Специалист ИТ
0,0
рейтинг
5 ноября 2013 в 15:18

Разработка → Защита информации и сертификация. Если нет разницы — зачем платить больше? из песочницы

Краткое вступление


Печально известный 152 ФЗ вызвал много головной боли у нашего брата — сисадмина. Даже на бумаге российское законодательство в области ИБ вызывает много вопросов, а уж когда дело доходит до решения каких-то задач на практике… Тут все становится совсем печально.
Данную статью я лично рассматриваю как маленький лучик света в этом огромном темном царстве нормативных актов, РД и прочих страшных слов, до конца не ясных простому технарю. Читать, на мой взгляд, имеет смысл как техническим специалистам, дабы донести до руководства полезную информацию, так и для порядочных руководителей, заботящихся об экономии средств и знающих реальную цену всевозможных бумажек.
Знакомая тема? Тогда добро пожаловать под кат.


Даешь сертификацию на каждый продукт!


Спасибо merced2001, он дал дельное замечание по статье.
Сразу отмечу что эта статья не рассматривает тонкие моменты сертификации шифрования и не распространяется на государственные и муниципальные информационные системы. Статья является вводной и призвана дать читателю пищу для размышлений, которые, возможно, выведут его к осмыслению данной темы. Итак, теперь с чистой совестью можно продолжить.

С самого начала идея сертификатов была вполне понятна: для того чтобы хоть как-то гарантировать соблюдение технических условий или конкретных требований регуляторов, нужно было проходить обряд посвящения процедуру сертификации. Знающий человек тут же захочет меня поправить «Не сертификации, а оценки соответствия!» и будет прав, но об этом чуть позже. Действительно, в законе сказано что все средства защиты персональных данных должны проходить процедуру оценки соответствия. И как-то так незаметно нас всех убедили что это ни что иное как сертификация. Подразумевалось что все производители быстренько сертифицируют свои продукты и наступит счастье, мир и коммунизм. Но, как известно, дьявол всегда в деталях. Он не стал долго ждать и тут же выполз на поверхность. Для справки — сертифицировать продукт стоит около 1 500 000 — 2 000 000 наших рублей. По времени примерно год. И это все автоматически закладывается в стоимость продукта. При этом сертификацию производители рассматривают как инвестиции, что вполне логично. Самую же негативную роль в ценообразовании сыграло отсутствие конкуренции. Но и высокие цены — не самое страшное из всех зол. Суть в том что все обновления так же приходилось сертифицировать. Быстрее двух недель это сделать просто невозможно. Вот и представьте себе что у вас висит сервис с критической уязвимостью, готовый эксплойт уже появился в паблике, добрые люди уже включили его в базу Metasploit, а поставщик сертифицированного продукта только-только начал чесаться в этом направлении и решение выдаст не раньше чем через две недели (это в лучшем случае). Сможете ли вы спокойно спать? Я точно не смогу. Но закон есть закон, ничего не поделаешь. Вот и приходилось терпеть нашему брату море головной боли, иногда переходящей в другое место. Это я еще не упомянул о качестве наспех слепленных «СЗИ». И вот с этим приходилось как-то жить.

Вышло ПП 1119. Что изменилось?


