Миф о том, что для обеспечения безопасности персональных данных операторы ПДн обязаны использовать только сертифицированные средства защиты информации, получил настолько широкое распространение в профессиональной и в непрофессиональной среде, что я и сам порой уже как-будто готов в него поверить. Открываю первоисточники (законы РФ и официальные нормативные документы регуляторов), перечитываю и убеждаюсь в очередной раз в том, что действующее законодательство не дает достаточных оснований для того, чтобы требовать от любого оператора ПДн обязательного использования для обеспечения безопасности ПДн только сертифицированных СЗИ. Однако, легче от этого, увы, не становится.
В этой статье мы продолжаем не соглашаться с широко распространенными мифами, появившимися на свет после принятия Федерального закона № 152-ФЗ «О персональных данных» и последующего формирования соответствующей подзаконной базы. Данный цикл статей носит название «Чего не требует от операторов закон о персональных данных» и начинался он с Заблуждения 1. «Закон требует от операторов получения согласий на обработку ПДн от субъектов ПДн«.
Последние два специфических заблуждения, которые мы рассматривали в данной рубрике, относились к банковской сфере, и формулировались они следующим образом:
Некоторые банкиры только сейчас, уже реализовав проекты по внедрению СТО БР ИББС и по защите ПДн, начинают прозревать, а тем, кто не прозревает самостоятельно, помогают регуляторы и законодатели, которым и в голову не приходит, что согласование ими каких-либо отраслевых рекомендаций по защите ПДн может являться причиной для невыполнения разрабатываемых ими обязательных требований законов и нормативных актов. В реальности банкиры слишком боятся ЦБ для того, чтобы иметь какую-либо точку зрения по данному вопросу, отличную от сообщаемой им на официальных конференциях или в официальных директивах. Мы их в этом понимаем и помогаем по мере возможности.
Рассматриваемый нами сегодня миф является одним из самых жестоких и обременительных для операторов ПДн и формулируется он следующим образом:
Заблуждение 7. Все операторы персональных данных обязаны использовать для обеспечения безопасности персональных данных только сертифицированные средства защиты информации
Двойственность ситуации, связанной с регулированием вопросов защиты информации в нашей стране и сущность сертификационных процедур я уже описывал ранее по заказу редакции CNews в статье «Что мешает развитию ИБ в России?«. К сожалению, прошло уже 5 лет, а данная статья нисколько не потеряла своей актуальности.
До принятия закона о персональных данных всем специалистам было понятно, что государственные организации для защиты информации ограниченного распространения обязаны использовать сертифицированные СЗИ, а частные компании могут использовать любые СЗИ по своему усмотрению. Поскольку и в государственных организациях полностью выполнить данное требование было во многих случаях невозможно, при проведении приемо-сдаточных, аттестационных испытаний и прочих проверок руководствовались более простым правилом: «все обязательные функциональные требования по защите информации должны закрываться при помощи сертифицированных СЗИ«. Данное требование выполнить уже намного проще, т.к. обязательных требований относительно немного, под них имеется множество сертифицированных отечественных продуктов, на которые не жалко потратить казенные деньги. Реальные же потребности организаций в области защиты информации при этом могут закрываться при помощи любых подходящих СЗИ.
Необходимость использования сертифицированных СЗИ в государственных организациях устанавливалась в СТР-К «Специальные требования и рекомендации по защите конфиденциальнной информации», принятым Гостехкомиссией России в 1999 году и до сих пор носящим гриф ДСП, а поэтому нигде неопубликованном. СТР-К распростаняется на защиту государственных информационных ресурсов некриптографическими методами. Формулировки этого документа, что характерно, весьма расплывчаты. Во-первых, не всегда понятно, что является требованием, а что рекомендацией. Во-вторых, сами требования и рекомендации недостаточно четко сформулированы и допускают множественные толкования. Об использовании сертифицированных СЗИ в документе упомянается неоднократно в различных формулировках. Например, как трактовать следующее положение?:
«Для защиты конфиденциальной информации используются сертифицированные по требованиям безопасности информации технические средства защиты информации. Порядок сертификации определяется законодательством Российской Федерации».
