Можно ли использовать несертифицированные СЗИ для защиты значимых объектов КИИ?

Можно ли использовать несертифицированные СЗИ для защиты значимых объектов КИИ?
Если коротко, то ДА!

Но как всегда есть нюансы, поэтому давайте разбираться. Пойдем издалека, сверху вниз - от федеральных законов к подзаконным актам.
-----------------------------------------------------------------
Заглянем сначала в 187-ФЗ «О безопасности КИИ».

См. ст. 1 (сфера действия ФЗ): «Настоящий ФЗ регулирует отношения в области обеспечения безопасности КИИ РФ в целях ее устойчивого функционирования при проведении в отношении ее компьютерных атак».

И далее по тексту закона раскрываются различные аспекты обеспечения безопасности КИИ РФ, но при этом не вводится какой-то отдельной категории информации ограниченного доступа (как это было, например, с ПДн в 152-ФЗ) и не приводится ссылок на существующие категории информации ограниченного доступа.
-----------------------------------------------------------------
Далее посмотрим в 149-ФЗ «Об информации, информационных технологиях и о защите информации».

См. ст. 5: «Информация в зависимости от категории доступа к ней подразделяется на общедоступную информацию, а также на информацию, доступ к которой ограничен федеральными законами (информация ограниченного доступа)».
Вывод 1: информация, обрабатываемая в составе ЗОКИИ, в терминах 149-ФЗ является общедоступной, если при этом она не является защищаемой по ФЗ информацией (ГТ, ПДн) и ЗОКИИ не является ГИС. Это кажется непривычным, но по букве закона получается так.
-----------------------------------------------------------------
Идем дальше, смотрим 184-ФЗ «О техническом регулировании».
См. ст. 2: «Оценка соответствия – это «прямое или косвенное определение соблюдения требований, предъявляемых к объекту»;

См. п. 3, ст.7: «Оценка соответствия проводится в формах государственного контроля (надзора), испытания, регистрации, подтверждения соответствия, приемки и ввода в эксплуатацию объекта, строительство которого закончено, и в иной форме».
Понятия «испытания» и «приемка» как формы Оценки соответствия далее в 184-ФЗ отдельно не раскрываются.

См. п. 1, ст. 5: «В отношении … продукции, используемой в целях защиты сведений, … относимых к охраняемой в соответствии с законодательством РФ иной информации ограниченного доступа, … обязательными требованиями наряду с требованиями технических регламентов являются требования, установленные государственными заказчиками, ФОИВ, уполномоченными в области обеспечения безопасности....».

См. п. 4 ст. 5: «Особенности оценки соответствия продукции, указанной в п.1 , ст.5, а также соответственно процессов ее проектирования, производства, строительства… устанавливаются Правительством РФ или уполномоченными им ФОИВ».

На этом моменте в Facebook недавно возникла дискуссия. Одна из сторон диалога стояла на том, что в соответствии с п.1 и 4 ст.5 информация в ЗОКИИ должна защищаться СЗИ, прошедшими оценку соответствия требованиям технических регламентов, которых на текущий момент нет, и поэтому единственным возможным вариантом остается использование сертифицированных СЗИ. Однако, как мы уже увидели на предыдущем шаге, информация в ЗОКИИ не относится к охраняемой в соответствии с законодательством РФ и поэтому на СЗИ, используемые для ее защиты не распространяется п.1 и 4 ст.5, 184-ФЗ, опять же с оговоркой, что эта информация не является, например, ГТ или ПДн и ЗОКИИ не является ГИС.

Вывод 2: 184-ФЗ говорит о том, что «испытания» и «приемка» являются одними из возможных форм проведения оценки соответствия, но далее в 184-ФЗ эти понятия никак не раскрываются и на СЗИ, используемые для защиты ЗОКИИ, требования по их соответствию техническим регламентам, не распространяются.
-----------------------------------------------------------------
Спускаемся на уровень ниже и переходим к приказам ФСТЭК, подзаконным 187-ФЗ.

