Четверокнижие по ПДн — next generation

На сайте ФСТЭК размещен проект приказа «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных», который судя по всему приходит на смену пресловутому четверокнижию. Из интересного в нем:

  • планируется его подпись у директора ФСТЭК, а не его заместителя
  • выбор и реализация методов и способов защиты информации в ИСПДн осуществляются на основе определяемых оператором угроз безопасности персональных данных (модели угроз) и в зависимости от класса информационной системы, определенного в соответствии с Приказом трех.
  • методы и способы защиты информации … в зависимости от класса информационной системы определяются оператором в соответствии с приложением к настоящему Положению. Приложение к Положению привязано к 4-м классам. Т.к. приказ трех у нас не определяет классов для специальных систем, то… опять свобода творчества.
  • вместо детального перечисления длин паролей и другой тягомотины первой версии четверокнижия, в данном Положении просто перечислены основные механизмы защиты, что большой плюс (да и перечень на первый взгляд достаточно грамотный). Правда, вся тягомотина, присущая первой версии четверокнижия, перекочевала в Приложение. Но ее причесали, убрали нестыковки, повторы и просто невыполнимые или непонятные требования. Т.е. привели в читаемый вид.
  • НДВ требуется только для ИСПДн 1-го класса (для 2-го и 3-го — по решению оператора)
  • защита от утечек по техническим каналам осталась для 1-го класса (но фраза может толковаться свободно — «могут использоваться», а не «должны использоваться»). Для ИСПДн 2-го класса надо применять СВТ, удовлетворяющие требованиям национальных стандартов по электросовместимости и т.п. (все как в первом четверокнижии).
  • в системах 1-го класса с голосовым вводом (IVR) или воспроизведением голоса требуется защита акустики.
  • борьба с видовыми утечками реализуется оргмерами (отвернуть монитор от окна, например).

Но самое главное!!! Ни слова про сертифицированные решения, аттестацию объекта информацизации и получение лицензии на ТЗКИ! Если документы пройдут в таком виде, то они станут более приближенными к реальности и за них уже не будет так стыдно, как за предыдущие редакции четверокнижия.

PS. Malotavr у себя в блоге более детально и концептуально прошелся по новому проекту.

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем.

  1. Ригель

    Очевидно, что во ФСТЭКе не самоубийцы.
    Хе, интересно сейчас будет позырить волну "а ведь я Вам говорил".

    Ответить
  2. Анонимный

    а зачем теперь нужна класификация, если всё по модели угроз?

    Ответить
  3. AndrewZ

    Выглядит более адекватно. Раздел 2 воплощает собой шаг в сторону подхода по реализации базового уровня безопасности исходя из архитектуры ИС — теперь понятно, когда нужны МЭ, VPN, антивирусы, независимо от классов ИС. Несмотря на отсутствие явного требования использования только сертифицированных СЗИ — при проверке вам зададут резонный вопрос: а чем вы подтвердите, что указанные в НРД требования по безопасности реализованы в вашей ИСПДн?
    И криптографию никто не отменял. Используете VPN? Будьте любезны ГОСТ.

    Ответить
  4. Quiet Zone

    Да уж, не самоубийцы, но видно тернист был путь к этому выводу, раз Гришанков понадобился.
    "Могут применяться" вместо "должны" очень радует. Теперь в качестве меры обработки риска от утечки по техническим каналам отодвигаем АРМ от внешней стены. А необходимость контроля НДВ для К1 и тестирование на проникновение огорчили((

    Ответить
  5. Ригель

    Какой-такой Гришанков-Мишанков? У системы инстинкт самосохранения по-любому включился бы.

    Ответить
  6. Анонимный

    Геннадий: Пока это проект, каким он выйдет скоро увидим… Всё может поменяться.
    Но в таком виде более интересно, немного изменили фразы и сразу смысл жругой 🙂
    Про НДВ для К1, зато написано, что только для СЗИ. БЕз прикладного ПО.

    Классифицировать все равно надо.

    Ответить
  7. Алексей Т.