Это требование или рекомендация? Только сертифицированные или не только? Относятся ли к числу технических СЗИ программные СЗИ или нет? Как можно было в одно простое предложение столько неясностей заложить?
«В качестве основных мер защиты информации рекомендуются использование сертифицированных серийно выпускаемых в защищенном исполнении технических средств обработки, передачи и хранения информации»
Из данного пункта можно сделать вывод о том, что для средств обработки информации, не являющихся СЗИ, сертификация носит все же рекомендательный характер.
«Для управления, контроля защищенности ЛВС и распределения системных ресурсов в ЛВС, включая управление средствами защиты информации, обрабатываемой (хранимой, передаваемой) в ЛВС, должны использоваться соответствующие сертифицированные по требованиям безопасности информации средства защиты».
Вот это уже явно требование, из которого с очевидностью следует, что должны использоваться сертифицированные СЗИ, вот только вопрос для чего? Получается, что сертифицированные СЗИ должны использоваться для ….. управления СЗИ и ЛВС, а также для контроля защищенности и распределения системных ресурсов. Т.е. для всех прочих задач не обязательно использовать сертифицированные СЗИ?
Мы видим, что даже единственный нормативный документ, якобы устанавливающий обязательность использования сертифицированных СЗИ для защиты государственных информационных ресурсов, СТР-К (нигде к тому же официально не опуликованный, а значит не имеющий статуса НПА) не устанавливает данного требования с достаточной определенностью и для всех типов СЗИ. «Вилами по воде писано», как говорят у нас в народе. Ведь, если требуется установить обязательность использования сертифицированных СЗИ, почему так прямо и коротко не написать: «Для защиты государственных информационных ресурсов должны использоваться (разрешается использовать) только сертифицированные СЗИ»? И почему не опубликовать данный документ, чтобы не только регуляторы и лицензиаты ФСТЭК об этом знали, но и те, кто данное требование должен выполнять? Может быть данное требование просто нельзя полностью выполнить и наши регуляторы боятся поймать на крючок самих себя? Лучше половить рыбку в мутной воде? Можно тогда и без крючка, голыми руками, — сам не зацепишься.
Давайте теперь посмотрим, где же в действующем законодательстве или нормативной базе можно обнаружить требование об обязательности использования сертифицированных СЗИ для защиты персональных данных? В последней редакции закона о персональных данных (№ 261-ФЗ о внесении изменений в 152-ФЗ) в статье 19 говорится следующее:
«2. Обеспечение безопасности персональных данных достигается, в частности: …. 3) применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации; …»
Другими словами, закон требует, чтобы применяемые для защиты ПДн СЗИ проходили в установленном порядке процедуру оценки соответствия. Требование, надо сказать, вполне логичное. Разве можно допускать, чтобы для защиты ПДн (читай: интересов наших граждан) использовалось неизвестно что? Про сертифицикацию СЗИ в законе ничего не сказано. Сертификация — это лишь одна из форм подтверждения соответствия, а подтверждение соответствия, согласно действующему законодательству, является лишь одной из многих форм оценки соответствия. В Федеральном законе № 184-ФЗ «О техническом регулировании» об этом говорится следующее:
«оценка соответствия — прямое или косвенное определение соблюдения требований, предъявляемых к объекту»
«Оценка соответствия проводится в формах государственного контроля (надзора), аккредитации, испытания, регистрации, подтверждения соответствия, приемки и ввода в эксплуатацию объекта, строительство которого закончено, и в иной форме».
Как мы видим из данного определения, помимо подтверждения соответствия, оценка соответствия также может проводиться в форме испытаний, а также в иных формах.
