информации»? Если вспомнить определение из терминологического ГОСТ Р 50922-2006, то это «техническое, программное, программно-техническое средство, вещество и (или) материал, предназначенные или используемые для защиты информации«.

А закономерно ли использовать определение из ГОСТа?

Можно попробовать найти определение термина «средства защиты информации» в федеральном законодательстве. Тогда ситуация станет чуть лучше в контексте Указа, но она повлечет за собой гораздо более серьезные последствия, ведь согласно определениям в законе о гостайне (Закон РФ от 21.07.1993 №5485-1 «О государственной тайне») или в ПП-608 (Постановление Правительства РФ от 26.06.1995 №608 «О сертификации средств защиты информации») к последним можно относить только то, что имеет отношение к гостайне и более ничего.

Средства защиты информации — технические, криптографические, программные и другие средства, предназначенные для защиты сведений, составляющих государственную тайну, средства, в которых они реализованы, а также средства контроля эффективности защиты информации.

Технические, криптографические, программные и другие средства, предназначенные для защиты сведений, составляющих государственную тайну, средства, в которых они реализованы, а также средства контроля эффективности защиты информации являются средствами защиты информации.

Стоп-стоп-стоп… А есть же 55-й приказ ФСТЭК (Приказ ФСТЭК России от 03.04.2018 №55 «Об утверждении Положения о системе сертификации средств защиты информации»), в котором дается такое определение:

Продукция, используемая в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа, являющейся государственным информационным ресурсом и (или) персональными данными, продукция, сведения о которой составляют государственную тайну (далее — средства защиты информации).

Данное определение дано якобы в соответствие с ФЗ-184 «О техническом регулировании«, но в 5-й статье этого закона упоминание «продукции…» есть, а вот упоминания, что это средства защиты информации, нет. Да и ставить в один ряд ведомственный приказ и федеральный закон?.. Нууу, такое…

Вот и получается, что если следовать закону, то средства защиты информации — это только то, что касается гостайны.

ФСТЭК слишком расширительно стала толковать этот термин и это давняя история, которая тянется с 199-го приказа Гостехкомиссии 1995-го года. Там изначально была фраза о том, что обязательной сертификации подлежат только средства защиты гостайны (как до сих пор и написано в ПП-608), а в остальных случаях она носит добровольный характер. А все потому, что само определение объекта сертификации было очень узким.

Дискуссия о том, что пора бы уточнить этот термин, идет давно, но сейчас это определение поднимает целый ряд вопросов, которые придется решать. Например, возьмем шторку на веб-камеру, которая борется с видовыми утечками, — это ведь тоже средство защиты информации. И она должна быть с 1-го января 2025 года только отечественной (а они все производятся в Китае)! А в более широком смысле жалюзи на окнах? Это же тоже средства защиты. Как и замки на дверях. Да и вообще все, что с помощью чего можно реализовывать меры из 17/21/31/31/239 приказов ФСТЭК, ФСБ, Банка России и т.п.

А встроенные механизмы защиты информации в мобильную связь, например, смартфоны? А телевизионные приемники и встроенная в них защита сигнала? А как будут взаимодействовать отдельные российские госорганы с иностранцами (например, ФТС)? А АСУ ТП, которые у нас много где иностранные и там есть встроенные механизмы защиты? А СКЗИ в куче технологий? В конце концов, как будут отечественные коммерческие субъекты КИИ будут пользоваться браузерами, операционными системами, базами данных, сетевым оборудованием с встроенными механизмами защиты (они ведь относятся к средствам защиты согласно определению ФСТЭК)? Или за 2,5 года предполагается совсем отказаться от любого импорта? Вопросы, вопросы, вопросы…

Мне кажется, регуляторам пора уже определиться более четко с термином «средство защиты информации».

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем.

  1. пофиг

    А если начнется формироваться судебная практика то наш самый гуманный который как тот художник который каждый видит по своему…то будет еще интереснее…третий год сужусь с газпромом и понимаю всю глубину того пи….ца который творится в законотворчестве и принятии решения, каждый орган может применять как на душу ляжет….и главное никто ни за что не отвечает)))))))))…так что вершина айсберга этот кусочек сзи

    Ответить
    1. Алексей Лукацкий автор

      Да, проблема трактования законодательства, — это жопа 🙁

      Ответить
  2. Александр

    Есть ещё классификатор минцифры, и его 3й раздел (приказ №486 от 22.09.2020). Правда, он про «программы для ЭВМ…», шторки и жалюзи не учтены.

