А вот и вторая заметка про оценку соответствия, но уже более приземленная, чем вчерашние рассуждения. Т.к. у нас продолжает активно меняться нормативная база ФСТЭК для разных видов защищаемой информации/информационных систем, то регулярно всплывает вопрос о необходимости применения сертифицированных средств защиты информации. Решил свести все воедино (по состоянию на момент написания заметки).
Итак, у нас есть 3 основных документа ФСТЭК, которые будут определять развитие ИБ в ближайшие годы, - ПДн (21-й приказ), ГИС/МИС (17-й приказ) и АСУ ТП (проект приказа). С приказом по государственным и муниципальным информационным системам все понятно. Средства защиты оцениваются только в форме обязательной сертификации, объект информатизации (читай ГИС с помещениями) только в форме аттестации; проверяющими являются сотрудники ФСТЭК. Все четко и понятно и вопросов, по идее, быть не должно.
С АСУ ТП ситуация и проще и сложнее. Проще тем, что регулятор прекрасно понимает, что сертифицированных СЗИ для АСУ ТП нет (точнее есть всего 3 индустриальных межсетевых экрана, имеющих сертификаты ФСТЭК), а задачу ИБ решать как-то надо. Поэтому в проекте приказа по АСУ ТП явно написано о возможности оператором/владельцем АСУ ТП самостоятельного выбора способа оценки соответствия согласно ФЗ-184. Хотите сертификацию? Пожалуйста. Хотите оценку средства защиты в форме ввода в эксплуатацию? Тоже можно. С оценкой соответствия самой АСУ ТП требованиям по безопасности тоже просто - на выбор владельца АСУ ТП. Хотите аттестацию только по требованиям ИБ, а хотите, проводите оценку в рамках общих приемочных испытаний АСУ ТП (достаточно жестких). Открытым пока остается вопрос по контролю и надзору за выполнением требований - по каким-то вопросам это будет ФСБ, а по каким-то выбираемый сейчас федеральный орган исполнительной власти, ответственный за безопасности критических информационных инфраструктур.
Самой непростой продолжает оставаться тема с персональными данными. В 21-м приказе нет такой явной формулировки, как в проекте приказа по АСУ ТП. Но нет и такой, как и в 17-м приказе. Отсюда каждый делает свой вывод - одни, что сертификация обязательна, другие - что не очень. Я придерживаюсь второй позиции. Оценка соответствия средств защиты ПДн должна быть обязательной, но форму оператор ПДн (если он не госорган) выбирает самостоятельно. Это вытекает из здравого смысла, текущих формулировок нормативных актов и практики. С оценкой соответствия ИСПДн ситуация чуть проще. В разъяснении ФСТЭК по факту выхода 17/21-го приказов было четко написано, что коммерческий оператор ПДн форму оценки эффективности принимаемых мер определяет самостоятельно, а для госорганов это может быть только аттестация.
Но, допустим, оператор ПДн решит следовать здравому смыслу и выберет сам форму оценки соответствия. И будет это не сертификация. Что произойдет, если к нему придет проверка?... Этот вопрос мне задают постоянно :-) Хотелось бы обратить внимание на то, что по закону (ст.19) ни ФСТЭК, ни ФСБ не уполномочены проводить проверки операторов ПДн, не являющихся государственными и муниципальными учреждениями. И Роскомнадзор также не имеет таких полномочий. Проверять-то коммерческих операторов он может, а вот лезть в тематику технической защиты ПДн (в ст.19) и интересоваться сертификатами на СЗИ (и уж тем более наказывать за их отсутствие) он не имеет права. Но мне можно возразить, что проверяет же... Да, бывает. Но тут уж я ничего поделать не могу. Если оператор ПДн не знает своих прав и полномочий проверяющих, если он не готов отстаивать свою правоту и готов не задумываясь "лечь" под РКН, то кто ж тут может помочь?
Никто не совершенен (в регионах представители РКН сами не всегда знают пределов своих полномочий) и каждый сам оценивает свои риски и принимает стратегии по управлению ими. Кто-то готов отстаивать свою позицию на самостоятельность выбора формы оценки соответствия, кто-то не готов. Кто-то хочет сэкономить, кто-то будет переплачивать за бумажку, которая прекратит свое действие при первом же обновлении. Кстати, незнание Роскомнадзором особенностей действия сертификатов ФСТЭК/ФСБ на средства защиты при их обновлении играет на руку потребителю - сертификат хоть и не действует, но как бы есть :-)
Вот такие краткие итоги текущей ситуации по сертификации средств защиты информации.