«подтверждение соответствия — документальное удостоверение соответствия продукции или иных объектов, процессов производства, эксплуатации, хранения, перевозки, реализации и утилизации, выполнения работ или оказания услуг требованиям технических регламентов, положениям стандартов или условиям договоров;»
«Подтверждение соответствия на территории РФ может носить добровольный или обязательный характер. 2. Добровольное подтверждение соответствия осуществляется в форме добровольной сертификации. 3. Обязательное подтверждение соответствия осуществляется в формах: принятия декларации о соответствии (далее — декларирование соответствия); обязательной сертификации».
«Обязательное подтверждение соответствия проводится только в случаях, установленных соответствующим техническим регламентом, и исключительно на соответствие требованиям технического регламента».
Поскольку технических регламентов по защите ПДн или по защите конфиденциальной информации в целом, устанавливающих требования обязательного подтверждения соответствия, не существует, то об обязательном подтверждении соответствии речи не идет. Что касается добровольной сертификации СЗИ на соответствие каким-угодно требованиям, то это дело добровольное, также как и колхоз. Сертификация СЗИ конечно может использоваться для подтверждения соответствия СЗИ, применяемых для защиты ПДн, наряду с другими формами оценки соответствия. В случае использования несертифицированных СЗИ оценка соответствия этих СЗИ может осуществляться в ходе приемо-сдаточных испытаний путем проверки реализации данным СЗИ определяемых ТЗ функциональных требований, анализа конфигурационных параметров СЗИ, проведения тестов на проникновение и т.п.
Другими словами, дейстующее законодательство о персональных данных не требует обязательного применения сертифицированных СЗИ, либо обязательного подтверждения соответствия СЗИ, используемых для защиты ПДн. Законодательство требует лишь, чтобы СЗИ, используемые для защиты ПДн, проходили в установленном порядке оценку соответствия, например, путем сертификационных, приемочных и прочих испытаний, а также прочими методами.
Все про ту же самую оценку соответствия СЗИ говорится и в действующем Положении об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных (Постановление Правительства РФ № 781 от 17 ноября 2007) и в Положении о методах и способах защиты информации в информационных системах персональных данных (Приказ ФСТЭК № 58 от 5 февраля 2010 г.). Единственным исключением является требование для ИСПДн класса К1: «Для информационных систем 1 класса применяется программное обеспечение средств защиты информации, соответствующее 4 уровню контроля отсутствия недекларированных возможностей». Заметим однако, что и в этом требовании слово «сертификация» не фигурирует, что оставляет возможности для применения, помимо сертификации, и других способов оценки соответствия.
Постановление Правительства Российской Федерации от 21 апреля 2010 г. № 266 «Об особенностях оценки соответствия продукции (работ, услуг), используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа, и продукции (работ, услуг), сведения о которой составляют государственную тайну, предназначенной для эксплуатации в загранучреждениях Российской Федерации …» устанавливает обязательную сертификацию и государственных контроль (надзор) в качестве единственных форм оценки соответствия СЗИ, но только для загранучреждений РФ. К персональным данным это постановление не относится.
Наконец, последним аргументом, который используется для убеждения в обязательности использования для защиты ПДн сертифицированных СЗИ, является Постановление Правительства РФ № 330 «Об особенностях оценки соответствия продукции (работ, услуг), используемой в целях защиты сведений, относимых к охраняемой в соответствии с законодательством РФ информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну …». Данное постановление мало кто видел, т.к. оно почему-то носит гриф ДСП. Распространяется данное постановление на государственные информационные ресурсы, а заодно, и на персональные данные. Подобный документ пока даже сложно комментировать. Во-первых, он носит закрытый характер и поэтому просто не может выполняться операторами ПДн. Во-вторых, данное постановление не только выполняться не может, но и применяться не может и не может повлечь никаких правовых последствий для тех, кто его не знает или не выполняет. Постановлением Правительства РФ от 13.08.97 г. № 1009 утверждены «Правила подготовки нормативно-правовых актов федеральных органов исполнительной власти и их государственной регистрации». В соответствии с п. 19 этих Правил «нормативно-правовые акты, не прошедшие регистрацию в Минюсте России и официально не опубликованные, считаются не вступившими в силу и применяться не могут». Кроме того, в соответствии с ч. 3 ст. 15 Конституции РФ «все законы, а также любые нормативные акты, затрагивающие права, свободы и обязанности человека и гражданина, должны быть официально опубликованы для всеобщего сведения, то есть обнародованы. Неопубликованные нормативные правовые акты не применяются, не влекут правовых последствий, как не вступившие в силу».
