10 Июля, 2014

СОИБ. Анализ. СЗИ, не поддерживаемые производителем 2 (ответ ФСТЭК)

Сергей Борисов
Через три месяца получил ответ ФСТЭК Р на вопросы, связанные со сроками сертификатов, техподдержкой и лицензированием ОС, ПО и СЗИ. Мои вопросы были связаны с окончанием поддержки WindowsXP, а так-же часто встречаемой у заказчика ситуацией когда на СЗИ не продлевается техподдержка или заканчивается срок действия сертификата ФСТЭК. В предыдущей статье я привел свои варианты ответов , вы можете так-же учитывать их.

·        Возможно ли при создании системы защиты информации ограниченного доступа, выбирать СЗИ, на которое имеется действующий сертификат,  без технической поддержки от производителя (ТП не оказывается производителем в принципе или ТП не приобретена организацией)
Ответ ФСТЭК:
В соответствии с Положением о сертификации средств защиты информации, утвержденным постановлением Правительства Российской Федерации от 26 июня 1995 г. № 608, а также Положением о сертификации средств защиты информации по требованиям безопасности информации, утвержденным приказом от 27 октября 1995 г. № 199, заявители (разработчики и производители средств защиты информации) должны принимать меры по обеспечению стабильности характеристик сертифицированных средств защиты информации, обеспечивающих выполнение требований по защите информации, а также обеспечивать соответствие средств защиты информации требованиям безопасности информации.
Требования к средствам защиты информации, утвержденные нормативными правовыми актами ФСТЭК России (требования к системам обнаружения вторжений, средствам антивирусной защиты, средствам доверенной загрузки), содержат требования, выполнение которых осуществляется путем поиска и устранения недостатков и уязвимостей в средствах защиты информации, а также выпуска соответствующих обновлений программного обеспечения средств защиты информации.
Требованиями о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденными приказом ФСТЭК России от
11 февраля 2013 г. № 17, и Составом и содержанием организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденными приказом ФСТЭК России от 18 февраля 2013 г. № 21, установлены меры по защите информации, которые реализуются путём применения обновлений программной части сертифицированных средств защиты информации пользователями.
В связи с изложенным, считаем необходимым при построении систем защиты информации объектов информатизации применять сертифицированные средства защиты информации, в отношении которых заявителями выполняются требования указанных документов ФСТЭК России.

·        Возможно ли при создании системы защиты информации ограниченного доступа, выбирать СЗИ, на которое имеется действующий сертификат, но для которого нарушаются лицензионные права (срок прав использования закончился, количество СЗИ не соответствует лицензии, другие нарушения лицензионных условий
Ответ ФСТЭК:
Проведение работ по созданию систем защиты информации объектов информатизации должно осуществляться в соответствии с требованиями законодательства Российской Федерации, в том числе законодательства Российской Федерации в области защиты прав на результаты интеллектуальной деятельности.
В связи с этим, выбор и применение средств защиты информации должны осуществляться в соответствии с частью четвертой Гражданского кодекса Российской Федерации в рамках лицензионного договора (соглашения) с правообладателями указанных средств.

·        Возможно ли при создании системы защиты информации ограниченного доступа, выбирать СЗИ, на которое закончился срок действия сертификата?
Ответ ФСТЭК:
В системе сертификации ФСТЭК России под сертификатом на средство защиты информации понимается документ, удостоверяющий соответствие указанного средства требованиям безопасности информации. В соответствии с Положением о сертификации средств защиты информации по требованиям безопасности информации, утвержденным приказом от 27 октября 1995 г. № 199, срок действия сертификата соответствия – три года.
По истечении срока действия сертификат соответствия на средство защиты информации не может являться документом, удостоверяющим соответствие средства защиты информации установленным требованиям по безопасности информации.
Таким образом, считаем невозможным выбор и применение средств защиты информации с истекшими сроками действия сертификатов соответствия.