Итак, у нас есть 3 основных документа ФСТЭК, которые будут определять развитие ИБ в ближайшие годы, - ПДн (21-й приказ), ГИС/МИС (17-й приказ) и АСУ ТП (проект приказа). С приказом по государственным и муниципальным информационным системам все понятно. Средства защиты оцениваются только в форме обязательной сертификации, объект информатизации (читай ГИС с помещениями) только в форме аттестации; проверяющими являются сотрудники ФСТЭК. Все четко и понятно и вопросов, по идее, быть не должно.
С АСУ ТП ситуация и проще и сложнее. Проще тем, что регулятор прекрасно понимает, что сертифицированных СЗИ для АСУ ТП нет (точнее есть всего 3 индустриальных межсетевых экрана, имеющих сертификаты ФСТЭК), а задачу ИБ решать как-то надо. Поэтому в проекте приказа по АСУ ТП явно написано о возможности оператором/владельцем АСУ ТП самостоятельного выбора способа оценки соответствия согласно ФЗ-184. Хотите сертификацию? Пожалуйста. Хотите оценку средства защиты в форме ввода в эксплуатацию? Тоже можно. С оценкой соответствия самой АСУ ТП требованиям по безопасности тоже просто - на выбор владельца АСУ ТП. Хотите аттестацию только по требованиям ИБ, а хотите, проводите оценку в рамках общих приемочных испытаний АСУ ТП (достаточно жестких). Открытым пока остается вопрос по контролю и надзору за выполнением требований - по каким-то вопросам это будет ФСБ, а по каким-то выбираемый сейчас федеральный орган исполнительной власти, ответственный за безопасности критических информационных инфраструктур.
Самой непростой продолжает оставаться тема с персональными данными. В 21-м приказе нет такой явной формулировки, как в проекте приказа по АСУ ТП. Но нет и такой, как и в 17-м приказе. Отсюда каждый делает свой вывод - одни, что сертификация обязательна, другие - что не очень. Я придерживаюсь второй позиции. Оценка соответствия средств защиты ПДн должна быть обязательной, но форму оператор ПДн (если он не госорган) выбирает самостоятельно. Это вытекает из здравого смысла, текущих формулировок нормативных актов и практики. С оценкой соответствия ИСПДн ситуация чуть проще. В разъяснении ФСТЭК по факту выхода 17/21-го приказов было четко написано, что коммерческий оператор ПДн форму оценки эффективности принимаемых мер определяет самостоятельно, а для госорганов это может быть только аттестация.
Но, допустим, оператор ПДн решит следовать здравому смыслу и выберет сам форму оценки соответствия. И будет это не сертификация. Что произойдет, если к нему придет проверка?... Этот вопрос мне задают постоянно :-) Хотелось бы обратить внимание на то, что по закону (ст.19) ни ФСТЭК, ни ФСБ не уполномочены проводить проверки операторов ПДн, не являющихся государственными и муниципальными учреждениями. И Роскомнадзор также не имеет таких полномочий. Проверять-то коммерческих операторов он может, а вот лезть в тематику технической защиты ПДн (в ст.19) и интересоваться сертификатами на СЗИ (и уж тем более наказывать за их отсутствие) он не имеет права. Но мне можно возразить, что проверяет же... Да, бывает. Но тут уж я ничего поделать не могу. Если оператор ПДн не знает своих прав и полномочий проверяющих, если он не готов отстаивать свою правоту и готов не задумываясь "лечь" под РКН, то кто ж тут может помочь?
Никто не совершенен (в регионах представители РКН сами не всегда знают пределов своих полномочий) и каждый сам оценивает свои риски и принимает стратегии по управлению ими. Кто-то готов отстаивать свою позицию на самостоятельность выбора формы оценки соответствия, кто-то не готов. Кто-то хочет сэкономить, кто-то будет переплачивать за бумажку, которая прекратит свое действие при первом же обновлении. Кстати, незнание Роскомнадзором особенностей действия сертификатов ФСТЭК/ФСБ на средства защиты при их обновлении играет на руку потребителю - сертификат хоть и не действует, но как бы есть :-)
Вот такие краткие итоги текущей ситуации по сертификации средств защиты информации.