    Кто такой Гришанков? Инстинкты-инстинктами, а эволюцию никто не отменял. Попробовали, поработали — всплыли проблемы, устраняют. Про вложенные деньги можно забыть, ошибок без затрат не бывает. 🙂 Ждем утверждения. Не совсем понятна взаимосвязь с Мероприятиями/Рекомендациями. Если вместо них — не совсем корректно. Если вместе с ними — еще хуже. Отсутствие обязательной аттестации не радует. Иногда проще провести аттестацию и показать РКН аттестат, чем долго объяснять не разбирающимся людям технические вопросы ЗИ. А вот оставить аттестацию и в случае чего разбираться с лицензиатом и оператором. ФОрмально, но ответственность есть. Коррупции меньше. Да и аттестовать по новому документу значительно проще. ГНИИИ ПТЗИ молодцы — отдельное спасибо за переработку! 🙂

    Ответить
  8. Анонимный

    Не согласен с тем, что сертификацию отменили — ведь в ПП781 прописана необходимость оценки соответствия. А она может быть сейчас либо в виде сертификации либо в виде аттестации 😉

    Ответить
  9. AndrewZ

    В ПП781 говорится только о том, что "Средства защиты информации, применяемые в информационных системах, в
    установленном порядке проходят процедуру оценки соответствия". Про аттестацию ИСПДн нет ни слова.

    Ответить
  10. Анонимный

    В настоящее время установлены следующие процедуры оценки соответствия: Сертификация или Аттестация, т.к. нет явного указания, оператор может выбирать самостоятельно (не относится к гос.).

    Ответить
  11. Quiet Zone

    Ригель

    А если бы нет? Тем более, что самой-то системе выгодно ставить невыполнимые задачи, так их нужность не иссякнет. Сослагательное наклонение здесь не к месту, еж птица гордая — пока не пнешь, не полетит. Насчет Гришанкова — это шутка? http://www.tsarev.biz/?p=916

    Алексей Т.

    У меня не сложилось ощущения, что здесь сработала схема "Попробовали, поработали — всплыли проблемы, устраняют." Это разумная и функциональная схема импрувмента, в отчизне малоупотребимая. Представители ФСТЭК с адским пламенем в очах твердили, что "да, жестко, но вы обязаны и точка". Ни грамма сомнений в верности курса не было, никаких намеков на самокритику. Если бы они хоть раз сказали "давайте поработаем так, накопим замечаний, и после переделаем" — сомнений бы не возникало. Во всяком случае я не слышал. А в данном случае прав Малотавр — заставили сделать ударными темпами, ну те и сделали, нате! Живите теперь по ним. Ну а дальше все по схеме летающего ежа.

    Ответить
  12. Алексей Лукацкий

    Алексей Т.: Гришанков — это зам.главы комитета ГД по безопасности.

    И зачем РКН объяснять технические вопросы? Это не их тема. Они только ФЗ занимаются. Технические вопросы в сфере компетенции иных служб.

    Анонимному (второму с конца): Правила оценки соответствия устанавливает Правительство. Оно этого по теме персданных не сделало. Т.ч. требование есть, но оно не реализуемо

    Анонимному (первому с конца): Аттестации вообще нет в списке форм оценки соответствия. Посмотрите ФЗ "О техрегулировании".

    Ответить
  13. Анонимный

    Если не ошибаюсь в законе о тех. рег. указано что оценка соответствия может проводиться ТОЛЬКО на соответствие тех регламенту… коего нет ?!

    Ответить
  14. Анонимный

    AndrewZ пишет…
    И криптографию никто не отменял. Используете VPN? Будьте любезны ГОСТ.

    Из текста, кстати, не следует это утверждение.
    См. http://dom.bankir.ru/showpost.php?p=2673808&postcount=3126

    Скорее следует VPN, PKI и токены не относятся к СКЗИ — что несколько удивило, но вспомнилась практика сертификации продуктов их содержащих как СЗИ…

    Ответить
  15. Анонимный

    и еще неопределенность в п. 2.6.:
    "анализ принимаемой по информационно-телекоммуникационным сетям международного информационного обмена (сетям связи общего пользования) информации, в том числе на наличие компьютерных вирусов."