·        Возможно ли при создании системы защиты информации ограниченного доступа, выбор сертифицированных СЗИ, которые устанавливаются на ОС или встраиваются в ПО, если на ОС или ПО отсутствует ТП от производителя?
Ответ ФСТЭК:
В соответствии с Положением о сертификации средств защиты информации, утвержденным постановлением Правительства Российской Федерации от 26 июня 1995 г. № 608, под средствами защиты информации понимаются средства, предназначенные для защиты информации, средства в которых они реализованы, а также средства контроля эффективности защиты информации.
В связи с этим, программное обеспечение, в которое встроены механизмы защиты информации, в соответствии с указанным определением, является средством защиты информации.
По вопросу о возможности выбора и применения при создании систем защиты информации объектов информатизации сертифицированных средств защиты информации, не поддерживаемых заявителями, дан ответ в пункте 1 настоящего письма.
По вопросу применения в составе объектов информатизации (информационной системы) иного программного обеспечения, не применяемого для защиты информации, в том числе операционных систем, в средах которых функционируют средства защиты информации, сообщаем следующее.
Отсутствие обновлений разработчиком программного обеспечения приведет к появлению в нем эксплуатируемых уязвимостей.
В соответствии с Требованиями о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденными приказом ФСТЭК России от 11 февраля 2013 г. № 17, и Составом и содержанием организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденными приказом ФСТЭК России от 18 февраля 2013 г. № 21, необходимо осуществлять анализ уязвимостей информационных систем, в том числе уязвимостей установленного в них программного обеспечения, и принятие мер по их устранению.
Применение в информационной системе программного обеспечения, не обновляемого пользователями, может привести к невозможности выполнения требований указанных нормативных правовых актов ФСТЭК России.
В связи с указанным, считаем нецелесообразным выбор и применение программного обеспечения, в отношении которого не производится обновление, при создании систем защиты информации объектов информатизации.

·        Возможно ли при создании системы защиты информации ограниченного доступа, выбор сертифицированных СЗИ, которые устанавливаются на ОС или встраиваются в ПО,  если для ОС или ПО нарушаются лицензионные права производителя?
Ответ ФСТЭК:
Проведение работ по созданию систем защиты информации объектов информатизации должно осуществляться в соответствии с требованиями законодательства Российской Федерации, в том числе законодательства Российской Федерации в области защиты прав на результаты интеллектуальной деятельности.
В связи с этим, выбор и применение средств защиты информации должны осуществляться в соответствии с частью четвертой Гражданского кодекса Российской Федерации с учетом наличия лицензионного договора (соглашения) с правообладателями операционных систем и прикладного программного обеспечения, в среде которых предполагается функционирование средств защиты информации.

·        Должны ли в процессе оценки эффективности или аттестации системы защиты информации ограниченного доступа, учитываться наличие действующей ТП на СЗИ, соблюдение лицензионных прав производителей СЗИ, действие сертификата СЗИ, наличие действующей ТП на ОС и ПО в составе ИС, соблюдение лицензионных прав производителя ОС и ПО в составе ИС?  
Ответ ФСТЭК:
Учитывая ответы, изложенные в пунктах 1-5 настоящего письма, необходимо учитывать в процессе аттестации объектов информатизации наличие действующих сертификатов соответствия средств защиты информации, предоставление обновлений средств защиты информации и программного обеспечения заявителями (разработчиками, производителями) пользователю и применение этих обновлений пользователями, а также соблюдение владельцами объекта информатизации требований законодательства Российской Федерации в области защиты прав на результаты интеллектуальной деятельности в части применяемых на объекте информатизации программного обеспечения, в том числе средств защиты информации

·        Может ли на основании отсутствия ТП или нарушения лицензионных прав или истечения срока действия сертификата быть принято решение о несоответствии системы защиты информации требованиям безопасности информации?
Ответ ФСТЭК:
Учитывая изложенное, сообщаем, что на основании отсутствия действующих сертификатов соответствия средств защиты информации, отсутствия и применения обновлений средств защиты информации и программного обеспечения, а также несоблюдения владельцами объектов информатизации требований законодательства Российской Федерации в области защиты прав на результаты интеллектуальной деятельности в части применяемых на объекте информатизации средств защиты информации и программного обеспечения может быть принято решение о несоответствии систем защиты информации объектов информатизации требованиям безопасности информации

