14 Мая, 2013

ДСПшный ГОСТ 0043-003-2012 по аттестации объектов информатизации

Артем Агеев
И всё-таки с документами у нас беда.
Почти 2 года назад вышли поправки в 152-ФЗ, меняющие подход к защите информационных систем персональных данных и требования к системам защиты. Спустя полтора года вышло соответствующее Постановление Правительства. Спустя еще 3 месяца вышли документы ФСТЭК, определяющие правила игры всей отрасли ИБ на ближайшие пару лет. Уже 4 месяц эти документы лежат в Минюсте и неизвестно сколько им ещё там лежать... 

Получается классическая для нашей страны ситуация - закон есть, контролер есть, штрафы есть, а требований уже почти 2 года как нет, и когда будут - никто не знает.

name='more'>
ГОСТ РО 0043-003-2012 "Аттестация объектов информатизации. Общие положения" был введен в действие приказом Росстандарта 17 апреля 2012 года, но мне достать его удалось только через год и сразу переиздание за март 2013 года. До апреля этого года достать ГОСТ было сложнее чем японский видеомагнитофон во времена СССР. 
ГОСТ ДСП. Чтобы его получить небходимо представить в ФГУП "СТАНДАРТИНФОРМ" или РОСОБОРОНСТАНДАРТ нотариально заверенные копии лицензий ФСТЭК и/или ФСБ на деятельность по ЗИ. Распростронять его нельзя, цитировать нельзя, ссылаться тоже нельзя.

Ну вот... теперь и весь мой блог - ДСП =(

Для чего нужна такая секретность абсолютно непонятно, ибо в документе практически ничего нет. Сам документ состоит из 18 страниц, из которых если отбросить воду и приложения, останется всего.... 5.
Оставшиеся 5 страниц - это, фактически, укороченная нарезка из Положения по аттестации объектов информатизации Гостехкомиссии 1994 года . Собственно существенных изменений я нашел только 2:
  • наконец-таки теперь официально закреплена разница между просто лицензиатом ФСТЭК и  аккредитованным органом по аттестации - первый может аттестовать ИС, обрабатывающие конфиденциальную информацию; второй может аттестовать так же ИС, обрабатывающие гостайну;
  • для негостайны можно аттестовать "типовой АРМ" и распростронить действие аттестата на всю информационную систему при условии, что состав средств защиты и их настройки не изменятся. Эта норма есть и в проекте нового СТРК, который пылится сейчас в Минюсте.

Вообщем, тема аттестации в очередной раз не раскрыта, требования к аттестационным документам фактически отсутствуют, шаблонов документов нет. Все это ведёт к тому, что разные компании понимают под аттестацией разные вещи: одни придираются к каждой галочке в настройках ПО и СЗИ, ищут вирусы и уязвимости, проверяют наличие патчей, устраивают персоналу ликбез по ИБ, а другие меряют ПЭМИН, запускают Терьер, ФИКС и Ревизор и выдают аттестат с протоколом испытаний на двух страничках.

В целом, документы ГНИИИ ПТЗИ сильно уступают по качеству тем же докам ИПК ТЭК по безопасности объектов ТЭК, что удручает, т.к. сфера ответственности ФСТЭК ничуть не меньше чем у Минэнерго.