На сайте ФСТЭК размещен проект приказа «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных», который судя по всему приходит на смену пресловутому четверокнижию. Из интересного в нем:
- планируется его подпись у директора ФСТЭК, а не его заместителя
- выбор и реализация методов и способов защиты информации в ИСПДн осуществляются на основе определяемых оператором угроз безопасности персональных данных (модели угроз) и в зависимости от класса информационной системы, определенного в соответствии с Приказом трех.
- методы и способы защиты информации … в зависимости от класса информационной системы определяются оператором в соответствии с приложением к настоящему Положению. Приложение к Положению привязано к 4-м классам. Т.к. приказ трех у нас не определяет классов для специальных систем, то… опять свобода творчества.
- вместо детального перечисления длин паролей и другой тягомотины первой версии четверокнижия, в данном Положении просто перечислены основные механизмы защиты, что большой плюс (да и перечень на первый взгляд достаточно грамотный). Правда, вся тягомотина, присущая первой версии четверокнижия, перекочевала в Приложение. Но ее причесали, убрали нестыковки, повторы и просто невыполнимые или непонятные требования. Т.е. привели в читаемый вид.
- НДВ требуется только для ИСПДн 1-го класса (для 2-го и 3-го — по решению оператора)
- защита от утечек по техническим каналам осталась для 1-го класса (но фраза может толковаться свободно — «могут использоваться», а не «должны использоваться»). Для ИСПДн 2-го класса надо применять СВТ, удовлетворяющие требованиям национальных стандартов по электросовместимости и т.п. (все как в первом четверокнижии).
- в системах 1-го класса с голосовым вводом (IVR) или воспроизведением голоса требуется защита акустики.
- борьба с видовыми утечками реализуется оргмерами (отвернуть монитор от окна, например).
Но самое главное!!! Ни слова про сертифицированные решения, аттестацию объекта информацизации и получение лицензии на ТЗКИ! Если документы пройдут в таком виде, то они станут более приближенными к реальности и за них уже не будет так стыдно, как за предыдущие редакции четверокнижия.
PS. Malotavr у себя в блоге более детально и концептуально прошелся по новому проекту.
Очевидно, что во ФСТЭКе не самоубийцы.
Хе, интересно сейчас будет позырить волну "а ведь я Вам говорил".
а зачем теперь нужна класификация, если всё по модели угроз?
Выглядит более адекватно. Раздел 2 воплощает собой шаг в сторону подхода по реализации базового уровня безопасности исходя из архитектуры ИС — теперь понятно, когда нужны МЭ, VPN, антивирусы, независимо от классов ИС. Несмотря на отсутствие явного требования использования только сертифицированных СЗИ — при проверке вам зададут резонный вопрос: а чем вы подтвердите, что указанные в НРД требования по безопасности реализованы в вашей ИСПДн?
И криптографию никто не отменял. Используете VPN? Будьте любезны ГОСТ.
Да уж, не самоубийцы, но видно тернист был путь к этому выводу, раз Гришанков понадобился.
"Могут применяться" вместо "должны" очень радует. Теперь в качестве меры обработки риска от утечки по техническим каналам отодвигаем АРМ от внешней стены. А необходимость контроля НДВ для К1 и тестирование на проникновение огорчили((
Какой-такой Гришанков-Мишанков? У системы инстинкт самосохранения по-любому включился бы.
Геннадий: Пока это проект, каким он выйдет скоро увидим… Всё может поменяться.
Но в таком виде более интересно, немного изменили фразы и сразу смысл жругой 🙂
Про НДВ для К1, зато написано, что только для СЗИ. БЕз прикладного ПО.
Классифицировать все равно надо.
Кто такой Гришанков? Инстинкты-инстинктами, а эволюцию никто не отменял. Попробовали, поработали — всплыли проблемы, устраняют. Про вложенные деньги можно забыть, ошибок без затрат не бывает. 🙂 Ждем утверждения. Не совсем понятна взаимосвязь с Мероприятиями/Рекомендациями. Если вместо них — не совсем корректно. Если вместе с ними — еще хуже. Отсутствие обязательной аттестации не радует. Иногда проще провести аттестацию и показать РКН аттестат, чем долго объяснять не разбирающимся людям технические вопросы ЗИ. А вот оставить аттестацию и в случае чего разбираться с лицензиатом и оператором. ФОрмально, но ответственность есть. Коррупции меньше. Да и аттестовать по новому документу значительно проще. ГНИИИ ПТЗИ молодцы — отдельное спасибо за переработку! 🙂
Не согласен с тем, что сертификацию отменили — ведь в ПП781 прописана необходимость оценки соответствия. А она может быть сейчас либо в виде сертификации либо в виде аттестации 😉
В ПП781 говорится только о том, что "Средства защиты информации, применяемые в информационных системах, в
установленном порядке проходят процедуру оценки соответствия". Про аттестацию ИСПДн нет ни слова.
