Как нетрудно рассудить, средство защиты информации – это средство, применяемое для защиты информации. Составляет же нынче защиту информации перечисленное в приложениях к 17, 21 и 31 приказам ФСТЭК (если не попадаете, стоит ли дальше читать?). Вот и получается, что:
Секундочку, а мы каким определением СЗИ оперируем? Конечно же, из ГОСТ 50922, ссылаясь всеми руками и ногами на 184-ФЗ! Вот когда доберемся до сертификации, что не факт, будем в специальное 608-ое Постановление глядеть. А пока - "техническое, программное, программно-техническое средство, вещество и (или) материал, предназначенные или используемые для защиты информации", так что не останавливаемся на программных и программно-технических, добавляются также:
Но, может быть, в таких пунктах приложений к 17/21/31 надо усматривать оргмеры: названия документов как бы предполагают?
Ну, во-первых, я не очень представляю, как они могут напрочь обойтись без материальных предметов. Не, я представляю: обеспечение отказоустойчивости в форме святого крещения, регламентация через устное предание, бэкап в голове, ограничение прохода наложением заклятий, но госинспектор при проверке не признает.
А потом, если брать персональные данные (21 приказ), там с оргмерами туго. Дело в том, что в 1119 Постановлении список задан закрытый:
Не хватает некоего элемента классики, не правда ли? Вы правы, еще МСЭ, VPN, разные прочие IDSы с антивирусами, глушилки, электронные замки, вот это вот всё. Но мы люди дисциплинированные: в ГОСТе "предназначенные или (!) используемые" - это означает, что СЗИ они являются только в коробке, а в работе нет.
Поэтому мы не только их не добавим, но еще и список наш имеем право ополовинить - стиралки носителей, например, явно сделаны для защиты информации, как и стикеры. Больше того, появляется прямой смысл заюзать специальный софт для регистрации инцидентов вместо простого журнала или специальный софт для управления аварийными планами вместо Эксэля - сразу бац, и не СЗИ.
В случае всех трех приказов СЗИ должны иметь оценку соответствия (не СЗИ не должны): по 17 - сертификацию, по двум другим – или иную, допускаемую законом о техрегулировании.
Вот теперь накладываем на наш список определение из Постановления 608. Для темы сертификации оно другое: "технические, программные и другие средства, предназначенные для защиты информации, составляющей гостайну, средства, в которых они реализованы, а также средства контроля эффективности защиты информации". Значит, ФСТЭК (ФСБ и Минобороны сейчас не трогаем) должна принимать на вход:
По факту, ФСТЭК хочет сертифицировать многое – см. перечень в приложении к ее Положению о сертификации, это и кабели, и ограждения, и любое, практически, ПО. Но нам-то что:
Так что защитники ИСПДн и АСУТП, отправленные самой ФСТЭК в сторону техрегулирования, уходят жить в его перевернутом мире, игнорируя требования к преднамеренным СЗИ, которые теперь не СЗИ, но оценивая то, что СЗИ до сих пор не было (завод ферросплавов систему дистанционного обучения по 34-ой серии, музыкальные школы и фермерские хозяйства свой пинг и бэкапные флешки).
При наличии свободного времени троллят ее вопросами, не предназначено ли случайно для защиты информации, составляющей гостайну, средство, не предназначенное для защиты информации.
Обороняющие ГИС интересуются у ФСТЭК тем же самым, но уже в обязательном порядке и по всем пунктам приложения к 17 приказу, прозрачно намекая, что готовы все это ей притаранить: написали «сертифицированные» - будьте любезны!
Для той, конечно, заманчиво сказать, что оно предназначено ее волей (даже если не создано изготовителем с такой целью), но в отсутствие соответствующих требований к классам и профилей начинает маячить невыполнение 8.13 Положения о службе (Указ 1085).
Поэтому не остается иного, как уговаривать операторов списывать в неактуальные угрозы, нейтрализуемые "неканоническими" СЗИ. Но, положа руку на сердце, одна программа предвзято риски анализирует, другая предвзято целостность проверяет, одна определенные инциденты не регистрирует, другая определенные уязвимости не видит – отчего же "здесь играем, здесь не играем, тут пятно – рыбу заворачивали"?
__________________
Пояснение для несведущих, с какого бока в тексте гостайна. Соответствующий пассаж из Постановления декодируется следующим образом: если есть такое средство для гостайны, средства этого типа сертифицируются.
