пятница, 8 апреля 2011 г.

Аттестация vs декларирование - как подтверждать соответствие?


Вот такое сообщение встречается в интернете практически на каждом сайте по информационной безопасности :

Аттестация информационных систем по требованиям безопасности информации обязательна:

- для ИСПДн, в случае отнесения персональных данных к государственному информационному ресурсу (см."Специальные требования и рекомендации по технической защите конфиденциальной информации", Гостехкомиссия России, 2001 г.) ;
- в остальных случаях - для ИСПДн 1, 2 и 3 классов.

Для ИСПДн 3 класса по решению оператора процедура обязательной аттестации может быть заменена процедурой декларирования соответствия (см. "Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных", ФСТЭК России, 2008 г., п.3.11).

К сожалению, в настоящее время процесс декларации соответствия не регламентирован.

Средства защиты информации, применяемые в ИСПДн, в установленном порядке проходят процедуру оценки соответствия (см. "Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных", п.5), включая сертификацию на соответствие требованиям по безопасности информации (см. "Основные мероприятия по организации...", п. 3.3).

При этом, для программного обеспечения, используемого при защите информации в ИСПДн (средств защиты информации, в том числе встроенных в общесистемное и прикладное программное обеспечение), должна быть проведена в том числе сертификация на отсутствие недекларированных возможностей (см. "Основные мероприятия по организации...", пп. 4.2, 4.3).

Примечание:

1) Операторы ИСПДн при проведении мероприятий по обеспечению безопасности персональных данных (конфиденциальной информации) при их обработке в ИСПДн 1, 2 классов и распределенных информационных систем 3 класса должны получить лицензию на осуществление деятельности по технической защите конфиденциальной информации в установленном порядке.

2) Заявители на сертификацию средств защиты информации (разработчики СЗИ, ИСПДн или операторы персональных данных) должны иметь лицензию на осуществление деятельности по разработке и/или производству средств защиты конфиденциальной информации.

Смущает следующее :

Процесс декларирования, действительно не регламентирован, я уже писал об этом ранее. Декларирование, проводится на основе документа, называемого "Технический регламент", который подробно описывает сам процесс для "определенного вида продукции",

см. Федеральный закон от 27.12.2002 N 184-ФЗ (ред. от 28.09.2010) "О техническом регулировании" (принят ГД ФС РФ 15.12.2002)
декларирование соответствия - форма подтверждения соответствия продукции требованиям технических регламентов;
декларация о соответствии - документ, удостоверяющий соответствие выпускаемой в обращение продукции требованиям технических регламентов;

Причем :

Статья 9. Порядок разработки, принятия, изменения и отмены технического регламента

Технический регламент - документ, который принят международным договором Российской Федерации, ратифицированным в порядке, установленном законодательством Российской Федерации, или межправительственным соглашением, заключенным в порядке, установленном законодательством Российской Федерации, или федеральным законом, или указом Президента Российской Федерации, или постановлением Правительства Российской Федерации, или нормативным правовым актом федерального органа исполнительной власти по техническому регулированию и устанавливает обязательные для применения и исполнения требования к объектам технического регулирования (продукции, в том числе зданиям, строениям и сооружениям или к связанным с требованиями к продукции процессам проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации и утилизации);

(в ред. Федеральных законов от 01.05.2007 N 65-ФЗ, от 30.12.2009 N 385-ФЗ)

Самое важное :

Технический регламент, разработанный в порядке, установленном настоящей статьей, принимается федеральным законом или постановлением Правительства Российской Федерации в порядке, установленном соответственно для принятия федеральных законов и постановлений Правительства Российской Федерации, с учетом положений настоящего Федерального закона.
Разработчиком проекта технического регламента может быть любое лицо.
О разработке проекта технического регламента должно быть опубликовано уведомление в печатном издании федерального органа исполнительной власти по техническому регулированию и в информационной системе общего пользования в электронно-цифровой форме.

А теперь смотрим список технических регламентов, для этого  Заглянем в википедию.

В списке технических регламентов действующих на данный момент, тех-регламенты касающиеся защиты информации - Отсутствуют!

Из данной информации следует вопрос:  как декларировать? Одназначного ответа пока что нет.   

Что касается аттестации...

Аттестация - процесс дорогой и емкий, включающий в себя мероприятия по анализу защищенности распределенных ИСПДн путем использования в составе информационной системы программных или программно-аппаратных средств (систем) анализа защищенности, проверку документации, и тому подобное...  

