Сразу хочу отметить, что не являюсь сторонником аттестации ИС, не относящихся к гостайне, ведь те же самые работы можно выполнить под флагом аудита или оценки соответствия, с лучшим КПД. Но иногда Заказчики просят аттестацию, так что случается участвовать.
Давайте посмотрим что может привести владельца ИС, не относящейся к гостайне, на эту темную сторону. Аттестация по требованиям ИБ обязательна для обеспечения ИБ в (возможно приведены не все варианты, дополняйте):
· ГИС
Приказ ФСТЭК №17: “13. Для обеспечения защиты информации, содержащейся в информационной системе, проводятся следующие мероприятия:
аттестация информационной системы по требованиям защиты информации (далее – аттестация информационной системы) и ввод ее в действие;”
Информационное сообщение ФСТЭК N 240/22/2637: “В части государственных информационных систем, в которых обрабатываются персональные данные, оценка эффективности принимаемых мер по обеспечению безопасности персональных данных проводится в рамках обязательной аттестации государственной информационной системы по требованиям защиты информации в соответствии с Требованиями, утвержденными приказом ФСТЭК России от 11 февраля 2013 г. N 17, национальными стандартами ГОСТ РО 0043-003-2012 и ГОСТ РО 0043-004-2013 «Защита информации. Аттестация объектов информатизации. Программа и методики аттестационных испытаний».”
· Государственные информационные ресурсы
СТР-К “На стадии ввода в действие объекта информатизации и СЗИ осуществляются: ...
• аттестация объекта информатизации по требованиям безопасности информации.”
· ИС, участвующие в лицензируемой деятельности по СКЗИ
ПП № 313: “7. Для получения лицензии соискатель лицензии представляет (направляет) в лицензирующий орган заявление о предоставлении лицензии и документы (копии документов), указанные в пунктах 1, 3 и 4 части 3 статьи 13 Федерального закона "О лицензировании отдельных видов деятельности", а также следующие копии документов и сведения:
и) сведения о документе, подтверждающем наличие условий для соблюдения конфиденциальности информации, необходимых для выполнения работ и оказания услуг, определенных настоящим Положением, в соответствии с требованиями о соблюдении конфиденциальности информации, установленными Федеральным законом "Об информации, информационных технологиях и о защите информации";”
· ИС, участвующие в лицензируемой деятельности по ТЗКИ
ПП №79: “5. Лицензионными требованиями, предъявляемыми к соискателю лицензии на осуществление деятельности по технической защите конфиденциальной информации (далее - лицензия), являются:
д) наличие автоматизированных систем, предназначенных для обработки конфиденциальной информации, а также средств защиты такой информации, прошедших процедуру оценки соответствия (аттестованных и (или) сертифицированных по требованиям безопасности информации) в соответствии с законодательством Российской Федерации;”
Аттестация по требованиям ИБ может проводится добровольно по решению владельца ИС:
· АСУ
Приказ ФСТЭК №31: “По решению заказчика подтверждение соответствия системы защиты автоматизированной системы управления техническому заданию на создание (модернизацию) автоматизированной системы управления и (или) техническому заданию (частному техническому заданию) на создание системы защиты автоматизированной системы управления, а также настоящим Требованиям может проводиться в форме аттестации автоматизированной системы управления на соответствие требованиям по защите информации. В этом случае для проведения аттестации применяются национальные стандарты, а также методические документы ФСТЭК России.”
· ИСПДн
Приказ ФСТЭК №21: “6. Оценка эффективности реализованных в рамках системы защиты персональных данных мер по обеспечению безопасности персональных данных проводится оператором самостоятельно или с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации. Указанная оценка проводится не реже одного раза в 3 года.”
Информационное сообщение ФСТЭК N 240/22/2637: “Оценка эффективности реализованных мер может быть проведена в рамках работ по аттестации информационной системы персональных данных в соответствии с национальным стандартом ГОСТ РО 0043-003-2012 «Защита информации. Аттестация объектов информатизации. Общие положения».”
· ИС общего пользования
Приказ ФСТЭК №489: “17.1. В информационных системах общего пользования I класса:
введение в эксплуатацию только после направления оператором информационной системы общего пользования в ФСБ России уведомления о готовности ввода информационной системы общего пользования в эксплуатацию и ее соответствии настоящим Требованиям.
17.2. В информационных системах общего пользования II класса:
введение в эксплуатацию только после направления оператором информационной системы общего пользования в ФСТЭК России уведомления о готовности ввода информационной системы общего пользования в эксплуатацию и ее соответствии настоящим Требованиям.”
· Аккредитованные УЦ
Приказ Минкомсвязи №320 “8. Дополнительно УЦ, претендующий на получение аккредитации, может представить документы, подтверждающие:
соответствие требованиям по безопасности информации на объекте информатизации или копия заключения о соответствии требованиям по безопасности информации, выданных ФСТЭК России и ФСБ России в пределах их полномочий.”
· Хостинги, дата-центры, торговые площадки, облачные сервис провайдеры, сервис провайдеры, интернет-магазины и другие ИС.