Смотрим в 235-й приказ ФСТЭК «Об утверждении требований к созданию систем безопасности ЗОКИИ РФ и обеспечению их функционирования».
См. п.18: «Для обеспечения безопасности ЗОКИИ должны применяться сертифицированные СЗИ или СЗИ, прошедшие оценку соответствия в форме испытаний или приемки в соответствии с 184-ФЗ «О техническом регулировании». Сертифицированные СЗИ применяются в случаях, установленных законодательством РФ, а также в случае принятия решения субъектом КИИ. В иных случаях применяются СЗИ, прошедшие оценку соответствия в форме испытаний или приемки, которые проводятся субъектами КИИ самостоятельно или с привлечением организаций, имеющих в соответствии с законодательством РФ лицензии на деятельность в области защиты информации».

См. п.25: «ОРД по безопасности ЗОКИИ должны определять: ..., порядок проведения испытаний или приемки СЗИ, …».
Вывод 3: Для защиты ЗОКИИ можно использовать несертифицированные СЗИ (кроме отдельных случаев, когда, например, ЗОКИИ является ГИСом), проведя для них испытания и приемку либо своими силами, либо с привлечением лицензиатов. При этом субъект КИИ должен разработать ОРД по безопасности ЗОКИИ и прописать в ней порядок проведения испытаний или (хотя на мой взгляд тут уместнее поставить союз «и») приемки СЗИ.
-----------------------------------------------------------------
Далее смотрим в 239-й приказ ФСТЭК «Об утверждении требований к обеспечению безопасности ЗОКИИ РФ», в котором раскрывается тема проведения испытаний и приемки, а также приводятся требования к СЗИ, если они являются сертифицированными. При этом часть информации пересекается с 235-м приказом.
См. п. 12.7: В ходе приемочных испытаний ЗОКИИ и его подсистемы безопасности должен быть проведен комплекс организационных и технических мероприятий (испытаний), в результате которых подтверждается соответствие ЗОКИИ и его подсистемы безопасности настоящим Требованиям, а также требованиям ТЗ на создание значимого объекта и (или) ТЗ (ЧТЗ) на создание подсистемы безопасности ЗОКИИ.

Приемочные испытания ЗОКИИ и его подсистемы безопасности проводятся в соответствии с ПиМИ. Результаты приемочных испытаний ЗОКИИ и его подсистемы безопасности с выводом о ее соответствии установленным требованиям включаются в акт приемки ЗОКИИ в эксплуатацию.

В случае если ЗОКИИ является ГИС, в иных случаях, установленных законодательством РФ, а также в случае принятия решения субъектом КИИ, оценка значимого объекта и его подсистемы безопасности проводится в форме аттестации ЗОКИИ в соответствии с 17 -м приказом ФСТЭК.

Ввод в действие ЗОКИИ и его подсистемы безопасности осуществляется при положительном заключении (выводе) в акте приемки (или в аттестате соответствия) о соответствии ЗОКИИ установленным требованиям по обеспечению безопасности.
См. п. 28: Для обеспечения безопасности ЗОКИИ должны применяться СЗИ, прошедшие оценку на соответствие требованиям по безопасности в формах обязательной сертификации, испытаний или приемки.

СЗИ, прошедшие оценку соответствия в форме обязательной сертификации, применяются в случаях, установленных законодательством РФ, а также в случае принятия решения субъектом КИИ.
В иных случаях применяются СЗИ, прошедшие оценку соответствия в форме испытаний или приемки, которые проводятся субъектами КИИ самостоятельно или с привлечением организаций, имеющих в соответствии с законодательством РФ лицензии на деятельность в области защиты информации.

Испытания (приемка) СЗИ проводятся отдельно или в составе ЗОКИИ в соответствии с программой и методиками испытаний (приемки), утверждаемыми субъектом КИИ.
См. п. 29: В случае использования в ЗОКИИ сертифицированных на соответствие требованиям по безопасности информации СЗИ … в ЗОКИИ различных категорий применяются СЗИ и СВТ соответствующих классов.