- средство, используемое для заведения учетных записей (УПД.1), ограничения неуспешных попыток входа (УПД.6), отключения по таймауту (УПД.10) – это СЗИ;
- софт для учета носителей (ЗНИ.1), стирания носителей (ЗНИ.8) – СЗИ;
- система сбора событий безопасности (РСБ.3) – СЗИ;
- ПО, реализующее синхронизацию времени (РСБ.6) – СЗИ;
- анализатор защищенности (АНЗ.1-АНЗ.3) – СЗИ;
- софтина для автоматической инвентаризации железа и ПО (АНЗ.4) – СЗИ;
- программа или система восстановления из резервных копий (ОЦЛ.3, ОДТ.4, ОДТ.5) – СЗИ;
- анти-спам (ОЦЛ.4) – СЗИ;
- агенты обновления (ОПО.1) – СЗИ;
- средство мониторинга доступности (ОДТ.3, ОДТ.7) – СЗИ;
- средство виртуализации (ЗСВ.1, ЗСВ.2, ЗСВ.6) – СЗИ;
- СКД в пропускной системе (ЗТС.3) – СЗИ;
- система осведомления пользователей (ИПО.1, ИПО.2) – СЗИ;
- ПО для оценки рисков (УБИ.2) – СЗИ;
- ПО или система для регистрации инцидентов (ИНЦ.2) – СЗИ;
- текстовые редакторы, применяемые для разработки правил и процедур (все ХХХ.0), регламентации (УПД.14, УПД.15, УКФ.5), документирования (ОБР.6, УКФ.4) – СЗИ.
Секундочку, а мы каким определением СЗИ оперируем? Конечно же, из ГОСТ 50922, ссылаясь всеми руками и ногами на 184-ФЗ! Вот когда доберемся до сертификации, что не факт, будем в специальное 608-ое Постановление глядеть. А пока - "техническое, программное, программно-техническое средство, вещество и (или) материал, предназначенные или используемые для защиты информации", так что не останавливаемся на программных и программно-технических, добавляются также:
- запоры и датчики (ЗТС.3) – СЗИ;
- оконные и кровельные материалы и конструкции (ЗТС.5) – СЗИ;
- отказоустойчивое железо (ОДТ.1), бесперебойники (ЗТС.5) – СЗИ;
- ЗИП и каналы (ОДТ.2, ДНС.4) – СЗИ;
- стриммеры и жесткие диски (ЗНИ.8, ОЦЛ.3, ОДТ.5) – СЗИ;
- бумага, используемая для правил и процедур (все ХХХ.0), регламентации (УПД.14, УПД.15, УКФ.5), документирования (ОБР.6, УКФ.4), а равно и принтеры – СЗИ;
- чернила или стикеры для маркировки машинных носителей (ЗНИ.1) – СЗИ.
Но, может быть, в таких пунктах приложений к 17/21/31 надо усматривать оргмеры: названия документов как бы предполагают?
Ну, во-первых, я не очень представляю, как они могут напрочь обойтись без материальных предметов. Не, я представляю: обеспечение отказоустойчивости в форме святого крещения, регламентация через устное предание, бэкап в голове, ограничение прохода наложением заклятий, но госинспектор при проверке не признает.
А потом, если брать персональные данные (21 приказ), там с оргмерами туго. Дело в том, что в 1119 Постановлении список задан закрытый:
- 13а. Организация режима безопасности помещений;
- 13б. Обеспечение сохранности носителей персданных;
- 13в. Утверждение перечня лиц, обрабатывающих персданные для выполнения трудовых обязанностей;
- 13г. Нейтрализация актуальных угроз СЗИ, прошедшими оценку соответствия;
- 14. Назначение ответственного за защиту;
- 15. Ограничение доступа к электронному журналу;
- 16а. Логирование изменения полномочий;
- 16б. Создание подразделения, ответственного за защиту.
Не хватает некоего элемента классики, не правда ли? Вы правы, еще МСЭ, VPN, разные прочие IDSы с антивирусами, глушилки, электронные замки, вот это вот всё. Но мы люди дисциплинированные: в ГОСТе "предназначенные или (!) используемые" - это означает, что СЗИ они являются только в коробке, а в работе нет.
Поэтому мы не только их не добавим, но еще и список наш имеем право ополовинить - стиралки носителей, например, явно сделаны для защиты информации, как и стикеры. Больше того, появляется прямой смысл заюзать специальный софт для регистрации инцидентов вместо простого журнала или специальный софт для управления аварийными планами вместо Эксэля - сразу бац, и не СЗИ.