Почему-то так сложилось среди компаний которые оказывают безопасные сервисы и которым нужно какое-то подтверждение своим клиентам рассматривают либо аттестацию на соответствие требованиям безопасности информации в системе ФСТЭК либо сертификацию по ISO 27001. Все остальные формы (аудит, оценка соответствия в свободной форме) в серьез не рассматриваются.
1. В целом по аттестации много вопросов и проблем, но для этой статьи я выделил следующую: в нормодоках не определено какие проверки в отношении технических мер / средств защиты информации должны проводится.
Теперь подробнее:
Чаще всего Заявителю аттестации нужно только получить аттестат, желательно за минимальное время и стоимость (идеальный вариант – 1 рубль, 1 час). Какие именно проверки будут выполняться его не интересует.
Кто же будет определять, какие проверки будут выполняться? Посмотрим что-нибудь по этому поводу в последних ГОСТ-ах ГОСТ РО 0043-003-2012 и ГОСТ РО 0043-004-2013:
Порядок проведения аттестации включает следующие мероприятия:
· Подачу заявки
· Предварительное обследование
· Разработку программы и методики аттестационных испытаний
· Проведение испытаний
· Выдача аттестата
Программу и методику аттестационных испытаний разрабатывает Лицензиат, который определяет перечень работ, методики испытаний (с использованием нормодоков ФСТЭК) и согласовывает программу с Заявителем.
Как я отметил выше – Заявителю всё равно какие проверки и методики. И тут мы получаем что у разных Лицензиатом могут существенно отличаться объем проверок у одного 3 проверки продолжительностью 5 минут, у другого 30 проверок по часу каждая. При этом речь не идет про некачественную работу, предполагаем что работы проводятся в полном соответствии законодательству РФ, просто имеет место разное экспертное мнение.
Например, я бы рассмотрел следующие проверки в отношении СЗИ и выбрал необходимые из них:
· проверка наличия прав на СЗИ (договора)
· проверка наличия техподдержки на СЗИ (договора)
· проверка наличия сертификата на СЗИ (документы по сертификации)
· проверка наличия акта установки и настройки СЗИ (акт)
· проверка наличия установленного СЗИ на каждом техническом средстве (горит зеленая лампочка)
· соответствие настроек СЗИ требованиям ТЗ
· соответствие настроек СЗИ требованиям Технического проекта
· соответствие настроек СЗИ требованиям безопасности информации (исходным из законодательства)
· работоспособность всех требуемых функций СЗИ
· надежность всех требуемых функций СЗИ
· отсутствие закладок или уязвимостей в СЗИ
· соответствие контрольных сумм файлов СЗИ, тем которые указаны в формуляре
· пентест ИС в условиях работы СЗИ
При этом кроме выбора самих проверок интересует ещё выбор объекта проверок: надо проверять СЗИ на каждом АРМ? Надо проверять каждое сетевое СЗИ из кластера?
Посмотрим, какие обязательные требования включает ГОСТ РО 0043-004-2013 в части проверки технических мер / СЗИ: только одно существенно требование - проведение испытаний АС на соответствие требованиям по защите информации от НСД. Каждый Лицензиат под этим понимает что-то свое.
Есть мнение что правильная методика испытаний привидится в приложении Д к ГОСТ РО 0043-004-2013 и всем Лицензиатам надо на её ориентироваться. Но практика показывает что это методика заточенная под гостайну (проверка требований к АС класса 1В, ГИС класса К1) так как, например, включает управление потоками информации. Практика показала, что бывают ситуации, когда СЗИ, настроенные в соответствии с рекомендациями производителя, например к классу 1Г, не могут пройти проверку в соответствии с данной методикой, в которой выбраны только проверки, соответствующие классу 1Г.
Получается что пример методики из приложении Д к ГОСТ РО 0043-004-2013 приходится так корректировать, что лучше уж написать с нуля только те проверки, которые нужны.
2. Ещё одна проблема обязательной аттестации заключается как раз в свободе выбора мер защиты и СЗИ, которая обсуждалась недавно в блогах: тут и тут . При обязательной аттестации проверяется соответствие только требованиям законодательства. Соответствие внутренним документам – МУ, ТЗ, техническому проекту – проверяться не должно.
Приходит, например, лицензиат на аттестационные испытания, а у заявителя из СЗИ стоит только антивирус. Заявитель говорит что он выбирал, выбирал меры да и выбрал – получился только антивирус. Лицензиат хватается за “требования безопасности информации” (приказ 17) там написано, что меры могут быть такие-то, но выбирает заказчик.
Должен ли лицензиат проверить его выбор? Имеет ли он право оценивать выбор оператора? Что будет достаточным обоснованием для выбора/исключения мер? На эти вопросы в нормативных документах нет ответа. Опять отдаемся на откуп экспертному мнению Лицензиата. Но это сначала экспертное мнение. А допустим, отказал Лицензиат в выдаче Аттестата. Заявитель подает в суд. Тут уж лицензиату придется аргументировать свои решения. Нет аргемента – выдавай аттестат.