    Ответить
    1. Алексей Лукацкий автор

      А тут вопрос в том, насколько Минцифры уполномочено разъяснять, что такое средство защиты информации. И да, Минцифры — это про программы для ЭВМ. А к средствам защиты относятся еще и вещества 🙂 Что это, я не знаю, но допускаю, что защитная краска, которая наносится на стены для препятствования утечке акустической информации, может быть отнесена как раз к веществам. И это точно не про Минцифры

      Ответить
  3. Игорь

    Федеральный закон «О техническом регулировании» от 27.12.2002 № 184-ФЗ
    Часть 4. Особенности оценки соответствия продукции (работ, услуг), используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа устанавливаются Президентом Российской Федерации, Правительством Российской Федерации в соответствии с их полномочиями.
    Постановление Правительства России от 15.05.2010 № 330 «Об утверждении Положения об особенностях оценки соответствия продукции (работ, услуг), используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа»
    Оценка соответствия средств, предназначенных для защиты информации конфиденциального характера, средств в которых они реализованы, а также средств контроля эффективности защиты информации, используемых в целях защиты государственного информационного ресурса и (или) персональных данных, осуществляется в форме обязательной сертификации

    Ответить
    1. Алексей Лукацкий автор

      Я все что ждал, когда вытащат на свет «стюардессу». ПП-330 даже ФСТЭК не упоминает уже много лет. Оно в отношении ПДн не совсем легитимно, о чем все знают и поэтому не используют

      Ответить
  4. ТуркменЪ

    Алексей,
    спасибо за внимание к этой части указа. К сожалению, средства защиты информации могут быть не только организационные и аппаратные, но еще и программные. В процессе моего общения с представителямирегулятора, мне неоднократно было сказано, что средствами защиты, помимо прочего (программные firewalls, intrusion detection systems, и т. д.), являются любые программные средства, в которых реализованы технологии многопользовательского доступа к данным с разделением полномочий (ролей, уровней доступа, и т.д.). В этом случае любая ОС (как сама по себе, так и среда исполнения), СУБД, среда коллективной работы, система документооборота, и пр. ПО, являются средствами защиты информации, и если они иностранные, то с 1 января 2025 г. в ряде случаев использоваться не должны. На мой взгляд, это может означать необходимость прямо сейчас начинать планирование процессов перехода на имеющиеся аналоги, т.к. бюджет надо будет закладывать на это все в конце 2023 г.

    Ответить
    1. Алексей Лукацкий автор

      Так никто не спорит, что сказать можно, что угодно и что практика сложилась именно такая, о какой пишете вы и о какой говорит ФСТЭК. Только вот нормативные акты говорят немного о другом. И если регулятор хочет, чтобы все было по-правильному, стоило бы инициировать внесение изменений в законодательство. А то сейчас еще примут поправки о том, что 17-й приказ распространить на коммерческие организации, обрабатывающие информацию, обладателем которой является государство, и вопросов станет еще больше по поводу того, что надо сертифицировать.

      Ответить
      1. пофиг

        нафиг нафиг…два месяца без 17 приказа…новая работа…на старом месте «не специалисты»(специалисты на эти деньги не пойдут, слава богу вакансии начали расти как грибы) пытаются без денег чтото делать…сочуствую, но обратно не хочу…государство обрабатывает данные организации(налоговая, пенсионный итдитп) и подпадут тогда все)))))))нафигнафиг)))))))

        Ответить
  5. Василий

    В законе о ГТ статья 2 так и называется «Основные понятия, используемые в настоящем законе». Тем самым определение понятия «средства защиты иеформации» в этом законе используется только в целях его применения. Наиболее точное определение СЗИ дано в Гост, поэтому при контроле исполнения указа достаточно только в плане проверки указать, что понятие «средства защиты информации» используется в редакции Гост 50922. Таким образом сюда попадут и шторки, и краски и тд. Причем у Фстэк есть полномочия задавать требования к этим средствам, используемым как для защиты ГТ, так и конф.информации

    Ответить
    1. Алексей Лукацкий автор

      Ну когда у меня есть термин из ФЗ и ПП и термин из ГОСТа, почему последний имеет приоритет над первыми?

      Ответить
  6. Евгений

    Хотели как лучше, получилось как всегда. Вообще логичное решение и как показало время — доверять иностранным средствам защиты, такое себе. Сколько раз d-link ловили на бэкдорах и жизнь людей ничему не учит, пилят сеть на них же.

    Ответить
    1. Алексей Лукацкий автор

      Ну, во-первых, пилить больше не на чем. А, во-вторых, в нашем что, нет уязвимостей?

      Ответить
      1. Анатолий

        Наши — как «неуловимый Джо». Большинство информации об уязвимостей поступает из заграницы, т.к. там эта сфера — поиск уязвимостей — более развита, чем у нас. У нас за это можно и срок получить.

        Ответить
        1. Алексей Лукацкий автор

          Ну это не совсем так. Просто в абсолютном измерении число исследователей у нас меньше, чем у них. Да и искать в зарубежном софте дырки выгоднее, чем в отечественном

          Ответить