Что-то мне подсказывает, что подобно СТР-К, 330 ПП может так и остаться с грифом ДСП. В этом случае обязательное использование сертифицированных СЗИ, так и не станет нормативным требованием для операторов ПДн, но будет использоваться повсеместно для косвенного воздействия на операторов через лицензиатов ФСТЭК, проводящих работы по защите ПДн, и незаинтересованных в какой-либо полемике по данному вопросу. Схема добровольно-принудительного околозаконного присоединения к различным требованиям у нас в стране достаточно хорошо отработана и операторы должны отнестись к этому с пониманием.
В этом случае с правовой точки зрения сохранит свою актуальность следующий вывод:
Вывод № 1: на сегодняшний день не существует нормативно-правовых актов, обязывающих операторов ПДн использовать для обеспечения безопасности персональных данных сертифицированные СЗИ.
С практической точки зрения вывод будет несколько иной:
Вывод № 2: существует мнение, а скорее даже достаточно четкое указание на необходимость использования операторами ПДн сертифицированных СЗИ, закрепленное в закрытом Постановлении Правительства РФ № 330. Для большинства операторов данного аргумента вполне достаточно для того, чтобы не проверять на собственном опыте правильность Вывода № 1.
Оглавление
Comments (15)
Сергей 29-09-2011 04:02
Всё же сертифицированные СЗИ
Я придерживаюсь мнения, что использовать надо сертифицированные средства защиты.
Вопрос стоит в том, как определить подойдет ли выбранное средство защиты для систем класса 1Г и для использования в ИСПДн любого класса? Вопрос нигде не написан, и задавался ФСТЭК не один раз. Ответ получается простым до безобразия: подойдет только в том случае, если оно сертифицировано, просто потому, что имеет сертификат, а значит в терминах ПП330 и ПП 781 «прошло оценку соответствия». При этом совершенно не важно, что это за сертификат и что в нем написано — главное, что он есть. Да и с учётом 330-го постановления тоже получается, что обязательно. Хотя 330ПП и имеет гриф ДСП, и с учётом №152ФЗ ст.4: «2. На основании и во исполнение федеральных законов государственные органы, Банк России, органы местного самоуправления в пределах своих полномочий могут принимать нормативные правовые акты, нормативные акты, правовые акты (далее – нормативные правовые акты) по отдельным вопросам, касающимся обработки персональных данных. Такие акты не могут содержать положения, ограничивающие права субъектов персональных данных, устанавливающие не предусмотренные федеральными законами ограничения деятельности операторов или возлагающие на операторов не предусмотренные федеральными законами обязанности, и подлежат официальному опубликованию.»; НИГДЕ не сказано, что регулятор не может установить ограничения. Если законом предусмотренно, что ФСТЭК регулятор, то она и определяет, что такое оценка соответствия, так как она ответственна за разработку подзаконных актов.
Многие могут сослаться на №152ФЗ ст. 18 прим. 4) осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных настоящему Федеральному закону и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора. Однако, это касается не средств защиты, а констатации факта соответствия выполнения требований №152ФЗ. А вот как вы будете подтверждать, что средства защиты выбраны правильно? Декларация соответствия к ИСПДн и к СЗи не применима.