В случае всех трех приказов СЗИ должны иметь оценку соответствия (не СЗИ не должны): по 17 - сертификацию, по двум другим – или иную, допускаемую законом о техрегулировании.
Вот теперь накладываем на наш список определение из Постановления 608. Для темы сертификации оно другое: "технические, программные и другие средства, предназначенные для защиты информации, составляющей гостайну, средства, в которых они реализованы, а также средства контроля эффективности защиты информации". Значит, ФСТЭК (ФСБ и Минобороны сейчас не трогаем) должна принимать на вход:
- средства контроля эффективности защиты информации;
- средства, предназначенные для защиты информации, составляющей гостайну.
По факту, ФСТЭК хочет сертифицировать многое – см. перечень в приложении к ее Положению о сертификации, это и кабели, и ограждения, и любое, практически, ПО. Но нам-то что:
- специализированные СЗИ, которые у нас используются – это не СЗИ;
- неспециализированные СЗИ отечественная система сертификации "не ест" (согласно 608-му Постановлению не должна).
Так что защитники ИСПДн и АСУТП, отправленные самой ФСТЭК в сторону техрегулирования, уходят жить в его перевернутом мире, игнорируя требования к преднамеренным СЗИ, которые теперь не СЗИ, но оценивая то, что СЗИ до сих пор не было (завод ферросплавов систему дистанционного обучения по 34-ой серии, музыкальные школы и фермерские хозяйства свой пинг и бэкапные флешки).
При наличии свободного времени троллят ее вопросами, не предназначено ли случайно для защиты информации, составляющей гостайну, средство, не предназначенное для защиты информации.
Обороняющие ГИС интересуются у ФСТЭК тем же самым, но уже в обязательном порядке и по всем пунктам приложения к 17 приказу, прозрачно намекая, что готовы все это ей притаранить: написали «сертифицированные» - будьте любезны!
Для той, конечно, заманчиво сказать, что оно предназначено ее волей (даже если не создано изготовителем с такой целью), но в отсутствие соответствующих требований к классам и профилей начинает маячить невыполнение 8.13 Положения о службе (Указ 1085).
Поэтому не остается иного, как уговаривать операторов списывать в неактуальные угрозы, нейтрализуемые "неканоническими" СЗИ. Но, положа руку на сердце, одна программа предвзято риски анализирует, другая предвзято целостность проверяет, одна определенные инциденты не регистрирует, другая определенные уязвимости не видит – отчего же "здесь играем, здесь не играем, тут пятно – рыбу заворачивали"?
__________________
Пояснение для несведущих, с какого бока в тексте гостайна. Соответствующий пассаж из Постановления декодируется следующим образом: если есть такое средство для гостайны, средства этого типа сертифицируются.
4 комментария:
а какбы можно ещё проще к размытию всех границ СЗИ прийти. ГОСТы по 184-ФЗ к применению обязательны только для строго определенных случаев, куда ИБ "гражданки" не входит, значит можем смело их определение игнорировать. ПП 608 тоже игнорим, если защищаем конфиденциалку и не используем (не дай бог) что-нить из защиты гостайны. А п.15.1 Приказа 17 ясно дает понять что меры могут быть реализованы в том числе настройками ПО. При таком раскладе и определения СЗИ нет и меры реализуй чем хочешь (ну для очистки совести в качестве СЗИ юзать то, на что у ФСТЭК РД есть)
ПП не получится игнорировать, но оно определяет не СЗИ, а сертификатогеничные СЗИ. А с СЗИ действительно можно мутить
Михаил, как называть в проекте все эти программные и технические компоненты СЗПДн, которые не являются СЗИ?
Опять же есть риски что ФСТЭК придет на проверку с своим определением СЗИ.
При описанном раскладе все равно, как их называть: если ключевым является использование для ... и/или предназначенность для ..., вот эти слова и надо тогда подгонять под желаемый эффект.
ФСТЭК, по идее, предъявлять может только прецедентное право - "мы 8 лет назад сертифицировали такое же, но с перламутровыми пуговицами, для одного ФГУП НИИИ ЕКЛМН, поэтому у вас СЗИ без надлежащего сертификата". Ну, вы вон Catalyst 3560 или MS Office 2010 кому-то тоже сертифицировали (а при желании и WinAmp могли бы, RU.0001.01БИ00 позволяет) - и что, теперь MS Office 2010 у нас СЗИ стал? Давайте определение СЗИ посмотрим все-таки.
Отправить комментарий