14.10.2014

Три буквы на двух заборах, всего шесть

Как нетрудно рассудить, средство защиты информации – это средство, применяемое для защиты информации. Составляет же нынче защиту информации перечисленное в приложениях к 17, 21 и 31 приказам ФСТЭК (если не попадаете, стоит ли дальше читать?). Вот и получается, что:
  • средство, используемое для заведения учетных записей (УПД.1), ограничения неуспешных попыток входа (УПД.6), отключения по таймауту (УПД.10) – это СЗИ;
  • софт для учета носителей (ЗНИ.1), стирания носителей (ЗНИ.8) – СЗИ;
  • система сбора событий безопасности (РСБ.3) – СЗИ;
  • ПО, реализующее синхронизацию времени (РСБ.6) – СЗИ;
  • анализатор защищенности (АНЗ.1-АНЗ.3) – СЗИ;
  • софтина для автоматической инвентаризации железа и ПО (АНЗ.4) – СЗИ;
  • программа или система восстановления из резервных копий (ОЦЛ.3, ОДТ.4, ОДТ.5) – СЗИ;
  • анти-спам (ОЦЛ.4) – СЗИ;
  • агенты обновления (ОПО.1) – СЗИ;
  • средство мониторинга доступности (ОДТ.3, ОДТ.7) – СЗИ;
  • средство виртуализации (ЗСВ.1, ЗСВ.2, ЗСВ.6) – СЗИ;
  • СКД в пропускной системе (ЗТС.3) – СЗИ;
  • система осведомления пользователей (ИПО.1, ИПО.2) – СЗИ;
  • ПО для оценки рисков (УБИ.2) – СЗИ;
  • ПО или система для регистрации инцидентов (ИНЦ.2) – СЗИ;
  • текстовые редакторы, применяемые для разработки правил и процедур (все ХХХ.0), регламентации (УПД.14, УПД.15, УКФ.5), документирования (ОБР.6, УКФ.4) – СЗИ.

Секундочку, а мы каким определением СЗИ оперируем? Конечно же, из ГОСТ 50922, ссылаясь всеми руками и ногами на 184-ФЗ! Вот когда доберемся до сертификации, что не факт, будем в специальное 608-ое Постановление глядеть. А пока - "техническое, программное, программно-техническое средство, вещество и (или) материал, предназначенные или используемые для защиты информации", так что не останавливаемся на программных и программно-технических, добавляются также:
  • запоры и датчики (ЗТС.3) – СЗИ;
  • оконные и кровельные материалы и конструкции (ЗТС.5) – СЗИ;
  • отказоустойчивое железо (ОДТ.1), бесперебойники (ЗТС.5) – СЗИ;
  • ЗИП и каналы (ОДТ.2, ДНС.4) – СЗИ;
  • стриммеры и жесткие диски (ЗНИ.8, ОЦЛ.3, ОДТ.5) – СЗИ;
  • бумага, используемая для правил и процедур (все ХХХ.0), регламентации (УПД.14, УПД.15, УКФ.5), документирования (ОБР.6, УКФ.4), а равно и принтеры – СЗИ;
  • чернила или стикеры для маркировки машинных носителей (ЗНИ.1) – СЗИ.

Но, может быть, в таких пунктах приложений к 17/21/31 надо усматривать оргмеры: названия документов как бы предполагают?
Ну, во-первых, я не очень представляю, как они могут напрочь обойтись без материальных предметов. Не, я представляю: обеспечение отказоустойчивости в форме святого крещения, регламентация через устное предание, бэкап в голове, ограничение прохода наложением заклятий, но госинспектор при проверке не признает.
А потом, если брать персональные данные (21 приказ), там с оргмерами туго. Дело в том, что в 1119 Постановлении список задан закрытый:
  • 13а. Организация режима безопасности помещений;
  • 13б. Обеспечение сохранности носителей персданных;
  • 13в. Утверждение перечня лиц, обрабатывающих персданные для выполнения трудовых обязанностей;
  • 13г. Нейтрализация актуальных угроз СЗИ, прошедшими оценку соответствия;
  • 14. Назначение ответственного за защиту;
  • 15. Ограничение доступа к электронному журналу;
  • 16а. Логирование изменения полномочий;
  • 16б. Создание подразделения, ответственного за защиту.
Т.е. любая защитная мера (если не нашлось повода выкинуть ее при адаптации или не добавить при уточнении), не укладывающаяся в режим помещений, назначение лиц, сохранность носителей или управление журналом приложения – 13г., и другого не дано. Что-то, конечно, к другим пунктам притягивается (например, СКД к 13а), но большинство нет. Примечательно, кстати, что и компенсирующие меры (т.е. измышленные самостоятельно, а не взятые из фстэковского набора) тоже должны быть из позволенных Правительством.

Не хватает некоего элемента классики, не правда ли? Вы правы, еще МСЭ, VPN, разные прочие IDSы с антивирусами, глушилки, электронные замки, вот это вот всё. Но мы люди дисциплинированные: в ГОСТе "предназначенные или (!) используемые" - это означает, что СЗИ они являются только в коробке, а в работе нет.
Поэтому мы не только их не добавим, но еще и список наш имеем право ополовинить - стиралки носителей, например, явно сделаны для защиты информации, как и стикеры. Больше того, появляется прямой смысл заюзать специальный софт для регистрации инцидентов вместо простого журнала или специальный софт для управления аварийными планами вместо Эксэля - сразу бац, и не СЗИ.

