Сертифицированные средства

защиты для ИСПДн. Надо или в топку?

Лукацкий Алексей, консультант по безопасности

О сертификации средств защиты ПДн

• Методами и способами защиты информации от

несанкционированного доступа являются…использование

средств защиты информации, прошедших в установленном

порядке процедуру оценки соответствия

• Оценка соответствия регулируется ФЗ-184 «О техническом

регулировании»

• Оценка соответствия - прямое или косвенное определение

соблюдения требований, предъявляемых к объекту

– ст. 2 ФЗ-184 «О техническом регулировании»

Оценка соответствия

• Оценка соответствия проводится в формах государственного

контроля (надзора), аккредитации, испытания, регистрации,

подтверждения соответствия, приемки и ввода в эксплуатацию

объекта, строительство которого закончено, и в иной форме

– ст.7 ФЗ-184 «О техническом регулировании»

• Самым распространенным мнением является уравнивание

оценки соответствия и подтверждения соответствия

• Согласно Приказу Председателя Гостехкомиссии России от 27

октября 1995 г. № 199 обязательной сертификации подлежат

любые средства защиты информации ограниченного доступа

– В первоначальной версии этой приписки не было

Оценка соответствия ≠ сертификация

Оценка соответствия

Госконтроль и надзор

Аккредитация

Испытания

Регистрация

Подтверждение соответствия

Добровольная сертификация

Обязательная сертификация

Декларирование соответствия

Приемка и ввод в эксплуатацию

В иной форме

Подтверждение соответствия

• Документальное удостоверение соответствия продукции или

иных объектов, процессов проектирования (включая изыскания),

производства, строительства, монтажа, наладки, эксплуатации,

хранения, перевозки, реализации и утилизации, выполнения

работ или оказания услуг требованиям технических регламентов,

положениям стандартов, сводов правил или условиям договоров

– ст.2 ФЗ-184 «О техническом регулировании»

• Подтверждение

– Добровольная сертификация

– Обязательная сертификация

– Обязательная декларация о соответствии

Подтверждение соответствия

• Обязательное подтверждение соответствия проводится только в

случаях, установленных соответствующим техническим

регламентом, и исключительно на соответствие требованиям

технического регламента

– ст.23.1 ФЗ-184 «О техническом регулировании»

• В случае отсутствия тех.регламентов, действуют требования,

установленные органами исполнительной власти (ст.5.1 ФЗ-184),

а порядок их применения определяется Правительством (ст.5.2

ФЗ-184)

– Акты нижестоящих структур могут только конкретизировать

детали, а не устанавливать/изменять существо требований

Не ФСТЭК устанавливает особенности оценки

соответствия

• Особенности оценки соответствия продукции (работ, услуг) и

объектов, а также соответственно процессов их проектирования

(включая изыскания), производства, строительства, монтажа,

наладки, эксплуатации, хранения, перевозки, реализации,

утилизации, захоронения устанавливаются Правительством

Российской Федерации

– ст.5 ФЗ-184 «О техническом регулировании»

– Не ФСТЭК определяет требования, а Правительство

Об обязательной сертификации СЗИ

• Согласно ПП-608 обязательная сертификация средств защиты

предусматривается только для защиты гостайны

– В остальных случаях сертификация является добровольной

• Согласно ПП-1013 средства защиты не входят в перечень

товаров, подлежащих обязательной сертификации

– 1 декабря 2009 было принято новое ПП-982 «Об утверждении

единого перечня продукции, подлежащей обязательной

сертификации, и единого перечня продукции, подтверждение

соответствия которой осуществляется в форме принятия

декларации о соответствии»

Постановление Правительства №982

• С 1-го декабря 2009 года существует единый перечень всех

товаров, которые подлежат обязательной сертификации...

– Исключая продукцию, требования к которой устанавливаются в

соответствии со статьей 5 Федерального Закона «О техническом

регулировании»

• Иными словами обязательная сертификация средств защиты

может быть определена отдельными нормативными актами…

– Особенности технического регулирования в части разработки и

установления обязательных требований ... устанавливаются

Президентом Российской Федерации, Правительством

Российской Федерации в соответствии с их полномочиями (ФЗ-

184 «О техническом регулировании»)

• ФСТЭК требует обязательной сертификации средств защиты (как

и аттестации) негостайны, а Правительство нет

– Или все-таки да?!

Гром с ясного неба!!!

• ПП-330 от 15 мая 2010 г. «Об особенностях оценки соответствия

продукции (работ, услуг), используемой в целях защиты

сведений, относимых к охраняемой в соответствии с

законодательством РФ информации ограниченного доступа, не

содержащей сведения, составляющие государственную тайну, а

также процессов ее проектирования (включая изыскании),

производства, строительства, монтажа, наладки, эксплуатации,

хранения, перевозки, реализации, утилизации и захоронения,

об особенностях аккредитации органов по сертификации и

испытательных лабораторий (центров), выполняющих работы по

подтверждению соответствия указанной продукции (работ,

услуг)»

– ДСП

Постановление Правительства 330

• Сфера применения - государственные информационные ресурсы

и персданные

– Нелогично, но зато не на все виды информации

• Оценка соответствия осуществляется в формах обязательной

сертификации и государственного контроля (надзора)

– Теперь только сертифицированные средства защиты

информации

• Принцип подтверждения соответствия – «ограниченный доступ к

информации и документам, касающимся установления

обязательных требований, сертификационных испытаний

продукции и подтверждения ее соответствия, а также

методов и способов защиты информации конфиденциального

характера»

ФСТЭК и ПП-330?