    Ответить
  16. Www123

    А если пойти от противного:
    Пункт нового документа 2.11:
    Подключение информационной системы к информационной системе другого класса … осуществляется с использованием межсетевых экранов.
    То есть при взаимоподключении ИСПДн одного класса — не надо МЭ ?

    Ответить
  17. SD

    "Ни слова про сертифицированные решения, аттестацию объекта информацизации и получение лицензии на ТЗКИ!"

    Ну и правильно. В установленном порядке. 🙂

    А установленный порядок… Одно лицензрирование чего стоит:
    ТЗКИ — лицензируемый вид деятельности, а по ПП504 лицензионное требование — аттестация. Выходит, обязательное. Так что придется и K4 аттестовать?

    Ответить
  18. Алексей Т.

    А.Лукацкий:
    Про Гришанкова почитал, спасибо. 🙂 Много интересного в интернете есть.
    По поводу аттестации: если убрать аттестацию, фактически непонятна форма оценки защищенности ИСПДн. Формально, аттестация является неплохой формой (если будет контролироваться периодически ФСТЭК) и освобождает от РКН от дебрей проверки реализации требований. Участие специалистов ФСТЭК в проверках вызывает очень большие сомнения — ну нет такого количества специалистов у ФСТЭК.
    Еще раз повторю — ждем окончательного решения по статусу документа.

    Ответить
  19. Vlad

    Возникает вопрос — ДОКОЛЕ?

    С одной стороны хорошо, что требования вроде ослабляются. С другой — а как быть тем, кто "с шашкой наголо" уже все привел в соответствие 4-книжию? А что будет дальше? Будь я на стороне оператора, уже стал бы задумываться — а стоит ли напрягаться, может еще подождать. Того и гляди требования еще ослабят…

    Ответить
  20. SD

    "С другой — а как быть тем, кто "с шашкой наголо" уже все привел в соответствие 4-книжию?"

    Как что? Исполнять закон (еще раз). 🙂

    Ответить
  21. Алексей Лукацкий

    И как показывают рекомендации Минсоцздрава, это обычный совет 😉 Хотя тех, кто что-то сделал с технической точки зрения — единицы. Только те, кого запугали регуляторы или интеграторы.

    Ответить
  22. Vlad

    В защиту интеграторов… Те, кто хотят не просто срубить бабло, уже давно говорят клиентам, что сначала стоит выполнить требования 152-ФЗ, а потом уже думать о реализации требований ФСТЭК/ФСБ ))

    Ответить
  23. Алексей Лукацкий

    А что им остается говорить, когда всем стало понятно, что регуляторы (один из них) сели в лужу со своими требованиями

    Ответить
  24. Vlad

    Тем не менее, возникает странная ситуация, что сами заказчики спрашивают о ПОЛНОСТЬЮ реализованных проектах…

    Ответить
  25. Алексей Лукацкий

    А это те, которых запугали интеграторы 😉

    Ответить
  26. SD

    "сначала стоит выполнить требования 152-ФЗ, а потом уже думать о реализации требований ФСТЭК/ФСБ"

    А в чем разница?

    Ответить
  27. doom

    2 Евгений Родыгин

    >Если не ошибаюсь в законе о тех. рег. указано что оценка соответствия может проводиться ТОЛЬКО на соответствие тех регламенту… коего нет ?!

    Есть еще последняя статья (переходные положения), где оговаривается пара исключений:

    До дня вступления в силу соответствующих технических регламентов обязательная оценка соответствия, в том числе подтверждение соответствия и государственный контроль (надзор), а также маркирование продукции знаком соответствия осуществляется в соответствии с правилами и процедурами, установленными нормативными правовыми актами Российской Федерации и нормативными документами федеральных органов исполнительной власти, принятыми до дня вступления в силу настоящего Федерального закона.

    Помните вашу ремарку про положение о сертификации средств защиты информации (что оно вообще-то только на СрЗИ для защиты гос. тайны распространяется)? Вот эта ремарка и позволяет говорить, что требование обязательной сертификации СрЗИ для нужд защиты ПДн — незаконно.

    Но меня в свое время за такое заявление разве что не побили на одном мероприятии 🙂

    Второй момент, это:

    3. Правительством Российской Федерации до дня вступления в силу соответствующих технических регламентов утверждаются и ежегодно уточняются единый перечень продукции, подлежащей обязательной сертификации, и единый перечень продукции, подлежащей декларированию соответствия.