Почему этот процесс емкий? По тому, что при оценке защищенности ИСПДн специальными программными или программно аппаратными средствами, необходимо "исследовать" каждое АРМ, а таковых может быть десять, сто или много больше.

Почему дорогой, думаю и так понятно.

В результате оператор получает или не получает Аттестат информационной системы персональных данных? Вот тут возникает еще один интересный момент: ранее аттестация ИСПДн была обязательна согласно законодательству, но в связи с изданием приказа ФСТЭК России от 5 февраля 2010 г. № 582010 году приказом ФСТЭК были отменены два документа, из "четверокнижия", а именно:

Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных, утвержденные заместителем директора ФСТЭК России 15 февраля 2008 г.;

Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденные заместителем директора ФСТЭК России 15 февраля 2008 г.


Далее процетирую автора статьи с сайта www.buh.ru (прямая ссылка на статью).

Данное решение явилось логическим продолжением издания приказа ФСТЭК России от 05.02.2010 № 58 (далее - приказ № 58), утвердившего Положение о методах и способах защиты информации в информационных системах ПДн (комментарий к документу читайте в номере 4 (апрель) "БУХ.1С" за 2010 год).

Например, в отличие от Основных мероприятий в приказе № 58 не определен порядок проведения оценки соответствия ИСПДн требованиям безопасности. Соответственно, проведение обязательной аттестации (сертификации) ИСПДн 1 и 2 класса в настоящее время не предусмотрено. Данное изменение можно рассматривать как положительное, так как отмена аттестации (сертификации) позволит сэкономить операторам ПДн.

Вынужден не во всем согласиться с автором. Естественно получается, что проведение оценки соответствия "необязательно", но что скажут на это сами регуляторы, когда наступит время проверки? Неизвесно. По этой причине мнение лицензиатов в области ЗИ разделяется. Первые утверждают, что аттестация нужна, вторые, соглашаются с автором статьи, а регуляторы мирно ждут первого июля.

Допустим что аттестация необходима. И вновь вопрос - что аттестовать? ИСПДн? Как было сказано выше аттестация ИСПДн - не регламентирована. АС? Почему? В этот момент вступает в силу мнение, что необходима аттестация именно АС, по причине того, что ПДн относятся к конфиденциальной информации.  

Интересный момент - определение, что такое конфиденциальная информация, я нашел только в утратившем силу приказе:

Приказ ФНС РФ от 12.12.2006 N САЭ-3-13/848@ "О проведении опытной эксплуатации унифицированной системы приема, хранения и первичной обработки налоговых деклараций и бухгалтерской отчетности в электронном виде по телекоммуникационным каналам связи" (вместе с "Временным регламентом обмена электронными документами с ЭЦП по телекоммуникационным каналам связи в унифицированной системе приема, хранения и первичной обработки налоговых деклараций и бухгалтерской отчетности").

Следуя которому :

"...Конфиденциальная информация - требующая защиты информация, доступ к которой ограничивается в соответствии с действующим законодательством Российской Федерации, а также настоящим Регламентом..."

Но, если внимательно вчитаться в документ на сайте consultant.ru (прямаяссылка), можно увидеть следующее примечание :

Приказ ФНС РФ N САЭ 3-13/345@ от 13.06.2006 утратил силу в связи с изданием Приказа ФНС РФ от 08.08.2007 N ММ-3-13/469@. Приказом ФНС РФ от 26.03.2009 N ММ-7-6/141@ утвержден и введен в действие с 6 апреля 2009 года новый Унифицированный формат транспортного сообщения.

В новом документе понятие "конфиденциальная информация" не раскрывается, как не раскрывается больше ни в одном документе. Получается, что этого понятия в законодательных актах РФ больше не существует? Смешно аж плакать хочется, по тому что получается именно так. Что подтверждает Алексей Волков в следующем видео, предоставленном в блоге Евгения Царева: http://www.tsarev.biz/

Что делать в такой ситуации? Аттестовать, декларировать или не делать ничего? Решение этой проблемы ФСТЭК оставляет на собственную волю операторов персональных данных.

Нашел я в сети еще одно мнение специалиста по ИБ Олега Варламова, в сообщении на форуме  ispdn.ru  от 2010 года. Вроде бы давно дело было, а к настоящему моменту ничего не изменилось.

