17 Марта, 2013

Оценка соответствия и актуальные угрозы

Алексей Волков
Ни для кого не секрет что мы, "безопасники" в массе своей ультраконсервативны. Любые реформы и перемены, так или иначе затрагивающие сферу нашей деятельности, вызывают разрыв внутреннего шаблона, а бессознательная профессиональная паранойя заставляет инстинктивно сопротивляться изменениям. Что уж говорить о нашем законодательстве, в котором большие революции делаются "по-тихому", незаметно, а иногда и вовсе с отвлечением внимания народных масс какими-нибудь громкими и социально значимыми, но совершенно бессмысленными законодательными инициативами, успешно отменяемыми после прохождения "нужного" законопроекта. В таких условиях мозг "безопасника", разрываемый внутренними противоречиями, съедает сам себя но, к счастью, "тихие" изменения не всегда означают "закручивание гаек". Сегодня мы разберем именно такой пример.

Речь, как вы уже догадались, пойдет об оценке соответствия средств защиты информации в свете новых НПА. Всем читателям, знакомым с тематикой ПДн (интересно, есть ли среди вас те, кто с ней не знаком ;) должно быть хорошо известна формулировка п. 3 ч. 1 ст. 19 152-ФЗ: "обеспечение безопасности персональных данных достигается, в частности, применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации". Куда более суровая формулировка была в п. 5 ныне отмененного ПП-781: "средства защиты информации, применяемые в информационных системах, в установленном порядке проходят процедуру оценки соответствия." То есть вариация "в частности", указанная в законе, нивелировалась императивом постановления Правительства: СЗИ проходят оценку соответствия - и без вариантов. Пункты 18, 19 и 20 ПП-781, хоть в явной форме и не говорили про сертификацию, но недвусмысленно на нее намекали: все, что они требовали - иначе как при сертификации взять было не откуда.

О том, что "сертификация" лишь одна из форм "оценки соответствия" и мной, и коллегами написано не раз . И этим можно пользоваться. Те, кто слушал мой вебинар и смотрел вот эту презентацию помнят, как я рекомендовал провести "оценку соответствия" одному из негосударственных операторов. В ответ на требования проверяющих предоставить сертификаты на имеющиеся СЗИ был продемонстрирован приказ "О вводе в эксплуатацию технических средств защиты информационных систем персональных данных", а устно рассказано про 184-ФЗ с ремаркой о том, что оператор готов доказывать правоту в суде, и в итоге вопросов у проверяющих не возникло. То есть еще тогда, при "старой" нормативке, при наличии ПП-330 можно было спокойно реализовать принцип "оценка соответствия не равно сертификация".

Что изменилось с выходом ПП-1119, отменой ПП-781 и, как следствие, разработанных "во исполнение" различных его пунктов, приказов и методичек? Во-первых, императив ПП-781 по части оценки соответствия СЗИ в ПП-1119 отсутствует: вместо него есть норма, предписывающая оператору "использовать средства защиты информации, прошедшие процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз" на минимальном, 4 уровне защищенности (пп. Г п. 13). Во-вторых, "недвусмысленные намеки" из ПП-781 относительно индексов, порядковых номеров и правил пользования СЗИ, согласованных с ФСБ и ФСТЭК, тоже исчезли. В третьих, оператор теперь вправе самостоятельно определять актуальные угрозы (п. 7), и выбирать средства защиты информации (п. 4) в соответствии с НПА, разрабатываемыми ФСТЭК и ФСБ.

Проект SOISO от ФСТЭК - тот, что экспертная группа (в составе которой мне посчастливилось работать) обсуждала и редактировала, в последней известной мне версии содержал формулировку, схожую с ПП-1119: "меры по обеспечению безопасности персональных данных реализуются, в том числе посредством применения в информационной системе средств защиты информации, прошедших в установленном порядке процедуру оценку соответствия, в случаях, когда применение таких средств необходимо для нейтрализации актуальных угроз безопасности персональных данных". Кроме того, пункт 12 этого же документа, начинающийся со слов "при применении сертифицированных средств защиты информации...", по сути, учитывает статус "сертификации" в системе оценки соответствия и предлагает ее как "опцию".

С этим, кажется, проблем нет - "негосударственные" операторы могут спокойно применять альтернативные методы оценки соответствия вроде того, о котором я говорил выше. Однако многим "безопасникам-консерваторам" будет очень тяжело это понять и принять, а главное - пользоваться. А пока "консерваторы" договариваются со своей бессознательной паранойей и, в надежде получить облегчение в виде начальственного указания "сверху", засыпают регуляторов вопросами, на которые у них нет и не может быть ответов, у "новаторов" возникает другая смелая идея: а так ли обязательна оценка соответствия в принципе?

Вернемся к ПП-1119 и проекту SOISO и попробуем переписать формулировку, предписывающую использовать СЗИ, прошедшие оценку соответствия, в стиле п. 5 ПП-781. Получается что-то вроде "меры по обеспечению безопасности персональных данных реализуются, в том числе посредством применения в информационной системе средств защиты информации, прошедших в установленном порядке процедуру оценку соответствия, в случаях, когда применение таких средств защиты информации необходимо для нейтрализации актуальных угроз безопасности персональных данных". На первый взгляд написано одно и то же, но на самом деле смысл фразы в корне поменялся: из-за устранения вариации "в том числе" фраза стала императивом, а замена слова "таких" устранила свободу для маневра.