    Естественно, никаких СрЗИ в этом перечне нет.

    Но, чисто теоретически, возможность протащить обязательную сертификацию по нынешним документам — была.

    Ответить
  28. Анонимный

    2 doom
    Именно !!!
    Осталось найти ссылку на действующий перечень…

    Такие же ссылки идут в КОАП-е статьи 13.** там явно только про гос.тайну и перечень…

    Вне всякого сомнения ФСЭКу бы ло бы не плохо внести ясность в этом вопросе у себя на сайте… ибо требования к сертифицированным средствам появляются в конкурсной документации в контрактах и т.п. только на основе представлений составителей конкурсной документации.

    Ответить
  29. doom

    >Осталось найти ссылку на действующий перечень…

    А что ее искать-то — вот оно. Свеженькое. Никаких тебе СрЗИ.

    >ибо требования к сертифицированным средствам появляются в конкурсной документации в контрактах и т.п. только на основе представлений составителей конкурсной документации.

    Тем не менее, они имеют право — это уже не обязательная сертификация просто, а добровольная.

    Ответить
  30. Алексей Т.

    А вы скачайте перечень и посмотрите — мне кажется этот перечень не меняется лет …дцать. 🙂 Мне кажется полемика по этой теме бесполезна — надо сертифицировать и аттестовывать. 🙂 Кто-нибудь может предложить что-нибудь лучше? Нужно улучшать и делать прозрачными работающие процедуры, чем обсуждать насколько они нужны.

    Ответить
  31. Анонимный

    2 Алексей Т.
    А тут вопрос не в обсуждении необходимости… вопрос в :
    1. четкости и прозрачности требований
    2. стройности нормативно-методических документах.

    Порой такие курьезы происходят на конференциях !!! Консультанту не говоря уж о представителях нужно на что то опираться(документ недвусмысленную формулировку) а так и опереться не на что кроме фразы "сложилась такая практика и мой большой опыт…."

    Ответить
  32. doom

    2 Алексей Т.

    Весь дух закона о тех. регулировании говорит о простой вещи государству: не лезь ты во все щели!
    Не нужны эти навязанные сверху схемы, если только речь не о здоровье и угрозе жизни людей.

    А вся узкоспециальная сертификация должна быть добровольной.
    И никого туда не надо загонять силком. Ведь Common Criteria занимались тем, что популяризировали свою систему, объясняли ее преимущества перед другими — теперь западные вендоры такое ощущение, что хвалятся у кого EAL выше 🙂 Эта схема работает.

    А платить 20% от стоимости коммутатора Cisco, чтобы убедиться, что его ACL действительно способен фильтровать пакеты по IP адресам отправителя и получателя — это дорогое и никому не нужное удовольствие (хотя какое оно удовольствие).

    Тоже самое касательно аттестации. Аттестация в соответствии с действующим положением или с СТР-К — нежизнеспособна по определению.

    Наметки более жизнеспособной схемы так и остались наметками и никакого движения там нет (речь о проекте концепции оценки соответствия автоматизированных систем требованиям по безопасности информации).

    Я здесь утверждаю, что обязывать обычных людей сертифицировать СрЗИ в системах сертификации ФСТЭК или ФСБ — это заведомо неправильно. Это такая же непонятно кому нужная условность, как и проверка каждой асы, поставляемой в Россию в недрах ФСБ — от таких действий виден только вред, а польза как-то не наблюдается…

    Ответить
  33. Анонимный

    мдааа… вполне компетентные, но глубоко наивные люди))
    и не один из них не вспомнил о "теории хаоса"…
    документов мало, и разрабатывал их ограниченный круг людей… поговорите с ними, войдите в их положение… и вы всё поймёте))

    Ответить
  34. Алексей Т.