В случае всех трех приказов СЗИ должны иметь оценку соответствия (не СЗИ не должны): по 17 - сертификацию, по двум другим – или иную, допускаемую законом о техрегулировании.

Вот теперь накладываем на наш список определение из Постановления 608. Для темы сертификации оно другое: "технические, программные и другие средства, предназначенные для защиты информации, составляющей гостайну, средства, в которых они реализованы, а также средства контроля эффективности защиты информации". Значит, ФСТЭК (ФСБ и Минобороны сейчас не трогаем) должна принимать на вход:
  • средства контроля эффективности защиты информации;
  • средства, предназначенные для защиты информации, составляющей гостайну.
Ищем таковые в нашем списке. И обнаруживаем разве что средство анализа защищенности: оно предназначено не для защиты, а для ее контроля - поэтому мы его и не вычеркнули (но при адаптации могли бы попробовать).

По факту, ФСТЭК хочет сертифицировать многое – см. перечень в приложении к ее Положению о сертификации, это и кабели, и ограждения, и любое, практически, ПО. Но нам-то что:
  • специализированные СЗИ, которые у нас используются – это не СЗИ;
  • неспециализированные СЗИ отечественная система сертификации "не ест" (согласно 608-му Постановлению не должна).

Так что защитники ИСПДн и АСУТП, отправленные самой ФСТЭК в сторону техрегулирования, уходят жить в его перевернутом мире, игнорируя требования к преднамеренным СЗИ, которые теперь не СЗИ, но оценивая то, что СЗИ до сих пор не было (завод ферросплавов систему дистанционного обучения по 34-ой серии, музыкальные школы и фермерские хозяйства свой пинг и бэкапные флешки).
При наличии свободного времени троллят ее вопросами, не предназначено ли случайно для защиты информации, составляющей гостайну, средство, не предназначенное для защиты информации.

Обороняющие ГИС интересуются у ФСТЭК тем же самым, но уже в обязательном порядке и по всем пунктам приложения к 17 приказу, прозрачно намекая, что готовы все это ей притаранить: написали «сертифицированные» - будьте любезны!
Для той, конечно, заманчиво сказать, что оно предназначено ее волей (даже если не создано изготовителем с такой целью), но в отсутствие соответствующих требований к классам и профилей начинает маячить невыполнение 8.13 Положения о службе (Указ 1085).
Поэтому не остается иного, как уговаривать операторов списывать в неактуальные угрозы, нейтрализуемые "неканоническими" СЗИ. Но, положа руку на сердце, одна программа предвзято риски анализирует, другая предвзято целостность проверяет, одна определенные инциденты не регистрирует, другая определенные уязвимости не видит – отчего же "здесь играем, здесь не играем, тут пятно – рыбу заворачивали"?

__________________
Пояснение для несведущих, с какого бока в тексте гостайна. Соответствующий пассаж из Постановления декодируется следующим образом: если есть такое средство для гостайны, средства этого типа сертифицируются.

4 комментария:

Михаил Новокрещенов комментирует...

а какбы можно ещё проще к размытию всех границ СЗИ прийти. ГОСТы по 184-ФЗ к применению обязательны только для строго определенных случаев, куда ИБ "гражданки" не входит, значит можем смело их определение игнорировать. ПП 608 тоже игнорим, если защищаем конфиденциалку и не используем (не дай бог) что-нить из защиты гостайны. А п.15.1 Приказа 17 ясно дает понять что меры могут быть реализованы в том числе настройками ПО. При таком раскладе и определения СЗИ нет и меры реализуй чем хочешь (ну для очистки совести в качестве СЗИ юзать то, на что у ФСТЭК РД есть)

Ригель комментирует...

ПП не получится игнорировать, но оно определяет не СЗИ, а сертификатогеничные СЗИ. А с СЗИ действительно можно мутить

Сергей Борисов комментирует...

Михаил, как называть в проекте все эти программные и технические компоненты СЗПДн, которые не являются СЗИ?

Опять же есть риски что ФСТЭК придет на проверку с своим определением СЗИ.

Ригель комментирует...

При описанном раскладе все равно, как их называть: если ключевым является использование для ... и/или предназначенность для ..., вот эти слова и надо тогда подгонять под желаемый эффект.

ФСТЭК, по идее, предъявлять может только прецедентное право - "мы 8 лет назад сертифицировали такое же, но с перламутровыми пуговицами, для одного ФГУП НИИИ ЕКЛМН, поэтому у вас СЗИ без надлежащего сертификата". Ну, вы вон Catalyst 3560 или MS Office 2010 кому-то тоже сертифицировали (а при желании и WinAmp могли бы, RU.0001.01БИ00 позволяет) - и что, теперь MS Office 2010 у нас СЗИ стал? Давайте определение СЗИ посмотрим все-таки.

Отправить комментарий