Нужно ли использовать сертифицированные СЗИ в ИСПДн?

Аватар пользователя IvanBoytsov
Автор: Бойцов Иван, ООО "Код Безопасности"
(12)
()
Опубликовано в:

После выхода приказа ФСТЭК №21 от 18 февраля 2013 года эксперты приступили к обсуждению вопроса – обязательно ли использовать сертифицированные средства защиты информации (СЗИ) при создании системы защиты ИСПДн. Операторы персональных данных замерли в ожидании их решения. Но к единой точки зрения эксперты не пришли, поэтому я попробую еще раз разобраться в этом вопросе.

К сожалению, при написании 21 приказа специалисты ФСТЭК и приглашенные эксперты использовали следующую формулировку, которая и вызывает вопросы:

«4. Меры по обеспечению безопасности персональных данных реализуются в том числе посредством применения в информационной системе средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия, в случаях, когда применение таких средств необходимо для нейтрализации актуальных угроз безопасности персональных данных.»

По этому пункту приказа, однозначно не следует, что любые средства защиты информации должны быть сертифицированы, причем понимать вопроса сразу два. Во-первых, можно понимать данный пункт как карт-бланш на использование любых СЗИ, в том числе и сертифицированных, во-вторых, многие специалисты настаивают на мнении, что процедура оценки соответствия – это не обязательно сертификация по требованиям безопасности информации.

Для однозначного ответа на первый вопрос о необходимости использования только СЗИ, прошедших процедуру оценки соответствия,  достаточно обратиться к постановлению Правительства РФ № 1119 от 1 ноября 2012 г. "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", в 13 пункте которого указано, что для обеспечения 4-го уровня защищенности ПДн необходимо выполнить следующее требование:

«г) использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз»

В остальные уровни защищенности ПДн это требования также входит. На основании этого пункта, обязательно применение СЗИ, прошедших процедуру оценки соответствия, для нейтрализации актуальных угроз. Неактуальные угрозы можно защищать любыми СЗИ, но неактуальные угрозы никто, как правило, не защищает.

Остается только вопрос о расшифровке термина "процедура оценки соответствия". Есть мнения, что оценкой соответствия может быть не только обязательная сертификация в системе сертификации ФСТЭК, но и декларирование соответствия (разработчиком СЗИ) или добровольная сертификация – в негосударственных системах сертификации.

Обратимся к истории, в отмененном постановлении Правительства РФ № 781 от 17 ноября 2007 г. было четкое указание, что оценка соответствия проводится с помощью экспертизы ФСТЭК или ФСБ. А вот в новом постановлении такого пункта уже нет, но сохраняет своё действие постановление Правительства РФ № 330 от 15 мая 2010 г., выпущенное под грифом ДСП, которым было принято "Положение об особенностях оценки соответствия продукции (работ, услуг), используемой в целях защиты сведений, относимых к охраняемой в соответствии с законодательством Российской Федерации информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну, а также процессов её проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации и захоронения.", в соответствии с которым оценка соответствия проводится в форме обязательной сертификации.

Дополнительные разъяснения по данному вопросу даны в информационном сообщении ФСТЭК № 240/24/1701 от 4 мая 2012 года, в котором однозначно указана позиция регулятора – СЗИ, используемые для защиты персональных данных, подлежат обязательной сертификации в системе сертификаии ФСТЭК на соответствия требованиям, установленным ФСТЭК.

Это должно развеять все сомнения и дать однозначный ответ - процедура оценки соответствия - это только сертификация по требованиям безопасности информации.

 

Оцените материал:
Total votes: 408
 
Комментарии в Facebook
 

Комментарии на сайте

Аватар пользователя prozorov

Добрый день, Иван. Попробуйте чуть более глубоко покопать тему. В частности посмотрите 184-ФЗ "О тех.регулировании", если есть доступ, то Постановление Правительства 330 и пр. Много полезной информации есть в материалах Лукацкого (искать по тегу "оценка соответствия") и у Волкова.

 

 

up
57 users have voted.
Аватар пользователя prozorov

Из более конкрентых рекомендаций: Для ИСПДн необходимо использовать СЗИ, прошедшие оценку соответствия. Ну, а для "госов" рекомендую всеже ориентироваться именно на оценку соответствия в форме сертификации. 