В настоящее время установлены следующие процедуры оценки соответствия: Сертификация или Аттестация, т.к. нет явного указания, оператор может выбирать самостоятельно (не относится к гос.).
Ригель
А если бы нет? Тем более, что самой-то системе выгодно ставить невыполнимые задачи, так их нужность не иссякнет. Сослагательное наклонение здесь не к месту, еж птица гордая — пока не пнешь, не полетит. Насчет Гришанкова — это шутка? http://www.tsarev.biz/?p=916
Алексей Т.
У меня не сложилось ощущения, что здесь сработала схема "Попробовали, поработали — всплыли проблемы, устраняют." Это разумная и функциональная схема импрувмента, в отчизне малоупотребимая. Представители ФСТЭК с адским пламенем в очах твердили, что "да, жестко, но вы обязаны и точка". Ни грамма сомнений в верности курса не было, никаких намеков на самокритику. Если бы они хоть раз сказали "давайте поработаем так, накопим замечаний, и после переделаем" — сомнений бы не возникало. Во всяком случае я не слышал. А в данном случае прав Малотавр — заставили сделать ударными темпами, ну те и сделали, нате! Живите теперь по ним. Ну а дальше все по схеме летающего ежа.
Алексей Т.: Гришанков — это зам.главы комитета ГД по безопасности.
И зачем РКН объяснять технические вопросы? Это не их тема. Они только ФЗ занимаются. Технические вопросы в сфере компетенции иных служб.
Анонимному (второму с конца): Правила оценки соответствия устанавливает Правительство. Оно этого по теме персданных не сделало. Т.ч. требование есть, но оно не реализуемо
Анонимному (первому с конца): Аттестации вообще нет в списке форм оценки соответствия. Посмотрите ФЗ "О техрегулировании".
Если не ошибаюсь в законе о тех. рег. указано что оценка соответствия может проводиться ТОЛЬКО на соответствие тех регламенту… коего нет ?!
AndrewZ пишет…
И криптографию никто не отменял. Используете VPN? Будьте любезны ГОСТ.
Из текста, кстати, не следует это утверждение.
См. http://dom.bankir.ru/showpost.php?p=2673808&postcount=3126
Скорее следует VPN, PKI и токены не относятся к СКЗИ — что несколько удивило, но вспомнилась практика сертификации продуктов их содержащих как СЗИ…
и еще неопределенность в п. 2.6.:
"анализ принимаемой по информационно-телекоммуникационным сетям международного информационного обмена (сетям связи общего пользования) информации, в том числе на наличие компьютерных вирусов."
А если пойти от противного:
Пункт нового документа 2.11:
Подключение информационной системы к информационной системе другого класса … осуществляется с использованием межсетевых экранов.
То есть при взаимоподключении ИСПДн одного класса — не надо МЭ ?
"Ни слова про сертифицированные решения, аттестацию объекта информацизации и получение лицензии на ТЗКИ!"
Ну и правильно. В установленном порядке. 🙂
А установленный порядок… Одно лицензрирование чего стоит:
ТЗКИ — лицензируемый вид деятельности, а по ПП504 лицензионное требование — аттестация. Выходит, обязательное. Так что придется и K4 аттестовать?
А.Лукацкий:
Про Гришанкова почитал, спасибо. 🙂 Много интересного в интернете есть.
По поводу аттестации: если убрать аттестацию, фактически непонятна форма оценки защищенности ИСПДн. Формально, аттестация является неплохой формой (если будет контролироваться периодически ФСТЭК) и освобождает от РКН от дебрей проверки реализации требований. Участие специалистов ФСТЭК в проверках вызывает очень большие сомнения — ну нет такого количества специалистов у ФСТЭК.
Еще раз повторю — ждем окончательного решения по статусу документа.
Возникает вопрос — ДОКОЛЕ?
С одной стороны хорошо, что требования вроде ослабляются. С другой — а как быть тем, кто "с шашкой наголо" уже все привел в соответствие 4-книжию? А что будет дальше? Будь я на стороне оператора, уже стал бы задумываться — а стоит ли напрягаться, может еще подождать. Того и гляди требования еще ослабят…
"С другой — а как быть тем, кто "с шашкой наголо" уже все привел в соответствие 4-книжию?"
