Вчера под вечер ФСТЭК опубликовала информационное сообщение о том, как следует читать отдельные фрагменты 17-го и 21-го приказа, устанавливающие требования по защите персональных данных и государственных информационных систем. Я не буду пересказывать само сообщение ФСТЭК (оно достаточно понятно написано), а просто перечислю те вопросы, на которые оно отвечают (удалив бюрократическую шелуху и оставив простой человеческий язык):
Также еще обратите внимание на последний абзац. Он говорит не о том, что ФСТЭК снимает с себя ответственность за принятие решение об актуальности угроз 1-го и 2-го типов. Совсем нет. ФСТЭК напоминает операторам ПДн, чтобы они лучше читали ПП-1119, в котором право и обязанность определения актуальных типов угроз лежит на операторе ПДн и ни на ком ином. Не стоит ждать от ФСТЭК или ФСБ ответа на этот вопрос - они вам его не дадут, т.к. законодательством на них эта функция не возложена. И бояться, что вас заставят пересмотреть уровень защищенности или модель угроз, тоже не стоит. Нет такой процедуры (исключая, быть может, государственные органы и муниципальные образования в рамках аттестации) и не будет (ее и при "приказе трех" не было). Поэтому смело принимайте, что у вас угроз 1-го и 2-го типа нет. При этом вам никто не запрещает самостоятельно выбирать дополнительные защитные меры по 17-му или 21-му приказу, снижающие вероятность использования недекларированных возможностей. Главное, не вписывать себе эти угрозы как актуальные. И не потому, что вы будете вынуждены либо пентесты заказывать (это не так уж и плохо), либо выбирать вендора с реализованным процессом SDLC (выглядеть это может так ). И даже не потому, что средства защиты в этом случае должны быть сертифицированы на отсутствие НДВ, а это сильно сокращает спектр выбора. Проблема в грядущем приказе ФСБ по персданным, который устанавливает достаточно специфические требования к защите от угроз 1-го и 2-го типов. Мало вам точно не покажется (а местами эти требования вы физически не сможете выполнить).
Но хочу добавить и ложку дегтя. Не на все вопросы письмо дает ответы. Отчасти потому, что ФСТЭК не уполномочена трактовать законодательство, а там есть ряд нюансов, например, с трактовкой термина "государственная информационная система". Отчасти потому, что новые вопросы слишком бы усложнили и утяжелили письмо. А отчасти потому, что ответить ФСТЭК на эти вопросы пока нечего. Ну вот например:
- Когда вступают в силу 17-й и 21-й приказы и надо ли переаттетсовывать ИС (АС), если они проходили аттестацию до вступления упомянутых новых приказов в силу?
- Как определить класс защищенности государственной информационной системы, если в ней обрабатываются персональные данные? Как соотнести класс защищенности ГИС и уровень защищенности ИСПДн?
- Что такое "оценка эффективности принимаемых мер по обеспечению безопасности персональных данных"? В какой форме она может проводиться коммерческими и государственными/муниципальными операторами ПДн?
- Муниципальные образования ложатся под 17-й или 21-й приказ?
- Продолжает ли действовать СТР-К?
- Как соотносятся старое понятие "автоматизированная система" и новое "информационная система"?
- Если в сертификате на средство защиты не указана сертификация на отсутствие НДВ, можно ли считать, что это СрЗИ проходило оценку соответствия на отсутствие НДВ?
- Как регламентируется применение пентестов и SDLC, прописанных в качестве мер нейтрализации актуальных угроз 1-го и 2-го типа?
- Что еще готовит ФСТЭК в дополнение к 17-му и 21-му приказам?
Также еще обратите внимание на последний абзац. Он говорит не о том, что ФСТЭК снимает с себя ответственность за принятие решение об актуальности угроз 1-го и 2-го типов. Совсем нет. ФСТЭК напоминает операторам ПДн, чтобы они лучше читали ПП-1119, в котором право и обязанность определения актуальных типов угроз лежит на операторе ПДн и ни на ком ином. Не стоит ждать от ФСТЭК или ФСБ ответа на этот вопрос - они вам его не дадут, т.к. законодательством на них эта функция не возложена. И бояться, что вас заставят пересмотреть уровень защищенности или модель угроз, тоже не стоит. Нет такой процедуры (исключая, быть может, государственные органы и муниципальные образования в рамках аттестации) и не будет (ее и при "приказе трех" не было). Поэтому смело принимайте, что у вас угроз 1-го и 2-го типа нет. При этом вам никто не запрещает самостоятельно выбирать дополнительные защитные меры по 17-му или 21-му приказу, снижающие вероятность использования недекларированных возможностей. Главное, не вписывать себе эти угрозы как актуальные. И не потому, что вы будете вынуждены либо пентесты заказывать (это не так уж и плохо), либо выбирать вендора с реализованным процессом SDLC (выглядеть это может так ). И даже не потому, что средства защиты в этом случае должны быть сертифицированы на отсутствие НДВ, а это сильно сокращает спектр выбора. Проблема в грядущем приказе ФСБ по персданным, который устанавливает достаточно специфические требования к защите от угроз 1-го и 2-го типов. Мало вам точно не покажется (а местами эти требования вы физически не сможете выполнить).
Но хочу добавить и ложку дегтя. Не на все вопросы письмо дает ответы. Отчасти потому, что ФСТЭК не уполномочена трактовать законодательство, а там есть ряд нюансов, например, с трактовкой термина "государственная информационная система". Отчасти потому, что новые вопросы слишком бы усложнили и утяжелили письмо. А отчасти потому, что ответить ФСТЭК на эти вопросы пока нечего. Ну вот например:
- Стоило бы хоть как-то разъяснить про принцип экономической целесообразности и о том, чем руководствоваться при принятии решения о нецелесообразности. Все-таки это революционное требование для ФСТЭК и его стоило бы пояснить. Особенно для тех организаций, который подпадают под 21-й приказ, но при этом будут аттестовать свои системы по новым ГОСТам - ГОСТ РО 0043-003-2012 и ГОСТ РО 0043-004-2013. Проверяющие у них спросят о признаках признания экономической нецелесообразности выбора защитных мер или могут вообще с ними не согласиться.
- Если в 17-м приказе написано, что СрЗИ должны быть только сертифицированными, то что делать с системами контроля целостности, доступности, управления конфигурацией и т.п.? На что их сертифицировать? При этом я понимаю, почему ФСТЭК на него не отвечает. Там столько подводных камней. И с 199-м приказом, и с общей парадигмой сертификации средств защиты. Число типов средств защиты плодится все больше и больше и ФСТЭК просто не успевает выпускать новые РД под них (учитывая, что изначально РД писались не под средства защиты, а под уровни конфиденциальности/секретности защищаемой информации). А еще и испытательным лабораториям и органам по сертификации надо обучиться их применять. Может пора уже провести четкую грань между средствами защиты гостайны и всего остального? Первые сертифицировать как раньше, а для вторых сменить парадигму?
- Если потребитель выбирает систему защиты виртуализации для выполнения требований блока ЗСВ, то что должно быть написано в сертификате или ТУ, чтобы заказчик был уверен, что ему продали то, что действительно удовлетворяет требованиям 17-го или 21-го приказа? Ведь не секрет, что многие вендоры/испытательные лаборатории не выдают потенциальным покупателям ТУ до момента сделки. А после оплаты уже поздно спорить. Но опять же, ответ на этот вопрос требует пересмотра существующей системы сертификации средств защиты информации, на что ФСТЭК врядли решится в обозримом будущем.
