Проект методического документа ФСТЭК России “Меры защиты информации в государственных информационных системах”.
Продолжаю замечания и предложения:
1. Опять СЗИ или не СЗИ?
Приказ 17 ФСТЭК требует:
"11. Для обеспечения защиты информации, содержащейся в информационной системе, применяются средства защиты информации, прошедшие оценку соответствия в форме обязательной сертификации на соответствие требованиям по безопасности информации"
В очередной раз Регулятор не воспользовался возможностью чтобы объяснить: что же такое средство защиты информации при принятии решения о необходимости сертификации.
Это не было сделано в постановлении правительства 1119. Не было сделано в приказе 17 и 21 ФСТЭК. Казалось бы, если не в методическом документе, то где?
Посмотрим на проблему в конкретной ситуации:
Например, в ИАФ.1 есть требование
"Пользователи информационной системы должны однозначно идентифицироваться и аутентифицироваться для всех видов доступа..."
Мне не повезло, у меня в организации нет SSO.
В начале работы с ИС я включаю АРМ, прохожу аутентификацию в Электронном замке (прикладываю таблетку), потом в ОС Linux (ввожу пароль), потом в службе каталогов LDAP (пароль), потом захожу в службу терминалов Citrix (пароль), там запускаю приложение SAP(пароль), в ходе работы с ИС периодически захожу ещё в различные сервисы (например, выкладываю файлы на FTP и т.п.)
Даже для пользователя 1 ИС у нас набирается порядка 10 доступов.
Во всех доступах я должен применить меру защиты информации "ИАФ.1".
В соответствии с приказом 17 я буду обязан сертифицировать все эти 10 сервисов доступа (только для одной ИАФ.1 десять сертификаций !!!)
Ведь ни где не указывается что достаточно одного сертифицированного средства защиты информации.
Придется сертифицировать всё. В том числе SAP.
А если у меня ИС 1 и 2 класса, то придется этот SAP ещё и по 4 уровню НДВ сертифицировать. А это астрономические суммы и сроки.
Я не верю что регулятор так и планировал. Скорее просто недодумал с какими проблемами столкнутся операторы.
Предложение (Вариант 1): Ввести определение, которое бы ограничивало множество “средства защиты информации”
Предложение (Вариант 2): Совместно с группой экспертов подготовить переченьтиповсредств защиты информации, которые сертифицированы или могут быть сертифицированы в ближайший год. Явно написать, что требуется сертификация для средств защиты информации приведенных типов. Можно так-же привести в подразделах “требования к реализации мер защиты информации”, что если применяются средства защиты информации таких то типов, то требуется их сертификация.
Предложение (Вариант 3): Уточнить что при дублировании мер безопасности различными средствами защиты, обязательна сертификация одного из них.
2. Используемые термины.
Цитирую ИАФ.1
“3) в информационной системе должна обеспечиваться многофакторная (двухфакторная) аутентификация для сетевого (с использованием сети связи общего пользования, в том числе сеть Интернет) доступа в систему с правами непривилегированных учетных записей (пользователей);
5) в информационной системе должна обеспечиваться многофакторная (двухфакторная) аутентификация для локального (без использования информационно-телекоммуникационной сети) доступав систему с правами непривилегированных учетных записей (пользователей);”
Первый раз вижу чтобы “удаленный доступ” обозвали “сетевым доступом”.
Позвольте, а куда попадает доступ к ИС через локальную вычислительную сеть (ЛВС)?
Но ЛВС – это не сеть связи общего пользования; смотрим 126-ФЗ .
Разработчики забыли про ЛВС? В этом же документе есть мера “УПД.13 Реализация защищенного удаленного доступасубъектов доступа к объектам доступа через внешниеинформационно-телекоммуникационные сети”
Похоже дело в другом - разработчики перечня базовых мер и разработчики описаний конкретных мер не согласовали терминологию между собой.
Предложение 2: определить корректный, не противоречащие законодательству РФ базовый набор структурно-функциональных характеристик ИС(как я предлагал в предыдущей серии). Далее, в описании всех мер, использовать единые наименования характеристик ИС.