Как что? Исполнять закон (еще раз). 🙂
И как показывают рекомендации Минсоцздрава, это обычный совет 😉 Хотя тех, кто что-то сделал с технической точки зрения — единицы. Только те, кого запугали регуляторы или интеграторы.
В защиту интеграторов… Те, кто хотят не просто срубить бабло, уже давно говорят клиентам, что сначала стоит выполнить требования 152-ФЗ, а потом уже думать о реализации требований ФСТЭК/ФСБ ))
А что им остается говорить, когда всем стало понятно, что регуляторы (один из них) сели в лужу со своими требованиями
Тем не менее, возникает странная ситуация, что сами заказчики спрашивают о ПОЛНОСТЬЮ реализованных проектах…
А это те, которых запугали интеграторы 😉
"сначала стоит выполнить требования 152-ФЗ, а потом уже думать о реализации требований ФСТЭК/ФСБ"
А в чем разница?
2 Евгений Родыгин
>Если не ошибаюсь в законе о тех. рег. указано что оценка соответствия может проводиться ТОЛЬКО на соответствие тех регламенту… коего нет ?!
Есть еще последняя статья (переходные положения), где оговаривается пара исключений:
До дня вступления в силу соответствующих технических регламентов обязательная оценка соответствия, в том числе подтверждение соответствия и государственный контроль (надзор), а также маркирование продукции знаком соответствия осуществляется в соответствии с правилами и процедурами, установленными нормативными правовыми актами Российской Федерации и нормативными документами федеральных органов исполнительной власти, принятыми до дня вступления в силу настоящего Федерального закона.
Помните вашу ремарку про положение о сертификации средств защиты информации (что оно вообще-то только на СрЗИ для защиты гос. тайны распространяется)? Вот эта ремарка и позволяет говорить, что требование обязательной сертификации СрЗИ для нужд защиты ПДн — незаконно.
Но меня в свое время за такое заявление разве что не побили на одном мероприятии 🙂
Второй момент, это:
3. Правительством Российской Федерации до дня вступления в силу соответствующих технических регламентов утверждаются и ежегодно уточняются единый перечень продукции, подлежащей обязательной сертификации, и единый перечень продукции, подлежащей декларированию соответствия.
Естественно, никаких СрЗИ в этом перечне нет.
Но, чисто теоретически, возможность протащить обязательную сертификацию по нынешним документам — была.
2 doom
Именно !!!
Осталось найти ссылку на действующий перечень…
Такие же ссылки идут в КОАП-е статьи 13.** там явно только про гос.тайну и перечень…
Вне всякого сомнения ФСЭКу бы ло бы не плохо внести ясность в этом вопросе у себя на сайте… ибо требования к сертифицированным средствам появляются в конкурсной документации в контрактах и т.п. только на основе представлений составителей конкурсной документации.
>Осталось найти ссылку на действующий перечень…
А что ее искать-то — вот оно. Свеженькое. Никаких тебе СрЗИ.
>ибо требования к сертифицированным средствам появляются в конкурсной документации в контрактах и т.п. только на основе представлений составителей конкурсной документации.
Тем не менее, они имеют право — это уже не обязательная сертификация просто, а добровольная.
А вы скачайте перечень и посмотрите — мне кажется этот перечень не меняется лет …дцать. 🙂 Мне кажется полемика по этой теме бесполезна — надо сертифицировать и аттестовывать. 🙂 Кто-нибудь может предложить что-нибудь лучше? Нужно улучшать и делать прозрачными работающие процедуры, чем обсуждать насколько они нужны.
2 Алексей Т.
А тут вопрос не в обсуждении необходимости… вопрос в :
1. четкости и прозрачности требований
2. стройности нормативно-методических документах.
Порой такие курьезы происходят на конференциях !!! Консультанту не говоря уж о представителях нужно на что то опираться(документ недвусмысленную формулировку) а так и опереться не на что кроме фразы "сложилась такая практика и мой большой опыт…."
2 Алексей Т.
Весь дух закона о тех. регулировании говорит о простой вещи государству: не лезь ты во все щели!
Не нужны эти навязанные сверху схемы, если только речь не о здоровье и угрозе жизни людей.
А вся узкоспециальная сертификация должна быть добровольной.
