Как вы, наверное, знаете, аттестация по требованиям безопасности информации используется в качестве мероприятия по оценке эффективности системы защиты – для ГИС/МИС в обязательном порядке, а для ИСПДн рекомендован ФСТЭК-ом как единственный стандартизованный вариант оценки эффективности. По факту все государственные и муниципальные учреждения, а также 25% коммерческих компаний проводят оценку эффективности системы защиты в форме аттестации.
Как правило аттестация имеет не маленькую стоимость и связанно это с необходимостью привлечения дополнительных лиц, не участвующих в создании системы (независимость контроля), которым нужно повторно собирать и анализировать всю информацию о ИС и системе защиты. Давайте посмотрим, как можно покончить с аттестацией раз и навсегда (на 3 года) в рамках всей РФ.
ГОСТ РО 0043-003-2012:
“6.5.3 Для распределенной информационной системы, предназначенной для обработки информации ограниченного доступа, не содержащей сведений, составляющих государственную тайну, допускается проводить аттестацию входящих в неё типовых автоматизированных рабочих мест и (или) локальных информационных систем.
Разрешается распространять результатыуказанной аттестациинаоднотипные автоматизированные рабочие места и (или) локальные информационные системы.
Параметры настройки элементов защиты на указанных типовых объектах должны быть одинаковы.
Порядок, условия, методы и особенности проведения аттестации распределенной информационной системы отражаются в программах и методиках испытаний”
ГОСТ РО 0043-004-2013:
“6.1.3 Дополнительно в программе аттестационных испытаний распределенных информационных систем, предназначенных для обработки информации ограниченного доступа, не содержащей сведений, составляющих государственную тайну, допускается устанавливать особенности аттестации распределенной информационной системы на основе результатов аттестационных испытаний выделенного набора ее сегментов ....
Сегмент считается соответствующим аттестованномусегменту распределенной информационной системы, если для обоих сегментов установлены одинаковые классы защищенности и состав актуальны угроз безопасности информации, реализованы одинаковые проектные решения по системе защиты информации распределенной информационной системы.
Соответствие сегмента, на который распространяется аттестат соответствия, аттестованному сегменту распределенной информационной системы подтверждаетсяв ходеприемочных испытанийраспределенной информационной системы или сегментов распределенной информационной системы.
В сегментах распределенной информационной системы, на которые распространяется аттестат соответствия, оператор обеспечивает соблюдение требований эксплуатационной документации на систему защиты информации распределенной информационной системы и организационно-распорядительных документов по защите информации.”
В некотором приближении – все ИСПДн однотипные. В крайнем случае можно выделить несколько типов локальных ИСПДн, которые будут перекрывать 90% всех ИСПДн в России. Системы защиты информации чаще всего строятся с использованием 1-4 лидирующих технических решениях в своих подсистемах. При этом есть оптимальные отработанные сочетания СЗИ, например: SecretNet+ Континент, DallasLock+ VipNet, CiscoASA + С-терра CSPVPNGate. В некотором приближении можно сказать, что 10 комбинациями СЗИ можно покрыть 90% всех СЗПДн в России.
Для каждого типа ИСПДн и СЗПДн аттестацию нужно будет выполнить только один раз, далее на все аналогичные локальные ИС, данный аттестат будет распространяться автоматически при соблюдении определенных условий, которые выполняются лицами, участвующими во внедрении средств защиты информации, без необходимости привлечения отдельных лиц для аттестации. Текущие стандарты и нормы в общем это позволяют.
Итак, что глобально нужно сделать:
· Ассоциации или государственному органу, заинтересованному в обеспечении эффективности систем защиты ПДн (может быть Минкомсвязи, ФСТЭК России или ФСБ России) заказать развертывание и аттестацию набора Nтиповых ИСПДн
· Для каждого типа ИСПДн и СЗПДн опубликовать состав и схемы установки СЗИ, типовые профили настройки СЗИ. (Например, что-то подобное есть в United States GovernmentConfiguration Baseline – USGCB или FIPS 140-1 and FIPS 140-2 validation lists )
· Опубликовать правила присоединения типовой ИСПДн к аттестованной (возможно в организации потребуется разработать доп. документы, типа Технического паспорта, и на этапе приемочных испытаний проверить и задекларировать соответствие аттестату)
· Далее оператор ПДн, выбирает один из предложенных типов, аттестованных ИСПДн и СЗПДн, если его всё устраивает, то присоединяется к аттестату со своей типовой ИСПДн. Если оператор хочет использовать нестандартные решения – это его право, в таком случае оценку эффективности он выполняет самостоятельно.