 

up
69 users have voted.
Аватар пользователя prozorov

:)

up
70 users have voted.
Аватар пользователя IvanBoytsov

Андрей, а не могли бы аргументированно опровергнуть мою позицию - конкретный вопрос - почему ПП №266 не относится к ИСПДн и, соответственно, сообщение ФСТЭК 240/24/1701 не "истина в последней инстанции"?

up
17 users have voted.
Аватар пользователя prozorov

Иван, я не говорю, что вы рассуждаете не правильно. А обращаю ваше внимание, что вы делаете выводы основываясь на неполных данных. 

В частности, вы забыли про 184-ФЗ, который является основой понятийного аппарата и юридически "главнее" сообщения ФСТЭК. 

Также обращаю Ваше внимание, что сообщение ФСТЭК отсылает к Постановлению от 15 мая 2010 г. N 330, которого нет в окрытом доступе, что ставит под сомнение его легитимность.

 Вы начали правильно, но остановились на половине пути в своем анализе. Посмотрте у Лукацкого, у него много информации на эту тему...

 

up
17 users have voted.
Аватар пользователя IvanBoytsov

Андрей, по поводу ПП-330 согласен, но я не вижу причин не относить ПП-266 к ПДн, т.к. ПДн - это "относимая к охраняемой в соответствии с законодательством Российской Федерации иная информация ограниченного доступа". 

И потом, если сравнить заголовки ПП, получается, что в отношении ПДн действую оба постановления.

ПП-266:

"...в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа…"

ПП-330

"...отнесенных к охраняемой в соответствии с законодательством РФ информации ограниченного доступа, не содержащей сведения, составляющие гостайну..."

up
19 users have voted.
Аватар пользователя prozorov

у ПП-266:ограниченная область действия, об этом и Михаил Емельянников написал Вам выше по комментариям

up
23 users have voted.
Аватар пользователя paulmg

Иван.

Это называется "точка бифуркации", в которой небольшое отклонение может привести к неверным выводам.

Во-первых, нет ясности в том, являются ли ПДн информацией ограниченного доступа. Даже базовый в этой части 149-ФЗ в соответствующей 9-й статье прямо отсылает к 152-ФЗ, в соответствии с которым ПДн являются просто охраняемой информацией, которая по ряду Законов может быть вообще общедоступной (известная тема - содержание сертификата ключа электронной подписи), либо на распространение такой информации может быть получено разрешение владельца.

Во-вторых, спорный с точки зрения русского языка вывод из требования «г) использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз», явно допускающего двойное толкование: "Таких" относится к "прошедших процедуру оценки соответствия" или к "защиты информации"?

Отбрасывая предикативы можно переформулировать пункт в вопрос: "Является ли применение сертифицированных средств необходимым для нейтрализации актуальных угроз?"

Ответ: "В общем случае нет"

Одни актуальные угрозы нейтрализуются  организационными и/или правовыми мерами.

Для других нет сертифицированных средств.

Для третьих сертифицированные средства ничем не отличаются от несертифицированных.

Да и сертифицированные средства сами по себе создают угрозы, единственным способом нейтрализации которых является отказ от применения сертифицированных средств.

Ну а более тонко надо смотреть уже модель угроз и не забывать про статью 10 Приказа №21:

up
62 users have voted.
Аватар пользователя IvanBoytsov

Я ответил Михаилу в комментариях выше.

up
70 users have voted.
Аватар пользователя mixti77

Иван, вот здесь http://anvolkov.blogspot.ru/2013/03/blog-post_22.html приводится анализ ПП-266. Семантическая ошибка в названии НПА действительно есть, но Вы же понимаете, что использовать сертифицированные в СВР средства защиты для ИСПДн это явно через чур )). 

up
17 users have voted.
Аватар пользователя IvanBoytsov

Исправляю свою ошибку - http://dlp-expert.ru/blog/5336/42564 

up
65 users have voted.
Аватар пользователя IvanBoytsov

Разъяснение действия ПП-266 - ответ СВУ - http://www.ivanboytsov.ru/2013/07/266.html

up
86 users have voted.
Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.