И никого туда не надо загонять силком. Ведь Common Criteria занимались тем, что популяризировали свою систему, объясняли ее преимущества перед другими — теперь западные вендоры такое ощущение, что хвалятся у кого EAL выше 🙂 Эта схема работает.
А платить 20% от стоимости коммутатора Cisco, чтобы убедиться, что его ACL действительно способен фильтровать пакеты по IP адресам отправителя и получателя — это дорогое и никому не нужное удовольствие (хотя какое оно удовольствие).
Тоже самое касательно аттестации. Аттестация в соответствии с действующим положением или с СТР-К — нежизнеспособна по определению.
Наметки более жизнеспособной схемы так и остались наметками и никакого движения там нет (речь о проекте концепции оценки соответствия автоматизированных систем требованиям по безопасности информации).
Я здесь утверждаю, что обязывать обычных людей сертифицировать СрЗИ в системах сертификации ФСТЭК или ФСБ — это заведомо неправильно. Это такая же непонятно кому нужная условность, как и проверка каждой асы, поставляемой в Россию в недрах ФСБ — от таких действий виден только вред, а польза как-то не наблюдается…
мдааа… вполне компетентные, но глубоко наивные люди))
и не один из них не вспомнил о "теории хаоса"…
документов мало, и разрабатывал их ограниченный круг людей… поговорите с ними, войдите в их положение… и вы всё поймёте))
2 doom Проектов по ОК и не только все больше и больше на сайте ФСТЭК. ПРоблем с их внедрением еще больше:
— нестыковка с действующими РД/НМД (АС, СВТ, СТР-К) не позволяет полностью одномоментно перейти к их применению;
— несоответствие терминов и понятий (для специалистов ИТ не проблема, для всех остальных конец света). Несоответствие так и не было устранено из-за исторического соперничества двух организаций (кому надо, могу рассказать каких);
— вымирание специалистов, способных разработать нормальные документы (в этих двух организациях их фактически осталось очень мало, и то среднего и высшего уровня управления);
— ну и еще куча проблем.
В итоге сертификация по ОК стала в РОссии упрощенной сертификацией СЗИ, не став достоверней и полнее (а даже совсем наоборот).
Кстати, качество сертификации зависит от ОС и ИЛ — кому надо, могу порекомендовать качественные организации, которые отработают свои деньги. (это не реклама!!!!)
2 Алексей Т.
Подписываюсь под сказанным!
Добавлю только что… "В итоге сертификация по ОК стала в РОссии упрощенной сертификацией СЗИ"…
С учетом названных и не названных проблем это "Упрощением" назвать нельзя… (для Заказчика/Разработчика/Пользователя)
Последний анонимный: Вы о ком? О каких людях? Из NIST? Я с ними часто общаюсь — очень толковые люди. Понимают, что к чему.
Но ситуация в текущий момент в любом случае ведет к сертификации/аттестиации. Клиенты приходят и талдычат об одном — дайте нам ваши решения, но чтоб они были сертифицированы — это решит все наши проблемы с ФЗ-152. И начинается растолковывание каждому от и до.
И запугивают их не столько интеграторы, сколько регулятор(ы). В связи с чем делаю вывод, что кормушка была, есть и будет. Может более завуалированная, но состричь денег с операторов ПД (а вместе с ними с разработчиков софта, используемых в этих ИСПДн) некоторые товарищи возможности не упустят.
Ну вот доигрались…
Проект-то убрали с сайта 🙂
Видимо накидали кучу вопросов. Поняли, что совсем сырой — вот и убрали.
Вы кидали?
А кто-нибудь кидал?
А что, разве было какое-то предложение к обсуждению, по аналогии с СТО БР ИББС?
🙂
Если интересно, на
http://www.ispdn.ru/forum/index.php?PAGE_NAME=message&FID=1&TID=441&MID=6385&result=reply#message6385
приведено сравнение требований к подсистемам безопасности по руководящему документу по АС (Гостехкомиссия) и проекту Приказу ФСТЭК.
Кто хотел, обсудил и кинул им 😉 Но и они и сами умеют читать форумы и блоги.
Скорее всего звонков и запросов много появилось о разъяснениях. Кстати есть версия, что убрали, чтобы переложить в раздел с утвержденными документами. 🙂
>>Осталось найти ссылку на >>действующий перечень…
>А что ее искать-то — вот оно. >Свеженькое. Никаких тебе СрЗИ.
Коллеги, почему при доказывании своей правоты, приводя ссылки на законодательные акты, все так любят "забывать" некоторые моменты?