·        Обязанности владельца или оператора системы защиты информации при истечении срока действия сертификата СЗИ, истечении срока действия ТП, обнаружении нарушения лицензионных прав?
Ответ ФСТЭК:
Владельцы объектов информатизации (операторы информационных систем) должны применять меры, направленные на соблюдение требований законодательства Российской Федерации в области защиты информации, оценки соответствия, а также в области защиты прав на результаты интеллектуальной деятельности. В этих целях считаем необходимым:
своевременно применять меры по получению сертификатов соответствия (копий сертификатов соответствия) средств защиты информации с продленными сроками действия или по замене указанных средств на средства защиты информации с действующими сертификатами соответствия; применять на объектах информатизации средства защиты информации, операционные системы и иное программное обеспечение, в отношении которых заявителями (разработчиками, производителями) осуществляется обеспечение стабильности характеристик (в том числе, выявление и устранение уязвимостей, разработка и предоставление пользователям обновлений и т.д.), а также применять к указанному программному обеспечению обновления, предоставляемые заявителями (разработчиками, производителями); применять на объектах информатизации средства защиты информации, операционные системы и иное программное обеспечение, соблюдая права их правообладателей

Как видно, одни ответы даются в виде логической цепочки из требований “нельзя / можно”, с которой трудно поспорить, другие в виде мнения “считаем целесообразным / считаем нецелесообразным”, которое можно учитывать или не учитывать. Кроме этого даются ссылки на меры из приказа №17 и №21, которые, как мы знаем , могут гибко выбираться.

Далее будем исходить из варианта в котором учитываются ответы и мнения ФСТЭК и разберем несколько типовых ситуаций:
·        В 2014 году вы приобретаете межсетевой экран, сертификат ФСТЭК Р на который был выдан в 2012. Через год срок действия сертификата заканчивается. Вы обращаетесь к производителю / продавцу и получаете ответ, что продлевать сертификат они не собираются. Вы выкидываетевыводите из эксплуатации МЭ, ставите его на полку и покупаете новый с действующим сертификатом.
·        Окончание срока действия сертификата на СЗИ -> приостановление или аннулирование Аттестата соответствия и приостановление эксплуатации ИС/АС
·        Не продление подписки на обновление СЗИ -> приостановление или аннулирование Аттестата соответствия и приостановление эксплуатации ИС/АС
·        Окончание производителем техподдерхки ОС или сервисного ПО -> приостановление или аннулирование Аттестата соответствия и приостановление эксплуатации ИС/АС -> замена ОС или ПО
·        Нарушение лицензионных условий на ОС или ПО -> приостановление или аннулирование Аттестата соответствия и приостановление эксплуатации ИС/АС

PS: если вы не применяете аттестацию то читать вместо “аннулирование Аттестата соответствия” - “принятие решения о несоответствии требованиям”, которое может возникнуть при внешней проверке или самооценке.


или введите имя

CAPTCHA
10 Июля, 2014
Производитель СЗИ должен быть адекватным всего и делов.Нужно заставлять производителя, в случае непродления сертификата, делать замену СЗИ. И заморачиваться на сей счёт не в час Х, а за полгода до этого момента. Правильный производитель СЗИ будет предоставлять обновления ПО.
0 |
  • Поделиться
  • Ссылка
10 Июля, 2014
Не всё так просто. С существующей системой сертификации почти у всех западных вендоров имеются проблемы. Да и у российских не всё так гладко - потому что процесс сертификации очень забюрократизированный и невозможно заранее предсказать сроки его получения. Да взять например отличный продукт Xspider. В свое время у него закончился срок действия сертификата и почти пол года мы жили без сертификата, пока наконец его не продлили
0 |
  • Поделиться
  • Ссылка
Евгений Скляр
10 Июля, 2014
>>Вы выводите из эксплуатации МЭ, ставите его на полку и покупаете новый с действующим сертификатом. Также вы можете: а) самостоятельно сертифицировать ваш экземпляр СЗИ б) обратиться во ФСТЭК с заявлением о выдаче вам продленного сертификата, подтвердив неизменность характеристик сертифицированного СЗИ. Порядок процедуры можно уточнить во ФСТЭК
0 |
  • Поделиться
  • Ссылка
11 Июля, 2014
ПО поводу нарушения лицензии. Это камушек в огород некоторых СЗИ, работающих на продукции Apple только после джейлбрейка?
0 |
  • Поделиться
  • Ссылка
Сергей Борисов
11 Июля, 2014
Евгений: a) Самостоятельная сертификация еденичного экземпляра существенно дороже чем одного в группе или серии устройств. По времени новая сертификация так-же значительно дольше чем примыкание к уже существующей сертификации группы устройств или серии. По моему опыту в подавляющем большинстве таких случаев Заказчики выбирали замену устройства. б)Знаком с данной процедурой. В общем неплохой вариант, кроме следующего - нет гарантии продления сертификата.
0 |
  • Поделиться
  • Ссылка