Фактически, госорганы, активно пропагандирующие полное покрытие инфраструктуры сертифицированной продукцией, стали угрозой номер один. А раз существует такая угроза — нужно ее нейтрализовать или сводить ущерб к минимуму.
Тут нужно отметить что нормы ПП 1119 немного смягчили и развязали руки обычным предприятиям, которые ФСТЭК и ФСБ красиво именуют «Операторы персональных данных».
Первый способ противостояния этим госорганизациям, кстати, самый чистый, законный и наименее затратный — это обезличивание и понижение уровня защищенности тех самых персональных данных. Тут постарались и математики, придумавшие алгоритмы перемешивания этих данных в базе, и аудиторы, предлагающие, например, заменить в 1С поле «инвалидность» на «льгота», тем самым уходя от биометрических данных.
Косвенно это даже дополнительно приводит инфраструктуру в порядок, что, конечно радует.
Но это лишь вершина, самое «мясо» — обоснование использования сертифицированной продукции. Как я уже говорил, в нашем законодательстве есть такая формулировка как «процедура оценки соответствия» для ФЗ 152 и ПП 1119 ФСТЭК радостно рапортовал о том что, дескать, это ни что иное как сертификация. Но, на самом деле это не так. Юридически они правы, сертификация действительно является процедурой оценки соответствия, но это лишь ее подмножество.
Если обратиться к ФЗ 184, то он гласит:
Оценка соответствия — прямое или косвенное определение соблюдения требований, предъявляемых к объекту;
Оценка соответствия проводится в формах государственного контроля (надзора), аккредитации, испытания, регистрации, подтверждения соответствия, приемки и ввода в эксплуатацию объекта, строительство которого закончено, и в иной форме.

Так что, приемка и ввод в эксплуатацию, при условии что в них проработаны методики для ИБ, вполне являются процедурой оценки соответствия. А так как их все проходят в любом случае, почему бы не использовать существующие инструменты максимально эффективно!
Такой подход дает вполне ощутимые плюсы:
Использование именно тех продуктов, которые наиболее вам подходят, а не выбор из того малого количества сертифицированных продуктов.
Отсутствие привязки к конкретному поставщику, ведь всегда можно перейти на что-то новое, просто прогнав стандартную процедуру.
Это развязывает всем руки для обоснования использования свободного программного обеспечения и тех продуктов которые способны эффективно решить поставленную задачу, а не просто махать как флагом бумажкой с печатью. Особенно СПО актуального последнее время, после заявлений Сноудена.
Кстати, пища для размышлений, бывший руководитель по обеспечению приватности в Microsoft теперь доверяет только свободному ПО.

В следующей статье я расскажу о том как можно использовать СПО для обеспечения ИБ на предприятии, опираясь на новые нормы нашего законодательства. Возможно даже с шаблонами документов, если будет время.
Луконин Кирилл @Klukonin
карма
8,0
рейтинг 0,0
Специалист ИТ
Реклама помогает поддерживать и развивать наши сервисы

Подробнее
Спецпроект

Самое читаемое Разработка

Комментарии (30)

  • 0
    Скажите, пожалуйста, изменения в нормах и законах, о которых вы сказали, затрагивают только безопасность личных данных, или они имеют отношение к ИБ в целом?
    • 0
      У нас по закону жестко регламентируется только безопасность «Персональных данных». То есть, данные о конкретных людях.
      Изменения касаются только этого куска. Коммерческую тайну и прочие виды данных, кроме гостайны, все вольны защищать по собственному усмотрению.
      • –1
        Коммерческую тайну и прочие виды данных, кроме гостайны, все вольны защищать по собственному усмотрению.


        ФСТЭК со своим приказом № 17 от 11.02.2013 с вами немного не согласен.
        • 0
          Тут я с вами не согласен.
          Цитирую:
          «Требования предназначены для обладателей информации, заказчиков, заключивших государственный контракт на создание государственной информационной системы, а также операторов таких систем и являются обязательными при обработке информации в таких системах, функционирующих на территории РФ.»

          www.consultant.ru/law/hotdocs/26071.html
          © КонсультантПлюс, 1992-2013н
        • 0
          Приказ исключительно на госорганы направлен.
  • 0
    тех продуктов которые способны эффективно решить поставленную задачу, а не просто махать как флагом бумажкой с печатью. Особенно СПО актуального последнее время, после заявлений Сноудена