Надо ли выполнять ПП-330?

• На основании и во исполнение федеральных законов

государственные органы, Банк России, органы местного

самоуправления в пределах своих полномочий могут принимать

нормативные правовые акты по отдельным вопросам,

касающимся обработки персональных данных

• Такие акты не могут содержать положения, ограничивающие

права субъектов персональных данных, устанавливающие не

предусмотренные федеральными законами ограничения

деятельности операторов или возлагающие на операторов не

предусмотренные федеральными законами обязанности, и

подлежат официальному опубликованию

– Ст.4.2 ФЗ-152

Так обязательная или добровольная?

Сертифицированные СЗИ, банки и СТО БР ИББС

• В составе АБС должны применяться встроенные защитные меры,

а также рекомендуются к использованию сертифицированные

или разрешенные руководством организации к применению

средства защиты информации от НСД и НРД

– Раздел 7.4.2 СТО БР ИББС-1.0

• Выполнение функций обеспечения безопасности персональных

данных в ИСПДн должно обеспечиваться средствами защиты

информации, прошедшими в установленном порядке процедуру

оценки соответствия, а также комплексом встроенных

механизмов защиты ЭВМ, ОС, СУБД, прикладного ПО

– Раздел 6.3.2 РС БР ИББС 2.3

• Но каков юридический статус СТО БР ИББС в настоящий

момент?

Мнение Сенаторова М.Ю.

• Отсутствие в настоящее время технических регламентов,

устанавливающих требования к СЗИ, используемым для

обеспечения безопасности ПДн при их обработке в ИСПДн,

делает невозможным как оценку соответствия, так и добровольное

или обязательное подтверждение соответствия СЗИ.

• Таким образом, до выпуска документов, обеспечивающих

выполнение требований законодательства, считаем возможным

применение для обеспечения безопасности ПДн при их обработке

в ИС встроенных защитных мер, сертифицированных СЗИ, а

также средств защиты, не включённых в Единый перечень

товаров, к которым применяются запреты или ограничения на ввоз

или вывоз государствами - участниками таможенного союза, в

рамках ЕвразЭС в торговле с третьими странами

– Письмо ЦБР от от 17 ноября 2011 г. № 015-16-9/4713 “О средствах

защиты информации, применяемых при обработке персональных

данных”

Еще раз об оценке соответствия

• Оценка соответствия проводится в формах государственного

контроля (надзора), аккредитации, испытания, регистрации,

подтверждения соответствия, приемки и ввода в эксплуатацию

объекта, строительство которого закончено, и в иной форме

– Государственный контроль и надзор – это тоже форма оценки

соответствия

• Можно дожидаться надзорных мероприятий со стороны ФСТЭК…

• А еще оператор ПДн может самостоятельно осуществить

приемку и ввод в эксплуатацию системы защиты

– В соответствие с требованиями ст.18.1 и 19 152-ФЗ, п.3 ст.7 184-

ФЗ, п.5 ПП-781, признать прошедшими испытания и ввести в

эксплуатацию следующие технические средства защиты

ИСПДн…

Небольшое изменение формулировки закона…

• Особенности оценки соответствия продукции (работ, услуг) и

объектов, а также соответственно процессов их проектирования

(включая изыскания), производства, строительства, монтажа,

наладки, эксплуатации, хранения, перевозки, реализации,

утилизации, захоронения устанавливаются Правительством

Российской Федерации

– ст.5 ФЗ-184 «О техническом регулировании»

– Не ФСТЭК определяет требования, а Правительство

• Так было до 30.11.2011

…и куча новых вопросов, остающихся пока без ответов

• ФЗ-347 от 30.11.2011 разрабатывался для технического

регулирования объектов атомной энергетики, но…

– Нечеткости формулировки….

• Особенности оценки соответствия продукции (работ, услуг), а

также соответственно процессов их проектирования (включая

изыскания), производства, строительства, монтажа, наладки,

эксплуатации, хранения, перевозки, реализации, утилизации,

захоронения устанавливаются Правительством Российской

Федерации или уполномоченными ими федеральными органами

исполнительной власти

– Новая редакция ст.5 ФЗ-184

Что в сухом остатке

• Требование «оценки соответствия» есть и от него никуда не

деться

– Не все регуляторы одинаково читают и трактуют ФЗ-184

• Однозначного ответа по обязательности сертификации нет

– При условии, что на ПП-330 и дальше будет висеть гриф «ДСП»

• Оценка соответствия может быть в различных формах

– От сертификации и государственного контроля и надзора до

приемки и ввода в эксплуатацию

• Если сценарий развития будет негативным (вероятность 65%)

– Небольшие западные игроки рынка ИБ не выживут в условиях

изменившихся правил игры

– Крупные западные игроки рынка ИБ, которые не учли специфику

регулирования вопросов ИБ в России, столкнутся с серьезными

трудностями

© Cisco и (или) дочерние компании, 2011 г. Все права защищены. Общедоступная информация Cisco BRKSEC-1065 21

Благодарю вас

за внимание

security-request@cisco.com