Александр Астахов 29-09-2011 04:33
сертифицированные СЗИ
Мнения об обязательности использования сертифицированных СЗИ, согласно проводимому опросу на этом сайте, придерживается чуть меньше половины проголосовавших.
Подойдет ли СЗИ для защиты ПДн в конкретных ИСПДн определяет ни ФСТЭК, ни Президент РФ и ни Собвез ООН. Это определяет в каждом конкретном случае проектировщик СЗПДн, а затем оценщик (аудитор, тестировщик, аттестующий и прочие проверяющие и согласующие инстанции). СЗИ может быть сертифицировано (на соответствие чему угодно) и не подходить, а может быть наоборот.
Кроме закрытого (а значит не имеющего законной силы) ПП330, нигде не сказано об обязательности сертификации СЗИ (в настоящий момент). Как относится к подобным закрытым документам каждый решает сам. Очевидно, что подобные документы с грифом ДСП, включая СТР-К, предназначены для некоторого ограниченного круга лиц и никак не могут служить руководством для всех операторов ПДн.
Сертификаты не подтверждают и не могут подтверждать, что СЗИ для конкретной ИСПДн выбрано правильно. Сертификаты подтверждают, что СЗИ соответствует требованиям определенных нормативных документов и ничего более. Правильность выбора СЗИ может подтверждаться в ходе аттестационных испытаний ИСПДн, аудитов и прочих проверочных процедур.
Как вы думаете, если для защиты ПДн обязательно использовать только сертифицированные СЗИ, то почему Правильтельство РФ или ФСТЭК не выпустит НПА, в котором это четко прописано? В этом случае и спорить будет не о чем.
Сергей 30-09-2011 12:31
Сертифицированные СЗИ
По опыту работы могу сказать, что прежде чем выполнять работы по тех защите, любой проект всегда согласовывался со ФСТЭК. Как раз для того, чтобы избежать ситуации когда средство защиты не подойдёт. В любом случае в спорной ситуации придётся доказывать именно ФСТЭКу, что СЗи выбраны правильно. В этом случае ФСТЭК будет руководствоваться внутренними документами(330 ПП). Ни кто не мешал же вам сначала согласовать проект. По вашей логики получается, что ФСТЭК вообще не нужен, раз применимость выбранного СЗИ определяет проектировщик и оценщик.
Сертификат подтверждает, что данное СЗИ может использоваться для защиты систем данного класса. Поэтому оно подходит для использования в данной системе. Если оно не выполняет все требования, значит надо докупить СЗИ, которое закроет оставшиеся пробелы.
На счёт того, почему правительство не выпустит специальный НПА. Хороший вопрос. Это избавило бы многих от сомнений. Можно хотя бы доработать существующий Закон «О тех. регулировании». Увы, это Россия. Всегда прав будет регулятор. Ну можно конечно создать прецедент, только судиться придётся много.
Александр Астахов 30-09-2011 01:06
Сертифицированные СЗИ
ФСТЭК не имеет ни физической возможности, ни соответствующих функций по согласованию проектов всем операторам ПДн. Это и смысла не имеет и невозможно реализовать на практике. Для чего нужен ФСТЭК можно почитать на их официальном сайте: http://fstec.ru/_razd/_osno.htm
От вас не требуется, чтобы вы согласовывали свои проекты с ФСТЭК. Если вы это каждый раз делаете, то это ваше право, но я, в этом случае, восхищаюсь терпением сотрудников соответствующего управления ФСТЭК, которые не обязаны вам подобные услуги оказывать.
Во первых, В сертификате вовсе необязательно написано в системах какого класса может использоваться СЗИ. Там может быть продекларировано, например, соответствие ОУД3 или 5 классу СВТ или 2 уровню по НДВ или какому-нибудь ТУ и т.д.