    2 doom Проектов по ОК и не только все больше и больше на сайте ФСТЭК. ПРоблем с их внедрением еще больше:
    — нестыковка с действующими РД/НМД (АС, СВТ, СТР-К) не позволяет полностью одномоментно перейти к их применению;
    — несоответствие терминов и понятий (для специалистов ИТ не проблема, для всех остальных конец света). Несоответствие так и не было устранено из-за исторического соперничества двух организаций (кому надо, могу рассказать каких);
    — вымирание специалистов, способных разработать нормальные документы (в этих двух организациях их фактически осталось очень мало, и то среднего и высшего уровня управления);
    — ну и еще куча проблем.
    В итоге сертификация по ОК стала в РОссии упрощенной сертификацией СЗИ, не став достоверней и полнее (а даже совсем наоборот).
    Кстати, качество сертификации зависит от ОС и ИЛ — кому надо, могу порекомендовать качественные организации, которые отработают свои деньги. (это не реклама!!!!)

    Ответить
  35. Анонимный

    2 Алексей Т.

    Подписываюсь под сказанным!

    Добавлю только что… "В итоге сертификация по ОК стала в РОссии упрощенной сертификацией СЗИ"…

    С учетом названных и не названных проблем это "Упрощением" назвать нельзя… (для Заказчика/Разработчика/Пользователя)

    Ответить
  36. Алексей Лукацкий

    Последний анонимный: Вы о ком? О каких людях? Из NIST? Я с ними часто общаюсь — очень толковые люди. Понимают, что к чему.

    Ответить
  37. Nikita Gergel

    Но ситуация в текущий момент в любом случае ведет к сертификации/аттестиации. Клиенты приходят и талдычат об одном — дайте нам ваши решения, но чтоб они были сертифицированы — это решит все наши проблемы с ФЗ-152. И начинается растолковывание каждому от и до.

    И запугивают их не столько интеграторы, сколько регулятор(ы). В связи с чем делаю вывод, что кормушка была, есть и будет. Может более завуалированная, но состричь денег с операторов ПД (а вместе с ними с разработчиков софта, используемых в этих ИСПДн) некоторые товарищи возможности не упустят.

    Ответить
  38. doom

    Ну вот доигрались…
    Проект-то убрали с сайта 🙂

    Ответить
  39. AndrewZ

    Видимо накидали кучу вопросов. Поняли, что совсем сырой — вот и убрали.

    Ответить
  40. SD

    Вы кидали?

    А кто-нибудь кидал?

    А что, разве было какое-то предложение к обсуждению, по аналогии с СТО БР ИББС?

    🙂

    Ответить
  41. John

    Если интересно, на
    http://www.ispdn.ru/forum/index.php?PAGE_NAME=message&FID=1&TID=441&MID=6385&result=reply#message6385

    приведено сравнение требований к подсистемам безопасности по руководящему документу по АС (Гостехкомиссия) и проекту Приказу ФСТЭК.

    Ответить
  42. Алексей Лукацкий

    Кто хотел, обсудил и кинул им 😉 Но и они и сами умеют читать форумы и блоги.

    Ответить
  43. Алексей Т.

    Скорее всего звонков и запросов много появилось о разъяснениях. Кстати есть версия, что убрали, чтобы переложить в раздел с утвержденными документами. 🙂

    Ответить
  44. Анонимный

    >>Осталось найти ссылку на >>действующий перечень…

    >А что ее искать-то — вот оно. >Свеженькое. Никаких тебе СрЗИ.

    Коллеги, почему при доказывании своей правоты, приводя ссылки на законодательные акты, все так любят "забывать" некоторые моменты?

    Например, по приведенной ссылке на Постановление Правительства РФ от 1 декабря 2009 года N 982, почему то не рассмотрен п.4:
    "Настоящее постановление не распространяется на отношения, возникающие при проведении оценки соответствия продукции, требования к которой устанавливаются в соответствии со статьей 5 Федерального закона "О техническом регулировании".

    Смотрим статью 5 ФЗ о регулировании. И "вдруг" обнаруживаем там, что:
    "В отношении … продукции (работ, услуг), используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа; … обязательными требованиями наряду с требованиями технических регламентов являются требования, установленные государственными заказчиками, федеральными органами исполнительной власти, уполномоченными в области обеспечения безопасности, обороны, внешней разведки, противодействия техническим разведкам и технической защиты информации"

    Вот правомерность этих формулировок и комментируйте, а то "нет в списке, нет в списке"

    Ответить
  45. doom

    >Коллеги, почему при доказывании своей правоты, приводя ссылки на законодательные акты, все так любят "забывать" некоторые моменты?

