Постановления Правительства РФ от15.06.2016 N 541 внесло изменения в Постановление Правительства РФ от 3 февраля 2012 г. N 79 «о лицензировании деятельности по технической защите конфиденциальной информации»
Изменения вступают в силу 17.06.2017.
Давайте вспомним что изменилось:
1) виды работ и услуг:
В ряде случаев вместо “работ и услуг” стало применяться только “услуг по”.
Убрали сертификационные испытания и добавили услуги по мониторингу
- в) сертификационные испытания на соответствие требованиям по безопасности информации продукции …;
+ в) услуги по мониторингу информационной безопасности средств и систем информатизации;
В область лицензирования попала наладка СЗИ. В СКЗИ-шном лицензировании “наладка” всегда упоминалась. Теперь вот и в ТЗКИ. Когда мы говорится про наладку программного обеспечения очевидно имеется в ввиду его настройка.
- е) установка, монтаж, испытания, ремонт средств защиты информации (технических средств защиты информации, защищенных технических средств обработки информации, технических средств контроля эффективности мер защиты информации, программных (программно-технических) средств защиты информации, защищенных программных (программно-технических) средств обработки информации, программных (программно-технических) средств контроля защищенности информации).
+ е) услуги по установке, монтажу, наладке, испытаниям, ремонту средств защиты информации (технических средств защиты информации, защищенных технических средств обработки информации, технических средств контроля эффективности мер защиты информации, программных (программно-технических) средств защиты информации, защищенных программных (программно-технических) средств обработки информации, программных (программно-технических) средств контроля эффективности защитыинформации).
Сменили термин “Средства контроля защищенности” -> “средства контроля эффективности защиты”.
Первый был в приказах ФСТЭК
“18.8. Меры по контролю (анализу) защищенности информации должны обеспечивать контроль уровня защищенности автоматизированной системы управления путем проведения мероприятий по выявлению и анализу уязвимостей, контролю установки обновлений программного обеспечения, состава программного обеспечения и технических средств и правильности функционирования средств защиты информации”
Второй из ГОСТ Р 50922-2006
“2.7.3 средство контроля эффективности защитыинформации: Средство защиты информации, предназначенное или используемое для контроля эффективности защиты информации.
2.9.1 эффективность защиты информации: Степень соответствия результатов защиты информации цели защиты информации.”
2) От требования к наличию специалистов с образованием -> наличие руководителя с образованием (переподготовкой) и опытом + не менее 2х технических работников с образованием (переподготовкой) + стаж.
Теперь требуется повышать квалификацию (замечу, что минимально допустимый срок повышения квалификации – 16 часов, но среди программ согласованных с ФСТЭК скорее всего придется выбирать от 72 часов) указанных лиц не реже одного раза в 5 лет. Раньше же лицензиаты вполне могли обходится сотрудниками, получившими высшее образование 10-15 лет назад.
3) Убрали требования к наличию лицензионных ОС, СУБД и другого ПО
4) Вместо наличия средств контроля защищенности -> теперь требуются средства контроля эффективности + средства контроля исходных текстов программного обеспечения
Ну а дальше перейдем к самому нашумевшему – утвержденному директором ФСТЭК России 16 декабря 2016 г. «Перечень контрольно-измерительного и испытательного оборудования, средств контроля защищенности , необходимых для выполнения работ и оказания услуг, установленных Положением о лицензировании деятельности по технической защите конфиденциальной информации, утвержденным постановлением Правительства Российской Федерации от 3 февраля 2012 г. N 79»
Для начала формальные ошибки:
· ПП №79 в новом варианте требует средства контроля эффективности защиты, а в Перечне – средства контроля защищенности
· ПП №79 в новом варианте требует средства контроля исходных текстов ПО, а в перечне о нем ни слова
Далее про пентестеров: на SOС–forum ФСТЭК говорил что эта деятельность входит в лицензируемую “б) услуги по контролю защищенности конфиденциальной информации от несанкционированного доступа и ее модификации в средствах и системах информатизации”
Из планируемых изменений в 17 приказ ФСТЭК следовало что пентесты входят и в деятельность по аттестации.
А из Перечня следует, что “Средства, предназначенные для осуществления тестирования на проникновение” применяются в деятельности б, в, г.1, д.1. (контроль защищенности, мониторинг ИБ, аттестация, установка СЗИ).
Не вижу тут какого-либо противоречия. Просто есть пентестеры – для которых это основной вид деятельности, тогда это деятельность по контролю защищенности. А есть тестирование которые проводятся в рамках других крупных работ – создании СЗПДн, аттестации (интеграторы или аттестаторы)
Посмотрим какие средства требуются именно пентестерам (услуги по контролю защищенности КИ от НСД) для получения лицензии.
Программные средства формирования и контроля полномочий доступа в информационных (автоматизированных) системах | Должны иметь сертификат соответствия ФСТЭК России |
Средства контроля эффективности применения средств защиты информации | Должны иметь сертификаты соответствия ФСТЭК России |
Программное средство контроля целостности программ и программных комплексов | Должно иметь сертификат соответствия ФСТЭК России |
Система контроля (анализа) защищенности информационных систем | Должна иметь сертификат соответствия ФСТЭК России |
Средства, предназначенные для осуществления тестирования на проникновение |
На первый взгляд ничего страшного нет. Классический набор + новые средства тестирования на проникновения, под которые пока не требуется сертификат и подойдет пачка опенсорсных утилит с функциями:
Должны выявлять угрозы безопасности информации путём имитации действий нарушителя, в том числе осуществления сбора данных о проектных решениях и о параметрах настройки средств и систем информатизации, в отношении которых осуществляется мониторинг информационной безопасности, и преодоления (обхода) их систем защиты информации за счет внедрения во вводимые данные структурированных запросов к базам данных, межсайтового исполнения сценариев, некорректного управления сеансами связи, отсутствия подтверждения корректности перенаправлений и эксплуатации других уязвимостей
В следующий раз про мониторинг.