Во вторых, если в сертификате написано, что СЗИ может использоваться, например, в ИСПДн 1 класса, это вовсе не означает, что оно подходит для конкретной ИСПДн, т.к. при выборе СЗИ должны учитываться соображения программной и аппаратной совместимости, стоимости, производительности, управляемости, интегрируемости с др. ПО и платформами, эффективности, наличия необходимых функций и куча прочее.
Сергей 30-09-2011 03:19
Сертифицированные СЗИ
Да, от оператора не требуется. Хочешь делай, хочешь нет. На счёт фунций поспорить тоже можно, но речь не об этом.
Речь идёт о том, что для 100% уверенности в том, что при проверке любого регулятора не будет никаких последствий для оператора, надо использовать сертифицированные СЗИ. Не хотите использовать сертифицированные, не используйте. Посмотрим, что будет. Мне самому интересно. Не хотите попытаться согласовать — дело ваше. Я привёл реальный расклад.
На счёт самого сертификата. Не забываем про РД АС от НСД и прочие. ИСПДн тоже относится к системе одного из классов указанных там. Поэтому и сертификат может не содержать указание класса. Там всё описано, что и где применяется.
На счёт подходящих(по стоимости, конфигурации, совместимости) СЕРТИФИЦИРОВАННЫХ СЗИ, выбирайте те, которые подойдут вам именно по этим параметрам. Выбор огромный Если у вас UNIX, то есть отличное дешёвое решение, дешевле даже несертифицированных, которое всё закроет. Реализация одна(нет версий для каждой ОС, это и не надо). Подходит для всех платформ. Выполнение требований 100%. Прменять можно и для Windows. Проблем то нет. Вы же и свою коммерческую, служебную или иную тайну защищаете. Есть и другое отличное решение. Если кого заинтересует расскажу, помогу советом и ещё денег сэкономите.
В итоге получается вопрос: Как вы докажете регуляторам, что выбранные вами СЗИ подходят?
Александр Астахов 30-09-2011 03:50
Сертифицированные СЗИ
При проверке регулятор всегда при желании найдет к чему придраться, какие бы СЗИ вы не использовали. Даже если вы используете сертифицированные СЗИ, то достаточно просто сравнить номера релизов ПО или контрольные суммы того, что у вас на сертифицированном дистрибутиве и того, что у вас реально установлено. Совпадения не будет, т.к. любое ПО имеет свойство постоянно обновляться, иначе оно теряет свои защитные функции СЗИ.
Про РД АС можете забыть. Они используются по старой памяти только в гос. учреждениях в исключительно бюрократических целях. Никакого практического применения они не имеют. Вы бы еще «оранжевую книгу» вспомнили. Ничего имеющего отношение к реальности там не описано, в том числе, что и где следует применять. Когда я слышу в наше время про РД АС, я понимаю что люди чем-то другим заняты, но никак не обеспечением ИБ.
Выбирать СЗИ из сертифицированных или нет, каждый сам решает. Мы и начали обсуждение с того, что не существует НПА, требующего от операторов выбирать именно из сертифицированных СЗИ. Будет соответствующий НПА, будем выбирать только из сертифицированных. Боитесь наезда со стороны регуляторов, не готовы отстаивать свою позицию — используйте только сертифицированные СЗИ, если получится.
Среди никому не нужных сертифицированных СЗИ «для защиты от НСД» выбор большой. (вернее сказать, нужных только для демонстрации сертификата регуляторам). Большинство же современных СЗИ, которые реально применяются во всем цивилизованном мире, не имеют и никогда не будут иметь российских сертификатов. Это относится ко всем новым версиям импортных продуктов, т.к. сертификация занимает больше времени, чем выпуск очередного релиза.
Почему вам надо кому-то доказывать «что выбранные СЗИ вам подходят»? Как вы своей жене докажете, что выбранные брюки вам подходят? Она с вами не согласится и придется бежать в магазин обменивать.
Сергей 30-09-2011 04:27
Сертифицированные СЗИ
На счёт обновлений. Этот вопрос я не считаю серьёзным. С ним проблем не возникает. И он уже не раз обсуждался.