Слово "таких" - ключевое в тексте. На вопрос - каких "таких средств?" ответ очевиден: "средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия". Иными словами, фразу из ПП-1119 можно переписать: "меры по обеспечению безопасности персональных данных реализуются, в том числе посредством применения в информационной системе средств защиты информации, прошедших в установленном порядке процедуру оценку соответствия, в случаях, когда применение таких средств средств защиты информации, прошедших в установленном порядке процедуру оценку соответствия необходимо для нейтрализации актуальных угроз безопасности персональных данных". Следующий вопрос: значит, можно и не применять средства защиты информации, прошедшие процедуру оценку соответствия? Ответ очевиден - можно, если для нейтрализации актуальных угроз в этом нет необходимости. Отсюда - третий, самый главный вопрос: если нет актуальных угроз, для нейтрализации которых необходимо применять средства защиты информации, прошедшие процедуру оценки соответствия, значит можно применять средства защиты информации, не прошедшие оценку соответствия?

Ответ на этот вопрос повергнет многих "безопасников" в шок, но этот ответ - ДА. Юристы общей практики склонны полагать: если в законодательстве явным образом что-то не запрещено, а для конкретных областей не установлены требования, ограничения и (или) ответственность за их нарушение - рассматриваемый предмет разрешен. Как известно, общий запрет на использование не прошедших процедуру оценки соответствия СЗИ в законодательстве РФ отсутствует, а это означает, что распространение и применение ЛЮБЫХ СЗИ в РФ в общем случае разрешено. В отличие от ПП-781, рассмотренные выше формулировки, по мнению юристов, нельзя считать ограничениями применительно к сфере ПДн, и в ответ на мой комментарий по поводу ПП-330 я в очередной раз был ткнут носом в ч. 2 ст. 4 152-ФЗ со словами "увидим в Российской газете - поговорим".

Таким образом, как "сертификация" является подмножеством "оценки соответствия", так "прошедшие процедуру оценки соответствия" СЗИ являются подмножеством разрешенного к использованию множества СЗИ. Учитывая тот факт, что оператор сам выбирает меры защиты и определяет актуальные угрозы - он, оператор, при составлении модели угроз или " положения о применимости мер обеспечения безопасности ПДн " решает, какие меры выбрать для нейтрализации угроз, нужно ли использовать СЗИ для реализации выбранных мер или можно вообще обойтись без них, и есть ли необходимость в том, чтобы выбранные СЗИ прошли процедуру оценки соответствия для нейтрализации актуальных угроз. Кроме того, в последнем случае оператор решает, какую именно форму оценки соответствия он выберет для того, чтобы определенные им актуальные угрозы были нейтрализованы.

Конечно, все это имеет право на существование, пока не опубликовано ПП-330, или пока органами государственной власти во исполнение ч. 5 ст. 19 не разработаны документы, определяющие актуальные угрозы, для нейтрализации которых будет необходимо использовать только сертифицированные СЗИ. Конечно, лицензиаты ФСТЭК, прочитав этот пост, яростно начнут сопротивляться, тыча пальцем в пп. Г и Д п. 6 ПП-79, где в лицензионных требованиях указано, что все используемые СЗИ должны быть сертифицированы и при этом не сказано, для внутреннего пользования или для проектов тоже (иными словами, предложил заказчику несертифицированное СЗИ для защиты ПДн - лицензия долой). Конечно, кто-то будет несогласен с изложенной позицией в принципе - это нормально. Но даже если малая часть "безопасников" преодолеет себя и попытается хотя бы отойти от обязательной сертификации как единственной формы оценки соответствия и использовать альтернативные методы - уже хорошо: авось законодатели, наконец, вынуждены будут заняться и этим пробелом.

В любом случае - решать нам, операторам: ведь регулирование в нашей стране, к сожалению, тоже является актуальной угрозой. Я бы, конечно, попробовал обойтись без оценки соответствия в принципе - но, к сожалению, проверить это на практике не на ком: ФСТЭК и ФСБ "коммерсантов" (не имеющих лицензии, выдаваемые ими) не проверяет, Роскомнадзор скоро официально перестанет контролировать исполнение ст. 19 (реально они и так этого уже не делают), а "государственные" операторы обязаны применять сертифицированные СЗИ по  другим причинам .

Пока такой расклад, что будет дальше, как говорится, поживем - увидим.
или введите имя

CAPTCHA
Алексютенко Юрий
18 Марта, 2013
А что делать с этим, ИНФОРМАЦИОННОЕ СООБЩЕНИЕ ФСТЭК от 4 мая 2012 г. N 240/24/1701 Цитирую: В соответствии с частью 4 статьи 5 указанного Федерального закона особенности оценки соответствия продукции (работ, услуг), используемой в целях защиты сведений, относимых к охраняемой в соответствии с законодательством Российской Федерации информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну, установлены Положением об особенностях оценки соответствия продукции (работ, услуг), используемой в целях защиты сведений, относимых к охраняемой в соответствии с законодательством Российской Федерации информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну, а также процессов ее проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации и захоронения, утвержденным постановлением Правительства Российской Федерации от 15 мая 2010 г. N 330. В соответствии с указанным Положением оценка соответствия средств, предназначенных для защиты информации конфиденциального характера, средств, в которых они реализованы, а также средств контроля эффективности защиты информации (далее - средства защиты информации конфиденциального характера), используемых в целях защиты государственного информационного ресурса и (или) персональных данных, осуществляется в форме обязательной сертификации. Таким образом, средства защиты информации, содержащей сведения, составляющие государственную тайну, а также средства защиты информации конфиденциального характера, используемые в целях защиты государственного информационного ресурса и (или) персональных данных, подлежат оценке соответствия в форме обязательной сертификации.
0 |
Сергей
20 Декабря, 2013
надо следить за нормативкой
+100 500!!! за комментарий. Причиной длительных дискуссий зачастую является отсутствие полной информации у спорщиков
0 |