    Осталось доказать это пожилому дяденьке регулятору при проверке и дело в шляпе.
    • 0
      Ну, доказывать дядьке, мало понимающему в технической части, просто бесполезно. Тут нужно оперировать законами. Кстати, обычно проверяет Роскомнадзор, а они не имеют полномочий проверять техническую часть. Для них важны только административные регламенты, назначение ответственных и прочие сугубо юридические вещи.
      • 0
        Полномочия-то РКН имеют, это самый уполномоченный орган по защите ПДн, даже наказывать скоро смогут без обращения в прокуратуру. Другое дело, что проверяющие от РКН, как правило, некомпетентны в технических вопросах и сколько бы полномочий у них ни было бы, толком проверить ничего не смогут.
        • 0
          НЕТ!
          habrahabr.ru/post/169527/

          Или вы там пишете про другой РКН.
          Или мы не о тех технических мерах говорим.
  • 0
    Для государственных организаций использование сертифицированных средств защиты по-прежнему необходимо (см. п. 11 приказа ФСТЭК от 11 февраля 2013 г. N 17). В случае использования средств шифрования сертификация ФСБ по-прежнему является обязательной для всех операторов (см. Методические рекомендации ФСБ, утвержденные руководством 8 Центра ФСБ России 21 февраля 2008 года № 149/54-144).

    После заявлений Сноудена от СПО спокойней не становится, так как даже в мировые стандарты NSA умудряется закладывать бэкдоры.
    • 0
      Да, но на сколько я помню, контроль встраивания не требуется для КС1 и КС2. (Этим пользуется CheckPoint).
      То есть, ставим любое отечественное шифрование и все по той же самой схеме.
    • 0
      А для госорганов свои регламенты. У них там есть и ДСП, совершенно не относящиеся к обычным смертным.
      Собственно, эта статья не про ИБ в госорганизациях.
      • 0
        Это следует прямо прописать в самой статье:
        а) статья не рассматривает средства шифрования и сертификацию ФСБ;
        б) статья не распространяется на государственные и муниципальные информационные системы.

        Чтобы читатели не запутались.
        • 0
          Ок, дополню статью.
          Так действительно будет понятнее.
    • 0
      Ну и вообще, в этом документе сказано
      1) «Методическими рекомендациями необходимо руководствоваться в случае определения
      оператором необходимости обеспечения безопасности персональных данных с
      использованием криптосредств».

      2) «Настоящие Методические рекомендации не распространяются на информационные
      системы персональных данных, в которых:
      персональные данные обрабатываются без использования средств автоматизации;
      обрабатываются персональные данные, отнесенные в установленном порядке к
      сведениям, составляющим государственную тайну;
      технические средства частично или целиком находятся за пределами Российской
      Федерации.»

      3) «Требования к контролю встраивания криптосредства
      Встраивание криптосредств класса КС1 и КС2 осуществляется без контроля со
      стороны ФСБ России (если этот контроль не предусмотрен техническим заданием на
      разработку (модернизацию) информационной системы).»

      О чем я и говорил выше.
  • 0
    Не совсем всё так просто, тему «оценка соответствия — сертификация» я рассматривал у себя в блоге, почитайте — www.ivanboytsov.ru/2013/07/blog-post.html
    Кроме меня и другие ИБ-блогеры рассматривали этот вопрос, гугл подскажет ссылки, мнения расходятся, но суть остается одна — либо лукавить и искать юридические заковырки, либо следовать позиции регулятора и спать спокойно. Вопрос в другом — сейчас ФСТЭК не проводит проверки негосударственных организацией, а РКН не занимается проверками систем и средств защиты, поэтому коммерческие организации могут более-менее расслабится. Но, РКН требует усиления ответственности за нарушения, связанные с ПДн, а ФСТЭК продавливает статьи в КоАП об ответственности за использование несертифицированных средств, поэтому со временем ФСТЭК наверняка дойдет и до негосударственных организаций, а ответственность к тому времени будет сильнее бить по бюджету.
    • 0
      Все признают что это возможно.