    Почему сразу "забывать"? Честно признаюсь — никогда не замечал этих оговорок, ни в самом законе, ни в ПП.
    Так что, спасибо за информацию — но возникает вопрос, почему даже представители наших федеральных органов исполнительной власти, уполномоченных по вопросам… не могли четко сказать про соответствие их позиции законодательству РФ?

    Ответить
  46. Алексей Т.

    2 DOOM
    Расскажу вам по секрету — они и сами не знают, что так можно. 🙂 А за информацию по необходимости сертификации спасибо — в наших законах "куда повернул, туда и вышло"…

    Ответить
  47. Анонимный

    Хорошо бы еще теперь понять, в каком виде требования ФСТЭК будут законными, а в каком можно поспорить?

    Вот приказ, подписанный директором, более менее легитимен. А подписанный руководителем подразделения? А частное мнение руководителей ФСТЭК, активно высказываемое на различных конференциях и форумах, легко разрешающих то одно, то другое?

    Ответить
  48. Алексей Лукацкий

    Частное мнение чиновника — это частное мнение гражданина, не имеющее никакой юридической силы.

    Ответить
  49. doom

    Как показала практика, если ФСТЭК припереть к стенке (в смысле отправить официальный запрос), то частное мнение может превратить в более-менее официальный документ — письмо от ФСТЭК. Это уже какая-никакая юридическая сила.

    Ответить
  50. Алексей Лукацкий

    Вот если ты получишь официальный письменный ответ, то да 😉 Но у них колоссальное умение отвечать много, но не по существу.

    Ответить
  51. doom

    По поводу казуса со статьей 5 закона О техническом регулировании…

    Покопался тут. Статья 5 была изменена 1 мая 2007 года, до этого она называлась:
    Статья 5. Особенности технического регулирования в отношении оборонной продукции (работ, услуг) и продукции (работ, услуг), сведения о которой составляют государственную тайну.

    Правда по тексту статьи все-таки была малопонятная оговорка про "или относимых к охраняемой в соответствии с законодательством Российской Федерации информации ограниченного доступа".

    Но самое главное другое — вплоть до нынешнего года правительство не принимало ежегодное новое постановление об утверждении перечня товаров, подлежащих обязательной сертификации — они лишь вносили изменения в ПП аж от 1997 года, в котором, естественно, никаких оговорок про статью 5 закона О техническом регулировании не было.

    Так что я все-таки пока еще прав 🙂
    Новое ПП вступит в силу только с 14 февраля 🙂

    Ответить
  52. Serg13

    Коллеги, а поделитесь, плиз, документом, который обсуждаете. А то как-то убрали его с сайта (((
    я о "Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных"
    [email protected]

    Ответить
  53. Анонимный

    > Так что я все-таки пока еще прав:)

    Не хочется огорчать, но поскольку ФЗ по статусу выше ПП, то статья 5 действует с момента принятия ФЗ №184. Так что не важно, было это раньше в ПП или нет.

    Ответить
  54. doom

    2 Анонимный

    Но опять-таки не стоит забывать про 46 статью ФЗ, которая до сих пор говорит, что

    До дня вступления в силу соответствующих технических регламентов обязательная оценка соответствия, в том числе подтверждение соответствия и государственный контроль (надзор), а также маркирование продукции знаком соответствия осуществляется в соответствии с правилами и процедурами, установленными нормативными правовыми актами Российской Федерации и нормативными документами федеральных органов исполнительной власти, принятыми до дня вступления в силу настоящего Федерального закона.

    Здесь уже исключений не делают. И снова мы возвращаемся к тому, что у ФСТЭКа есть только Положение о сертификации, где прямо сказано, что СрЗИ — это ПТС, предназначенное для защиты гос. тайны и точка.

    Ответить
  55. безработный

    "НДВ требуется только для ИСПДн 1-го класса…", а разве в предыдущем документе было не так?)

    Ответить
  56. Алексей Лукацкий

    Смотря в какой из версий…

    Ответить