При этом в значимых объектах 1 и 2 категорий значимости применяются СЗИ, прошедшие проверку не ниже чем по 4 уровню контроля отсутствия НДВ.

Функции безопасности СЗИ должны обеспечивать выполнение настоящих Требований.

Вывод 4: Приемка подсистемы безопасности ЗОКИИ выполняется на основании испытаний, которые проводятся на соответствие ТЗ/ЧТЗ и в соответствии с ПиМИ. При этом в ТЗ/ЧТЗ прописываются требования 239-го приказа с учетом определенной категории и актуальных угроз безопасности информации, а в ПиМИ приводится описание заданий, выполнение которых в рамках приемочных испытаний должно продемонстрировать возможность как сертифицированных (в случае их использования), так и не сертифицированных СЗИ реализовать соответствующие требования ТЗ/ЧТЗ. В случае, если испытания пройдены успешно, составляется соответствующий акт приемки  ЗОКИИ в эксплуатацию с выводом о его соответствии установленным требованиям.

Вывод 5: Если ЗОКИИ является ГИСом, то в качестве СЗИ должны использоваться только сертифицированные СЗИ, а оценка такого ЗОКИИ должна осуществляться в форме аттестации в соответствии с 17-м приказом ФСТЭК.

Вывод 6 (лайфхак): Если у Вас есть ЗОКИИ, не являющийся ГИСом и вы хотите защитить его сертифицированным СЗИ, которое не дотягивает по классу до соответствующего уровня защищенности или же между классом и категорией соответствие есть, но нет сертификата по НДВ (для ЗОКИИ 1 и 2 категории), то в этом случае, по крайней мере теоретически, можно использовать несертифицированные версии сертифицированного СЗИ (так, например, установка ПО СЗИ с несертифицированного CD-диска и/или отсутствие формуляра автоматически делает СЗИ в глазах регулятора несертифицированным).
-----------------------------------------------------------------
А теперь посмотрим на Проект приказа ФСБ «Об утверждении Требований к средствам, предназначенным для обнаружения, предупреждения и ликвидации последствий КА и реагирования на КИ», в котором приводятся требования к техническим средствам, из которых субъекты должны строить свои центры ГосСОПКА.

См. п. 18: Средства криптографической защиты обмена информацией, необходимой субъектам КИИ при обнаружении, предупреждении и (или) ликвидации последствий КА, должны быть сертифицированы в системе сертификации СЗИ.

Вывод 7: Для криптографической защиты информации при взаимодействии с НКЦКИ (в рамках ГосСОПКА) субъекты должны использовать сертифицированные ФСБ СКЗИ.
-----------------------------------------------------------------
Вывод 8 (общий): Если ЗОКИИ не является ГИСом (ПДн умышленно не упоминаю, т.к. это отдельный разговор), и СЗИ не является СКЗИ, используемым для обмена информацией с НКЦКИ в рамках функционирования ГосСОПКА, то в этом случае можно использовать несертифицированные СЗИ. При этом субъекту стоит не забыть провести для них испытания и приемку по требованиям 239 приказа ФСТЭК перед вводом в действие ЗОКИИ, а в случае проверок быть готовым обосновать регулятору достаточность реализованных несертифицированными СЗИ мер для реализации соответствующих требований 239 приказа.

В целом же конечно для субъекта КИИ предпочтительнее использовать сертифицированные СЗИ, которые уже проверены соответствующими испытательными лабораториями и снимают с субъекта лишнюю головную боль при вводе в действие ЗОКИИ, а также при проверках регулятора.

Ну и в заключении можно предположить, что по мере насыщения рынка ИБ сертифицированными средствами защиты, способными эффективно реализовать требования 239-го приказа ФСТЭК, в законодательство по КИИ могут быть внесены соответствующие изменения, ограничивающие использование несертифицированных средств защиты. А пока рынок таких СЗИ созревает, регулятор допускает применение несертифицированных СЗИ, ибо защищать ЗОКИИ нужно уже сейчас!
Alt text
Комментарии для сайта Cackle