      Да, пытаются.
      Вот, когда они это сделают и зарегистритуют официально в Минюсте — тогда и будет разговор.
      А пока это просто страшилки.
    • 0
      Тема действительно требует более детального рассмотрения. Но, на мой взгляд, нужно стараться ответить на вопрос «Как это реализовать?».
  • 0
    Если статья не касается госов и муниципалов, то все гораздо проще. В новом приказе ФСТЭК по защите ПДн (№ 21 от 18.02.2013) черным по белому написано, что применение СЗИ, прошедших процедуру оценки соответствия необходимо, только в тех случаях, когда применение таких средств необходимо для нейтрализации актуальных угроз безопасности ПДн. Поэтому рисуем модель угроз, пишем, что для нейтрализации этих угроз обойдемся оргмерами и несертифицированными СЗИ (а то и вообще встроенными функциями ОС), строим защиту, утверждаем необходимые бумажки и живем спокойно. В общем, во главе стола теперь — модель угроз. Также в новом приказе ФСТЭК появилась революционное словосочетание «с учетом экономической целесообразности» =) Главное все грамотно обосновать в модели угроз.
    • 0
      Все как обычно упирается в бумажки)

      Да, в модели угроз придется явно это прописывать.
      Я пока собираю все необходимые документы и пишу шаблоны.
      Присоединяйтесь, если хотите)
  • 0
    Что касается СПО, то ФСБ сейчас в проекте своего нового приказа по использованию крипты при защите ПДн пытается практически запретить использование СПО, а точнее ввести нереальное требование к классу криптографических средств при использовании СПО в ИСПДн. Если по нашей логике, мы можем проверить исходный код СПО на предмет закладок, то по логике ФСБ, злоумышленник может исследовать исходный код СПО на предмет поиска уязвимостей. В целом в новом проекте приказа ФСБ еще очень много нелепостей и несуразностей, посмотрим в каком виде его примут.
    • 0
      Это интересно.
      Можно ссылку?
      • 0
        Вообще проект располагался здесь: regulation.gov.ru/project/7847.html
        Сейчас там написано «Проект удален». Достал текст, вот что там написано по этому поводу:

        14. СКЗИ класса КВ2 применяются для нейтрализации атак, при создании способов, подготовке и проведении которых используются возможности из числа перечисленных в пунктах 10 – 13 настоящего документа и не менее одной из следующих дополнительных возможностей:

        в) возможность располагать исходными текстами входящего в СФ прикладного ПО, непосредственно использующего вызовы программных функций СКЗИ.
        • 0
          Значит адекватные люди там есть. У нас много всяких деятелей предлагают совершенно бредовые законы и приказы.
          Я совсем не удивлен что в числе ФСБшников есть такие активисты.
        • 0
          Вызовы программных функций — это API. То есть, они говорят об открытой платформе, использующей закрытый CSP.
          Мдаааа… Хорошо что проект удален =)
          • 0
            Удален он скорее всего потому что они до 18 октября якобы принимали предложения от общественности, видимо после 18 октября и удалили. Теперь документ с внесенными поправками наверняка пылится где-нибудь в минюсте. Вся интрига теперь в том какие поправки внесли, а какие проигнорировали.
            • 0
              Посмотрим.

              Мне интересно чем закончится эта инициатива.
              На любую хитрую гайку мы что-нибудь придумаем =)
              • 0
                Уже придумали =) Есть идея, состоящая в том, что даже если в информационной системе используется криптография не декларировать что она используется для защиты ПДн, а если он не используется для защиты ПДн, до данный приказ ФСБ не применяется.
                • 0
                  Этот фокус нам знаком, только он не совсем законный.
                  Фактически, это мошенничество. Декларируем прямо противоположное тому что на самом деле.
                  Если это вскроется — могут и штраф влепить, и посадить.
  • 0
    Интересно, а если речь о средствах шифрования распостраняемых на бесплатной основе сертификакция такая же дорогая? Были мысли на эту тему по поводу моей программки шифрования.
    Каков вообще принцип ценообразования при сертификации?

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.