среда, 27 октября 2010 г.

ФСТЭК не доверяют?


13 октября 2010 года в Министерстве юстиции под номером 18704 был зарегистрирован прелюбопытнейший документ - приказ ФСБ РФ и Федеральной службы по техническому и экспортному контролю от 31 августа 2010 г. N 416/489 "Об утверждении Требований о защите информации, содержащейся в информационных системах общего пользования".

Требования Приказа распространяются на федеральные государственные информационные системы, созданные или используемые в целях реализации полномочий федеральных органов исполнительной власти и содержащие сведения о деятельности Правительства Российской Федерации и федеральных органов исполнительной власти, обязательные для размещения в информационно-телекоммуникационной сети Интернет.

Как всегда, не обошлось без терминологической неразберихи. Так, Andrey_CM отмечает, что, согласно 149-ФЗ, существуют государственные информационные системы (федеральные информационные системы и региональные информационные системы, созданные на основании соответственно федеральных законов, законов субъектов Российской Федерации, на основании правовых актов государственных органов) и муниципальные информационные системы (созданные на основании решения органа местного самоуправления), Приказ же распространяется на федеральные государственные информационные системы, и такой "синтез" не совсем понятен. Кроме того, Приказ является обязательным для операторов информационных систем общего пользования при их разработке и эксплуатации информационных, однако расшифровка термина "оператор ИСОП" в нем отсутствует, поэтому приходится только догадываться, о ком же идет речь.

В целом, подход стандартный: целостность и доступность (конфиденциальность по понятным причинам не рассматривается), антивирусы, обнаружение атак, запись и хранение сетевого трафика, контроль доступа, МЭ, криптография, ТСО, видеонаблюдение, резервное копирование, гарантированное питание. Однако есть и интересные моменты.

Первое, что стоит отметить, это пункт 4 документа: "информация, содержащаяся в информационной системе общего пользования, является общедоступной". Стало быть, любые персональные данные, размещаемые в таких системах, (например, информация о доходах чиновников и их родственниках), являются общедоступными.

Документ предусматривает разделение ИСОП на 2 класса, самый критичный (первый класс) ИСОП - нарушение целостности и доступности информации в которых может привести к угрозе безопасности страны. Сам по себе факт признания госрегуляторами того, что не только нарушение свойств конфиденциальности информации, но и ее целостности и доступности, способно привести к угрозе безопасности страны, вызывает удивление. Но есть более интересный тренд.

Все (!) технические средства защиты, используемые в системах 1 класса, должны иметь сертификат ФСБ. Повторюсь - не только криптография, а ВСЕ - включая антивирусы, межсетевые экраны и средства обнаружения атак. Сертифицированные ФСТЭК средства защиты могут использоваться только во 2 классе ИСОП (те, что не попали в 1 класс), да и то с приставкой ИЛИ: дословно - "сертифицированные ФСБ России и (или) ФСТЭК России с учетом их компетенции".

До сих пор компетенции по сертификации средств защиты информации были четко поделены между ФСТЭК и ФСБ. Не означает ли появление этого документа начала передела сфер влияния между государственными регуляторами?

6 комментариев :

  1. Наверно не всегда подходит сертификация на НСД и НДВ, иногда нужно еще и сертифицировать по "качеству".
    Например, можно глянуть сертификаты Доктора Веба, который сертифицирован как ФСТЭКом, так и ФСБ (до гос. тайны) http://company.drweb.com/licenses_and_certificates

    PS Другой вопрос: какой сейчас выбор среди сертифицированных ФСБ средств?

    ОтветитьУдалить
  2. IMO т.к. системы попавшие под 1 класс "курируются" ФСО, то ФСБ им "ближе" ;)
    А в ФСБ и в Минобороны существуют системы внутренней сертификации СЗИ не зависимые от сертификации ФСТЭК.

    Другой вопрос про общую сертификацию антивирусов... Когда-то был проект РД Гостехкомиссии по сертификации антивирусных средств. Потом мы видели ПМВ в Основных мероприятиях. Теперь этот приказ - тенденция к попытке появления требований именно по антивирусам просматривается однако... И вопрос кто будет эту сертификацию осуществлять... :-D

    ОтветитьУдалить
  3. > иногда нужно еще и сертифицировать по "качеству"

    Хы. То есть сертификат ФСТЭК к "качеству" отношения не имеет :)

    > какой сейчас выбор среди сертифицированных ФСБ средств?

    Я полагаю, что и систем 1 класса найдется немного (одна-две), на такое количество - хватит :)

    > не зависимые от сертификации ФСТЭК

    Да, про енто я как-то забыл...

    > тенденция к попытке появления требований именно по антивирусам

    Ага. Скоро ИБП-шники сертифицировать начнут - они же по USB к ПК подключаются, ПО управления в комплекте идет - мало ли что... ;)

    ОтветитьУдалить
  4. >Хы. То есть сертификат ФСТЭК к "качеству" отношения не имеет :)

    Учитывая ПП455-2010 ( http://community.livejournal.com/personal_data/159073.html ) - нифига не имеет :lol:
    Т.к. сертификация по Общим критериям у ФСТЭК еще есть, но нет по 27000-ной серии. А остальное по ПП455 должны были отправить "ф топку" :-D

    ОтветитьУдалить
  5. Анонимный13.11.10

    Как вы считаете, имеет приказ 416/489 отношение к официальным сайтам муниципальных органов? А то наши безопасники сверху нам уже намекнули: выкладываете инфу на сайт - надо применять ЭЦП....

    ОтветитьУдалить
  6. С точки зрения здравого смысла - должен иметь. Ну, и раз "сверху" намекнули - значит точно имеет :)

    ОтветитьУдалить