Про РД пока забывать тоже не стоит. В нём есть нормальная логика. Фирм заказывающих аттестацию по ним достаточно.
Про Миф. Мифом это назвать трудно, так как приведённые мной выше доказательства в пользу сертифицированных СЗИ имеют под собой достаточно твёрдую почву и обоснование. Тут решить вопрос может только суд. Или новый НПА. где будет сказано, что можно несертифицированные.
Далее. 😉 Cisco, Oracle(хотя не совсем в тему) ну и тд.
Ну и на счёт брюк. Есть ГОСТ на брюки. Покажите ей и всё.
Александр Астахов 30-09-2011 04:37
Сертифицированные СЗИ
Все приведенные вами доказательства в пользу сертифицированных СЗИ сводятся к тому, что их необходимо использовать, для того, чтобы регуляторы к вам по этому вопросу не придирались. Так их для того и используют. Только регуляторы, если им надо, все равно придираются. Уж если вы до сих пор руководствуетесь РД АС (документы почти двадцатилетней давности), то существует сотня способов к вам придраться и никакие сертификаты не помогут.
Показать жене ГОСТ на брюки 🙂 пять баллов!
Александр Астахов 30-09-2011 05:26
вопрос обновлений ПО
Вопрос обновлений ПО, с практической точки зрения, как-раз намного более серьезный и сложный, нежели вопрос о том, есть ли у вас сертификат на СЗИ или нет. Хотя конечно в классической бюрократической системе не имеет значения как ваши активы защищены, главное чтобы у вас была бумажка за подписью и печатью. Только какое отношение это имеет к защите информации или хотя бы к законодательству в области защиты информации?
Владимир 25-03-2012 01:39
Обязательная сертификация СЗИ
Александр, в своих рассуждениях вы обошли вниманием «Положение о сертификации средств защиты информации по требованиям безопасности информации, утвержденное приказом председателя Гостехкомиссии от 27 октября 1995 г. № 199».
п.1.6 «Обязательной сертификации подлежат средства защиты информации, предназначенные для защиты сведений, составляющих государственную тайну, а также другой информации с ограниченным доступом, подлежащей защите в соответствии с действующим законодательством»
Персональные данные — вид информации ограниченного доступа, подлежащей обязательной защите в соответствии с действующим законодательством.
Александр Астахов 26-03-2012 10:38
положение о сертификации СЗИ
Спасибо за дополнение.
«Положение о сертификации СЗИ» Гостехкомиссии РФ умиляет еще и тем, что в нем к числу СЗИ отнесены все виде ПО, включая ПО общего назначения, ОС, СУБД, текстовые и графические редакторы, компиляторы и т.п. В связи с этим, применить данное положение на практике к защите ПДн или другой информации ограниченного доступа не представляется возможным, да и не предполагалось этого делать, поскольку пункт 1.2 определяет область действия данного положения следующим образом: «Действие настоящего положения распространяется на технические, программные и другие средства защиты информации, предназначенные для защиты информации, содержащей сведения, составляющие государственную тайну, от утечки, несанкционированных и непреднамеренных воздействий, несанкционированного доступа и от технической разведки, а также средства контроля эффективности защиты информации».
Другими словами, как четко определено в цитируемом Положении, ни на что, кроме защиты гос. тайны оно не распространяется. Для всего остального оно носит добровольный рекомендательный характер. Чтобы распространить данное Положение конкретно на защиту ПДн, надо принять НПА, в котором явно это будет прописано. Но в силу отмеченных выше особенностей данного документа, применить его к защите ПДн все равно было бы невозможно.
lars 11-09-2012 09:50
Обязательная сертификация СЗИ
А как же быть с этим:
Все из того же 781
18. Результаты оценки соответствия и (или) тематических исследований средств защиты информации, предназначенных для обеспечения безопасности персональных данных при их обработке в информационных системах, оцениваются в ходе экспертизы, осуществляемой Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности Российской Федерации в пределах их полномочий.
