Радикальные изменения требований ФСТЭК к значимым объектам КИИ

Радикальные изменения требований ФСТЭК к значимым объектам КИИ

"Тем временем в замке у Шефа": ФСТЭК опубликовала проект изменений в приказ 239 , доработанный по итогам общественного обсуждения. Их немного, но картину мира они меняют капитально.

29.2. Средства защиты информации, оценка соответствия которых проводится в форме испытаний или приемки, должны соответствовать требованиям к функциям безопасности, установленным в соответствии с подпунктом «ж» пункта 10 настоящих Требований.

Напомню, средствами защиты информации считаются все компоненты информационной системы и инфраструктуры, функции безопасности которых используются для защиты этой системы. На объекте КИИ можно использовать сертифицированные средства защиты (для госсектора это единственный разрешенный вариант) или средства защиты, которые владелец объекта самостоятельно протестировал (в оригинале - провел оценку соответствия в форме испытаний или приемки) и убедился, что они выполняют необходимые ему функции безопасности. Действующий вариант приказа говорит, что субъект КИИ должен явно задать требования к этим функциям безопасности в техническом задании на создание системы безопасности ЗОКИИ. Кажется очевидным, что испытания/приемка должны подтвердить, что выполняются именно требования такого ТЗ, но некоторые комментаторы отказывались это признавать. Процитированный абзац эти споры закрывает - п. 10 "ж)" говорит о том, что в ТЗ должны быть требования к применяемым СЗИ, самостоятельно сформированные субъектом КИИ.

На всякий случай подчеркиваю: сертификация и самостоятельные испытания могут проводиться на соответствие самым разным требованиям. Так, WAF как наложенное средство защиты, обычно сертифицируется на соответствие требованиям профиля защиты "Межсетевые экраны типа Г" (точнее, задания по безопасности, написанного на его основе). Если в реальных условиях эксплуатации ЗОКИИ требуются функции безопасности, не отраженные в таком задании по безопасности, то субъект КИИ должен самостоятельно убедиться, что WAF выполняет необходимые ему функции безопасности. Сертификат в этом случае его не прикрывает.

Идем дальше.

29.2 ... Не встроенные в общесистемное и прикладное программное обеспечение средства защиты информации, оценка соответствия которых проводится в форме испытаний или приемки, дополнительно к указанным требованиям должны соответствовать 6 или более высокому уровню доверия.

Испытания (приемка) средств защиты информации на соответствие требованиям к уровню доверия и требованиям к функциям безопасности проводятся на этапе предварительных испытаний в соответствии с пунктом 12.4. настоящих Требований лицом, привлекаемым к проведению работ по созданию (модернизации, реконструкции или ремонту) значимого объекта и (или) обеспечению его безопасности (далее - разработчик значимого объекта).

По решению субъекта критической информационной инфраструктуры испытания могут проводиться им самостоятельно или с привлечением организации, имеющей в зависимости от информации, обрабатываемой значимым объектом, лицензию на деятельность по технической защите информации, составляющей государственную тайну, и (или) на деятельность по технической защите конфиденциальной информации, на любом из этапов создания значимого объекта.

Это - очень суровое требование. Требования к уровням доверия установлены в двух ДСПшных документах ФСТЭК. Подробно останавливаться на них не буду, отмечу только самое основное:

  1. Для проведения самостоятельных испытаний субъект КИИ должен получить у разработчика проектную документацию на испытываемую софтину или железку (описание архитектуры, функциональную спецификацию и т.п.)
  2. В ходе испытаний необходимо провести анализ 0day-уязвимостей. Как минимум требуется провести фаззинг-тестирование, поиск уязвимостей в архитектуре решения на основе анализа предоставленной документации и протестировать продукт на применимость к нему техник MITRE Att&CK или CAPEC

Говоря проще, самостоятельные испытания средства защиты субъектом КИИ в новой редакции приказа 239 - это практически та же сертификация, но с некоторыми отличиями:

  1. Проводится самостоятельно субъектом или с привлечением лицензиата ФСТЭК. При этом лицензиат не обязан быть аккредитованной ФСТЭК испытательной лабораторией.
  2. Оценивается выполнение требований, самостоятельно установленных субъектом КИИ - даже если при этом нормативными документами установлены совсем другие требования.
  3. Не требуется одобрение результатов такой оценки вышестоящими участниками системы сертификации ФСТЭК (аккредитованным органом по сертификации и отделом лицензирования и сертификации ФСТЭК).
29.3. Безопасность прикладного программного обеспечения, планируемого к внедрению в рамках создания (модернизации или реконструкции, ремонта) значимого объекта и обеспечивающего выполнение его функций по назначению (далее – программное обеспечение), обеспечивается выполнением требований по безопасности, включающих:
  • требования по безопасной разработке программного обеспечения;
  • требования к испытаниям по выявлению уязвимостей в программном обеспечении;
  • требования к поддержке безопасности программного обеспечения.

Это - наверное, самое суровое требование. Обратите внимание: оно относится не к средствам защиты, а к прикладному софту ЗОКИИ, даже если в нем не реализованы функции безопасности. Дальше в проекте приказа эти требования раскрываются подробно. Цитировать не буду - их много, желающие могут ознакомиться с точным текстом сами (п. 29.3.1-29.3.3). Остановлюсь на самом важном:

  1. Для прикладного софта, который будет применяться на вновь создаваемом или модернизируемом ЗОКИИ необходимо проводить статический анализ исходных кодов (для ЗОКИИ первой категории - еще и динамический. Подчеркиваю: для средств защиты достаточно фаззинга, для прикладного софта нужен еще, как минимум, статанализ. Это логично: информационные системы ломают через уязвимости прикладного софта, а не средств защиты, - но подобное изменение многим порвет шаблон напрочь.
  2. В силу п. 1 на ЗОКИИ может внедряться софт только тех вендоров, которые будут готовы предоставлять своим заказчикам исходные коды своих программ.

По сравнению с этим остальные изменения выглядят незначительными:

  • Определено, что считается модернизацией ОКИИ
  • Расширен перечень лиц, которым разрешено удаленное и бесконтрольное локальное обновление компонентов ЗОКИИ и управление ими. В новой редакции к ним отнесены:
  • работники субъекта критической информационной инфраструктуры, дочерних (зависимых) обществ, юридических лиц, в которых субъект критической информационной инфраструктуры имеет возможность определять принимаемые этими лицами решения, обществ, имеющих более двадцати процентов уставного капитала субъекта критической информационной инфраструктуры, либо юридических лиц, имеющих возможность определять решения, принимаемые субъектом критической информационной инфраструктуры;
  • На случай, если такой доступ "плохишам" все-таки требуется предоставить, определены меры защиты, которые должны применяться к такому доступу.
  • Запрет размещать компоненты ЗОКИИ за границей в новой редакции распространяется еще и на ЗОКИИ 2й категории значимости.
Alt text