Например, по приведенной ссылке на Постановление Правительства РФ от 1 декабря 2009 года N 982, почему то не рассмотрен п.4:
"Настоящее постановление не распространяется на отношения, возникающие при проведении оценки соответствия продукции, требования к которой устанавливаются в соответствии со статьей 5 Федерального закона "О техническом регулировании".
Смотрим статью 5 ФЗ о регулировании. И "вдруг" обнаруживаем там, что:
"В отношении … продукции (работ, услуг), используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа; … обязательными требованиями наряду с требованиями технических регламентов являются требования, установленные государственными заказчиками, федеральными органами исполнительной власти, уполномоченными в области обеспечения безопасности, обороны, внешней разведки, противодействия техническим разведкам и технической защиты информации"
Вот правомерность этих формулировок и комментируйте, а то "нет в списке, нет в списке"
>Коллеги, почему при доказывании своей правоты, приводя ссылки на законодательные акты, все так любят "забывать" некоторые моменты?
Почему сразу "забывать"? Честно признаюсь — никогда не замечал этих оговорок, ни в самом законе, ни в ПП.
Так что, спасибо за информацию — но возникает вопрос, почему даже представители наших федеральных органов исполнительной власти, уполномоченных по вопросам… не могли четко сказать про соответствие их позиции законодательству РФ?
2 DOOM
Расскажу вам по секрету — они и сами не знают, что так можно. 🙂 А за информацию по необходимости сертификации спасибо — в наших законах "куда повернул, туда и вышло"…
Хорошо бы еще теперь понять, в каком виде требования ФСТЭК будут законными, а в каком можно поспорить?
Вот приказ, подписанный директором, более менее легитимен. А подписанный руководителем подразделения? А частное мнение руководителей ФСТЭК, активно высказываемое на различных конференциях и форумах, легко разрешающих то одно, то другое?
Частное мнение чиновника — это частное мнение гражданина, не имеющее никакой юридической силы.
Как показала практика, если ФСТЭК припереть к стенке (в смысле отправить официальный запрос), то частное мнение может превратить в более-менее официальный документ — письмо от ФСТЭК. Это уже какая-никакая юридическая сила.
Вот если ты получишь официальный письменный ответ, то да 😉 Но у них колоссальное умение отвечать много, но не по существу.
По поводу казуса со статьей 5 закона О техническом регулировании…
Покопался тут. Статья 5 была изменена 1 мая 2007 года, до этого она называлась:
Статья 5. Особенности технического регулирования в отношении оборонной продукции (работ, услуг) и продукции (работ, услуг), сведения о которой составляют государственную тайну.
Правда по тексту статьи все-таки была малопонятная оговорка про "или относимых к охраняемой в соответствии с законодательством Российской Федерации информации ограниченного доступа".
Но самое главное другое — вплоть до нынешнего года правительство не принимало ежегодное новое постановление об утверждении перечня товаров, подлежащих обязательной сертификации — они лишь вносили изменения в ПП аж от 1997 года, в котором, естественно, никаких оговорок про статью 5 закона О техническом регулировании не было.
Так что я все-таки пока еще прав 🙂
Новое ПП вступит в силу только с 14 февраля 🙂
Коллеги, а поделитесь, плиз, документом, который обсуждаете. А то как-то убрали его с сайта (((
я о "Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных"
serg13zhebr@mail.ru
> Так что я все-таки пока еще прав:)
Не хочется огорчать, но поскольку ФЗ по статусу выше ПП, то статья 5 действует с момента принятия ФЗ №184. Так что не важно, было это раньше в ПП или нет.
2 Анонимный
Но опять-таки не стоит забывать про 46 статью ФЗ, которая до сих пор говорит, что
До дня вступления в силу соответствующих технических регламентов обязательная оценка соответствия, в том числе подтверждение соответствия и государственный контроль (надзор), а также маркирование продукции знаком соответствия осуществляется в соответствии с правилами и процедурами, установленными нормативными правовыми актами Российской Федерации и нормативными документами федеральных органов исполнительной власти, принятыми до дня вступления в силу настоящего Федерального закона.
Здесь уже исключений не делают. И снова мы возвращаемся к тому, что у ФСТЭКа есть только Положение о сертификации, где прямо сказано, что СрЗИ — это ПТС, предназначенное для защиты гос. тайны и точка.
"НДВ требуется только для ИСПДн 1-го класса…", а разве в предыдущем документе было не так?)
Смотря в какой из версий…