19. К средствам защиты информации, предназначенным для обеспечения безопасности персональных данных при их обработке в информационных системах, прилагаются правила пользования этими средствами, согласованные с Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности Российской Федерации в пределах их полномочий.
Изменение условий применения средств защиты информации, предусмотренных указанными правилами, согласовывается с этими федеральными органами исполнительной власти в пределах их полномочий.
Т.е. при использовании например IPsec, «придется оцениваться в ходе экспертизы, осуществляемой Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности Российской Федерации в пределах их полномочий»?
А как быть с этим?
20. Средства защиты информации, предназначенные для обеспечения безопасности персональных данных при их обработке в информационных системах, подлежат учету с использованием индексов или условных наименований и регистрационных номеров. Перечень индексов, условных наименований и регистрационных номеров определяется Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности Российской Федерации в пределах их полномочий.
Александр Астахов 11-09-2012 10:18
обязательная сертификация СЗИ
Не стоит особо беспокоится. О сертификации в цитируемых пунктах ничего не говориться.
По п. 18 беспокоиться должны ФСТЭК и ФСБ, т.к. им требуется определить соответствующие регламенты проведения экспертиз и как-то эти экспертизы проводить. Нигде не написано, что пользователи СЗИ (операторы ПДн) должны эти экспертизы организовывать. Оператор ПДн провел оценку соответствия используемых СЗИ в ходе приемо-сдаточных испытаний. У него имеются протоколы, заключения, акты. А регуляторы пускай проводят экспертизу этих документов, если требуется.
По п. 19 беспокоиться должны скорее производители СЗИ, а не пользователи. Пускай отсылают регуляторам правила пользования СЗИ, а те, если смогут, пускай согласовывают.
п. 20 также относится к регуляторам, которые должны определить правила учета СЗИ.
lars 12-09-2012 08:00
обязательная сертификация СЗИ
Александр, спасибо за ответ.
НО, тем не менее,
«По п. 19 беспокоиться должны скорее производители СЗИ, а не пользователи. Пускай отсылают регуляторам правила пользования СЗИ, а те, если смогут, пускай согласовывают.»
Производителям СЗИ не беспокоящихся о защите ПДн, может быть абсолютно все равно на эти требования по ЗПДн, а потребителю захочется использовать их СЗИ, и получается замкнутый круг, производитель не беспокоится, а потребитель либо использует и беспокоится за себя, либо использует и согласовывает с регуляторами, выполняя п.19 (по принципу если не ты, то кто?), либо использует сертифицированные и не беспокоится.
А вообще видится ситуация, чтоб не нарушать конституцию, в пункте свободы выбора :))), (ограничивая в выборе средств) нас не напрямую, а косвенно всеми способами заставляют поддерживать российского производителя)))
«Мы не просим вас чтоб средства были сертифицированы, но вот есть некоторые пункты (которые никто не знает как выполнить) и вроде как вы должны им соответствовать, а вы им почему то не соответствуете, а если б вы использовали сертифицированные СЗИ, вы бы соответствовали», думаю рассуждения будут примерно такими…
Александр Астахов 12-09-2012 08:19
обязательная сертификация СЗИ
по п. 19 никакой процедуры согласования не установлено, кто должен согласовывать не определено и что конкретно в пользовательской документации СЗИ надо согласовывать не понятно. на практике никто этого не выполняет пока не прописаны соответствующие процедуры. ответственности за это тоже никакой не установлено. поэтому беспокоиться не стоит.
если вы следите за госрегулированием в области защиты информации в нашей стране, то могли заметить, что у нас вся нормативка (зачастую умышленно) составлена из таких расплывчатых формулировок. это дает возможность регуляторам самим решать что считать нарушением, кого казнить, а кого миловать.