Для приведения в соответствие своих ИСПДн с требованиями закона "о ПДн" в ФСТЭК России разработан "замкнутый комплект" ОТКРЫТЫХ документов:
1)выписка из Базовой модели угроз,
2) методика актуальных угроз и
3) положение о методах и способах защиты (приказ 58).
 

Никаких иных документов, тем более с грифом ДСП не требуется. Депутаты именно "открытых документов" и добивались. 

Если кто не в курсе, то СТР-К имеет гриф "ДСП" и его не должно быть в открытом обсуждении вообще.
Авторитетно заявляю: для декларирования соответствия не нужен никакой СТР-К, а достаточно трех указанных ОТКРЫТЫХ документов. Если кто против, пусть потом в суде это докажут, а мои аргументы ниже.

Оператор ПДн имеет право САМОСТОЯТЕЛЬНО организовать у себя защиту своих ИСПДн. Вот оказывать "услуги по защите" без лицензии нельзя, а "защищать свое" - можно и без лицензии, и тем более без документов ДСП.
Без лицензии ФСТЭК России (и т.п. документов) вам никто не покажет СТР-К, но защищать можно. Следовательно, СТР-К не нужен. Вернее, СТР-К не является обязательным.

Специалисты ЦА ФСТЭК России говоря про "необходимость СТР-К" имеют ввиду, что других "хороших документов по аттестации" нет. Так нам для ИСПДн классов К4, К3 и К2 вообще не нужна аттестация. Т.Е. не нужен и СТР-К.
Если вы знакомы с СТР-К, то идеология аттестации и "декларирования соответствия" вам должна быть из него понятна.

Для остальных пишу в явном виде: декларировать - это значит проверить выполнения всех "методов и способов защиты информации в ИСПДн" из 58-го приказа для ВАШЕЙ конкретной ИСПДн. И не надо придумывать лишнего!
Как на обычных приемно-сдаточных испытаниях готовите "перечень" того, что должно у вас быть по требованиям Приказа и потом методично все это проверяете. Оформляете протоколами, подписываете - несете ответственность за эти результаты.
В завершение пишите красивую бумагу с названием "Декларация соответствия ИСПДн такой-то требованиям по защите информации по такому-ту классу". Подпись членов комиссии, печать. И все!

 Если у вас много денег, то эту процедуру с названием "аттестация" и уже по СТР-К вам с удовольствием сделают лицензиаты ФСТЭК России. Конечно, СТР-К применять можно, но необходимости в этом нет!


 Из всей предоставленной информации Олег Варламов делает следующий вывод:

Не надо усложнять и поддаваться на провокации и страшилки разные.
Думайте своей головой и отсекайте лишнее. Главное - все грамотно обосновать в полном соответствии с необходимыми и достаточными руководящими документами.


Я, с этими словами согласен, а вы?

ИТОГ: Аттестовать, нельзя помиловать...

На ряду с операторами персональных данных, меня, как специалиста в сфере защиты информации, волнует вопрос подтверждения соответствия, и в поисках ответа я долгое время провожу в океане документов и в облаках регламентов, изображая водолаза. Не смотря на неприглядную картину выше сказанного, подробно изучив законы, реграменты, постановления, пообщавшись с коллегами и так далее, я пришел к следующему выводу:

1) Аттестация - как мы ее знаем из СТР-К проводиться может по следующему принципу:

СТР-К - необязательный к исполнению, но единственный документ, в котором прописаны правила и нормы мероприятий по ЗИ, измерений и.т.д. Он рекомендуем, а значит может использоваться. Но вместо фигурирующего понятия Автоматизированной системы, аттестовать, а соответственно выдавать Аттестат соответствия необходимо на ИСПДн. Причем: СТР-К можно использовать для ЗИ по НСД "по полной", при этом правила защиты нужно брать так же из нормативных актов касающихся ПДн (Приказ ФСТЭК №58 и Постановление № 781)  а для ЗИ речевой информации и измерений ПЭМИН - не обязательно. Я думаю в редкой модели угроз вы увидите актуальную угрозу по линии ПЭМИН, т.к "дороговато будет".

2) Заключения - подготовленного оператором персональных данных или лицензиатом в принципе достаточно, но думаю ФСТЭК и Роскомнадзор, при проверке будут иметь собственное мнение по этому поводу, и не факт, что сходное с мнением оператора. 
 

1 комментарий: