четверг, 13 января 2011 г.

Несертифицированные сертифицированные


Кончились новогодние праздники, у студентов полным ходом идет сессия, и мне, как преподавателю, приходится тоже "поднапрячься" - экзамены надо принимать, а для этого неплохо бы и самому вспомнить материал ;) Именно с этой целью я в очередной раз полистал казалось бы хорошо знакомый РД ФСТЭК "Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации", и в очередной раз обнаружил пару интересных моментов, которыми не премину поделиться с читателями.

Всем хорошо известен пункт 5 Постановления правительства РФ № 781, вокруг которого поломано немало копий. Именно этот пункт регламентирует использование в ИСПДн средств защиты информации, прошедших процедуру оценки соответствия в установленном порядке. С момента отмены двух суровых документов "четверокнижия" никто толком не знал, что скрывается под термином "установленный порядок": приказ № 58 и соответствующее Положение, вышедшее им на замену, рассматривает использование сертифицированных средств защиты информации лишь как один из  "методов и способов".

Те счастливчики, которым довелось ознакомиться с содержанием пресловутого Постановления правительства РФ № 330 "Об особенностях оценки соответствия продукции (работ, услуг), используемой в целях защиты сведений, относимых к охраняемой в соответствии с законодательством Российской Федерации информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну..." знают о содержании пункта 6, который однозначно определяет, что оценка соответствия осуществляется в формах обязательной сертификации и государственного контроля (надзора).

В виду того, что таких счастливчиков крайне мало, а большинству операторов этот документ недоступен, интрига существует по сей день. Однако ярые сторонники подходов ФСТЭК, с пеной у рта доказывающие необходимость получения лицензий на ТЗКИ всеми без исключения операторами ПДн, могут ликовать: пусть и тайно, но между "оценкой соответствия" и "сертификацией" поставлен знак равенства. Хорошо, пусть так, пусть все без исключения СЗИ должны быть сертифицированы ФСТЭК. Но позвольте, сертификация, пусть и во ФСТЭК, бывает разная - как определить, подходит ли сертифицированное СЗИ для конкретного случая, "нужные" ли оно имеет сертификаты?

Попробуем разобраться. Вот типичный пример анонса о получении заветного сертификата производителем средств защиты информации:

"Программный комплекс DeviceLock® 6.4.1 получил сертификат соответствия N 2144 ФСТЭК России. Настоящий сертификат удостоверяет, что программное средство DeviceLock 6.4.1 соответствует требованиям руководящего документа "Защита от несанкционированного доступа к информации" (Гостехкомиссия России, 1999 г.) по 4 уровню контроля, заданию по безопасности "Программный комплекс DeviceLock 6.4.1. Задание по безопасности D_L_6.4.1.3Б. Версия 1.0", имеет оценочный уровень доверия ОУД2 в соответствии с требованиями руководящего документа "Безопасность информационных технологий. Критерии оценки безопасности информационных технологий" (Гостехкомиссия России, 2002 г.) и может использоваться в автоматизированных системах до класса защищенности 1Г включительно."

Проведем декомпозицию регалий. Первое "достоинство" - 4 уровень контроля - означает отсутствие в ПО т.н. "недекларированных возможностей". О том, что это такое, может поведать РД ФСТЭК "Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей": согласно приведенному в нем определению, "недекларированные возможности" - это функциональные возможности ПО, не описанные или не соответствующие описанным в документации, при использовании которых возможно нарушение конфиденциальности, доступности или целостности обрабатываемой информации. Смысл "достоинства" понятен, но что оно дает оператору? Согласно пункта 7 "Положения о методах и способах...",  это позволяет использовать ПО в типовых ИСПДн 1 класса. Для типовых ИСПДн 2 и 3 классов, а так же для специальных ИСПДн, такое требование отсутствует, а это означает, что в большинстве случаев наличие у СЗИ одного такого сертификата будет только "в тягость": оператор предпочтет более дешевое несертифицированное средство, а значит, нужна дополнительная мотивация.

Следующее, на что падает взгляд, это аббревиатура "ОУД2" - некий "оценочный уровень доверия". О том, что это такое, может поведать раздел 6 части 3 многостраничного РД "Безопасность информационных технологий. Критерии оценки безопасности информационных технологий" ("ремикс" стандарта ISO 15408 "Общие критерии"). В терминах этого документа, ПО СЗИ является объектом оценки (ОО), в процессе оценки которого "достигается определенный уровень уверенности в том, что функции безопасности таких продуктов или систем, а также предпринимаемые меры доверия отвечают предъявляемым требованиям". Посмотрев в таблицу Б.1 "Взаимосвязь между оценочными уровнями доверия и классами, семействами и компонентами доверия", можно обнаружить, что оценочный уровень ОУД2 является одним из самых низких - ниже только ОУД1. В совокупности с 4-м, самым низким "уровнем контроля НДВ", возникает резонный вопрос - почему такое "недоверие"?

Ответ кроется в последнем "достоинстве", ради чего, собственно, все и делалось: сертифицированное по двум предыдущим показателям ПО "может использоваться в автоматизированных системах до класса защищенности 1Г включительно". Аббревиатура 1Г расшифрована в РД "Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации". Этот документ устанавливает 9 классов АС учреждений, организаций и предприятий, обрабатывающие конфиденциальную информацию, в зависимости от условий их функционирования с точки зрения защиты информации. "Стоп" - скажет пытливый читатель - "как связаны классы этого РД и классы ИСПДн"? И вот здесь начинается самое интересное.

Внимательное прочтение указанного РД и сопоставление его с подходами, применяемыми к классификации ИСПДн, выявляет главный тренд: выбор класса АС производится заказчиком и разработчиком с привлечением специалистов по защите информации и, как и в 58 приказе, в РД приведены лишь требования, которые должны быть выполнены для АС соответствующего класса. Однако мы помним о том, что в 58 приказе приведены требования для типовых ИСПДн: защитные меры специальных ИСПДн определяются на основании модели угроз. Помним мы и о том, что "использование сертифицированных СЗИ", согласно того же Приказа, является одним из "методов и способов".

Возникает вопрос: можно ли отойти от использования сертифицированных СЗИ с использованием модели угроз? Ответ на него нам даст пункт 4.6 каждой из трех таблиц указанного РД, определяющий необходимость использования сертифицированных средств защиты. И здесь - первый парадокс: ФСТЭК разрешает НЕ ИСПОЛЬЗОВАТЬ сертифицированные СЗИ в АС, соответствующих классам 3Б, 2Б, 1Д и - внимание - 1Г! Но погодите - для чего же тогда сертифицировать СЗИ до класса 1Г включительно, если ни в 1Г, ни в 1Д сертифицированных средств не требуется - для 2А и 3А? Учитывая особенности этих классов и требования, указанные в соответствующих таблицах РД это, пожалуй, второй парадокс.

Ответ на вопрос, подойдет ли указанное выше сертифицированное для 1Г СЗИ для использования в ИСПДн любого класса, нигде не написан. Сам вопрос задавался ФСТЭК не один раз, а ответ оказался прост до безобразия: СЗИ подойдет просто потому, что имеет сертификат, а значит в терминах ПП330 и ПП 781 "прошло оценку соответствия". При этом совершенно не важно, что это за сертификат и что в нем написано - главное, что он есть. Однако пока, в условиях "закрытости" 330-го постановления, у операторов есть реальная возможность не использовать сертифицированные СЗИ, в том числе на основании модели угроз. Долго ли продлится такая "халява" - никому не ведомо.

Успехов в наступившем году Вам, дорогие читатели!

ЗЫ: Happy Old New Year :)

27 комментариев :

  1. Ответ может быть в документах более поздних. Например, СТР-К, как мы знаем, он обязателен для применения в гос. учреждениях. В нем есть пункты, в которых явно указывается использование сертифицированных средств защиты (пусть даже без слова "должны" и со словом "рекомендуется") без разделения на класс защищенности АС.
    В том же СТР-К (вырезал, что касается служебной тайны) пишется: "АС, обрабатывающие персональные данные, должны иметь класс защищенности не ниже 3Б, 2Б и 1Д.".
    Получаем, что сертификация ПО для использования в АС до 1Г, не "бесполезная", а "нужная" для части операторов ПДн. (Т.е. есть всё-таки организации, которые могут/должны использовать средства защиты с таким сертификатом).

    PS Вот ответ ФСТЭК, конечно, очевиден, но отнюдь не желаем ;) ведь администратору сети практически ничего хорошего не дает сертификат на НДВ, например, для антивирусника (только кучу проблем с обновлением) ;)

    ОтветитьУдалить
  2. to Андрейка: как Вы правильно отметили, СТР-К - документ, обязательный для исполнения именно госами - для остальных он носит рекомендательный характер. Давайте смотреть с этой точки зрения. Далее.

    > АС, обрабатывающие персональные данные, должны иметь класс защищенности не ниже 3Б, 2Б и 1Д

    "Не ниже" - значит от них и выше. Как я уже говорил, именно в этих классах, согласно норматива, требовани использовать сертифицированных СЗИ отсутствует.

    > явно указывается использование сертифицированных средств защиты (пусть даже без слова "должны" и со словом "рекомендуется") без разделения на класс защищенности АС.

    Если в документе, пусть и обязательном для исполнения, стоит слово "рекомендуется", как Вы думаете, кто-нибудь по доброй воле будет его выполнять? Особенно в условиях ограниченного госбюджета?

    > "нужная" для части операторов ПДн

    Согласен, только они используют сертифицированные СЗИ и без оглядки на ПДн.

    > Ответ может быть в документах более поздних

    Очень может быть, в тех, что выйдут в этом году ;)

    ОтветитьУдалить
  3. Я с Вами во всем почти согласен, надеюсь, что "старые" документы всё-таки перепишут и уберут противоречия с новыми.
    В посте выше я в основном отвечал на Ваш вопрос "Но погодите - для чего же тогда сертифицировать СЗИ до класса 1Г включительно, если ни в 1Г, ни в 1Д сертифицированных средств не требуется - для 2А и 3А?". Вот для таких случаев, как я описал, и сертифицируются.
    А уж заявления ФСТЭК об использовании таких средств для защиты ПДн - это (надеюсь) просто временное решение для выполнения законодательства по ПДн.

    PS Кстати из этой же Вашей фразы, мне кажется, 2А и 3А не ниже, чем 1Г, и сертификат "вплоть до 1Г" для них не применим (пункт 1.8 РД по АС, иерархия идет внутри группы, и вроде нельзя сравнивать классы разных групп).

    ОтветитьУдалить
  4. to Андрейка:

    > иерархия идет внутри группы, и вроде нельзя сравнивать классы разных групп

    Вот этого я точно не знаю, а в РД четко не написано, можно или нет. Хотя, по таблице требований получается что АС 2А должна защищаться куда выше, чем 1Г. А значит, сертификат "до 1Г" - это вообще дорогая бумажка из тех, что по телеку рекламируют как "мягкие и деликатные" ;)

    И потом - по каким критериям определяется, какое СЗИ в каком классе АС может быть использовано? Где написано, что "4 уровень + ОУД2" = "до 1Г"? Кто это определяет, а главное - как? Одни вопросы...

    ОтветитьУдалить
  5. Для 3А,2А,1В,1Б,1А должны быть выше требования, ведь они уже для гос. тайны используются.

    ОтветитьУдалить
  6. to Андрейка: О том и речь. Значит, сертификат получен только для 1Д и 1Г, где, согласно того же РД, его и вовсе не нужно. Плюс статус "рекомендованные" в СТР-К - получаем филькину грамоту с позолотой :)

    ОтветитьУдалить
  7. Анонимный13.1.11

    Я не понял как связан класс 1Г с классами ИСПДН скажите пожалуйста

    ОтветитьУдалить
  8. to Анонимный: если коротко - то никак ;) На самом деле, интересный момент возникает, если в муниципальной АС, аттестованной по классу 1Г, обрабатываются ПДн. Тогда мы имеем полный набор противоречий :)

    ОтветитьУдалить
  9. topless_freak13.1.11

    Кстати в таблице для 1Д и 1Г в разделе 3 написано, что использовать сертифицированные (аттестованные) криптографические средства не нужно. Это к теме если ИСПДн как АС обрабатывающую конфиденциалку приравнять к 1Г.

    ОтветитьУдалить
  10. Вот и получается, что приравнивать нельзя. В принципе из речей ФСТЭК и не вытекает, что, например, аттестат по 1Г полностью перекроет требования по защите ПДн. Т.е. нужно рассматривать АС к-з 1Г плюс выполнение других требований. Но тут появляется один из парадоксов, которые так любит Алексей: требования к защите ПДн (одного из видов конфиденциальной информации, судя по указу президента) выше, чем требования к наивысшему классу защищенности по всей конфиденциальной информации (по крайней мере таким принято считать класс 1Г, потому что 1В уже идет для уровня "секретно"). Скорее всего это вызвано ростом ИТ за последние годы.
    Образно говоря, мёл 18 лет дворник метлой с деревянной ручкой, а сейчас ему вместо деревянной заставляют юзать пластиковую, мол Прогресс, батенька!

    ОтветитьУдалить
  11. Анонимный комментирует...
    Я не понял как связан класс 1Г с классами ИСПДН скажите пожалуйста

    Попробуйте сравнить требования к ИСПДн и требования к АС. Если убрать требования к МЭ, то получится следующее соответствие:
    - однопользовательские: ИСПДн К3 = ИСПДн К2 = 3Б, ИСПДн К1 = усиленной 3Б или ослабленной 3А
    - многопользовательские с равным досупом: ИСПДн К3 = ИСПДн К2 = 2Б, ИСПДн К1 = усиленной 2Б или ослабленной 2А
    - многопользовательские в разным уровнем доступа: ИСПДн К3 = ИСПДн К2 = 1Д, ИСПДн К1 = 1Г

    Требования к межсетевому экранированию ИСПДн также соответствуют МЭ 5-3 класса

    Алексей Волков комментирует...
    На самом деле, интересный момент возникает, если в муниципальной АС, аттестованной по классу 1Г, обрабатываются ПДн. Тогда мы имеем полный набор противоречий :)

    Никаких противоречий:
    1. По СТР-К для защиты ПДн требуется не ниже 1Д, для служебной тайны не ниже 1Г - т.ч. и 1Г для ПДн тоже подходит.
    2. По 58 приказу требования 1Г соответствуют многопользовательской с разными правами доступа ИСПДн К1
    3. По СТР-К и ГОСТ Р 51583-2000/ГОСТ Р 51624—2000 для гос-ов/муниципалов аттестация АСЗИ с служебной тайной является обязательной (с поправкой на статус самих документов)
    4. По 351 Указу Президента 2008 года (аналогичное требование было и до того) для гос-ов/муниципалов является обязательным использование сертифицированных средств в АС подключенных к ССОП

    http://a-datum.ru/forum/viewtopic.php?f=27&t=18

    Т.ч. ПП330 ничего нового не несет для гос-ов/муниципалов, но является критичным лишь для комерсов.

    ОтветитьУдалить
  12. to toparenko:

    > Попробуйте сравнить требования к ИСПДн и требования к АС. Если убрать требования к МЭ, то получится следующее соответствие

    Абсолютно верно. Но ни в каком официальном документе это соответствие не зафиксировано.

    > Никаких противоречий

    А вот здесь минуточку. 1 пункт - правильно. 2 - верно (но с поправкой на то, что это соответствие исключительно на понятийном уровне). 3 - да, но для аттестации АС 1Д и 1Г, согласно РД, не требуется сертифицированных СЗИ.

    Остается пункт 4, и он справедлив. Однако товарищи вещают, что если в точке подключения поставить сертифицированный МЭ, то для аттестации остальной АС по 1Г опять же сертифицированных СЗИ не нужно. Судя по основному тренду - полагаю что это действительно так :)

    ОтветитьУдалить
  13. to toparenko: плюс к тому - пока 330ПП критичным не является, ибо а) недоступно для общества ввиду грифа ДСП б) не зарегистрировано в минюсте в) не рассылается по запросу. И пока так будет - можно сидеть спокойно. Вот только долго ли? :)

    ОтветитьУдалить
  14. to Андрейка:

    > одного из видов конфиденциальной информации, судя по указу президента

    Неееее, видом "сведений конфиденциального характера". А это не одно и тоже, что "конфиденциальная информация", определение которой до сих пор отсутствует. И по этому поводу тоже идут серьезные баталии :)

    ОтветитьУдалить
  15. >определение которой до сих пор отсутствует

    Определения были, но некоторые источники уже устарели.

    Конфиденциальная информация - документированная информация, доступ к которой ограничивается в соответствии законодательством Росийской Федерации. (ФЗ 24 от 20.02.1995 "Об информации, информатизации и защите информации", признан утратившим силу в ФЗ 149 от 27 июля 2006).

    В СТР-К (Это определение вроде соответствует тематике ФЗ 149),
    "Конфиденциальная информация - информация с ограниченным доступом, не содержащая сведений, составляющих государственную тайну, доступ к которой ограничивается в соответствии с законодательством Российской Федерации."

    ОтветитьУдалить
  16. to Андрейка: определение конфиденциальной информации, находящееся в конфиденциальном документе (ограниченного доступа, ДСП), не может являться законодательной нормой. Тм более в документе такого уровня, как СТР-К.

    ОтветитьУдалить
  17. Анонимный14.1.11

    "Скорее всего это вызвано ростом ИТ за последние годы" теперь будут требования к классам защиты АБВГ повышать до уровня пэдээн ))

    ОтветитьУдалить
  18. Еще несколько комментариев по теме.

    1. Насчет РД АС. Когда оно интересно для чтения?
    Дело в том, что сертификация (отвлекусь, это не только ФСТЭК) может быть продукта (средства ЗИ) и системы.
    РД АС используется для сертификации СИСТЕМЫ.
    Есть одна тонкость - это заявление ФСТЭК о том, что обязательная сертификация систем проводится в форме обязательной аттестации ОИ. Но аттестация ОИ проводится на соответствие СТР-К (здесь РД АС – вторично. По СТР-К все СЗИ - сертифицированы).
    Если мы имеем музейный сертификат на РД АС, скажем 1Г, да, действительно в схеме деления компоненты могут быть не сертифицированы. Здесь АС и есть СЗИ, причем сертифицированное.
    Говоря про госструктуры, ИСПДн и другие случаи, имеется достаточное количество правовых и нормативных документов, в которых все СЗИ, задекларированные в схеме деления системы (объекта информатизации, объекта ЭВТ, ИСПДн) должны быть сертифицированы.
    http://s3r.ru/14/12/2010/sertifikatsiya_szi/certification/

    На практике несертифицированное СЗИ не декларируется как СЗИ, например, несертифицированный антивирус переносится в разряд служебного ПО.

    2. Насчет анонса и вообще по теме «рекламных» сертификатов. Да, таких сертификатов полно. В сертификате бывают приписки (сертификат подтверждает соответствие нормативным документам, а приписки – это некоторые «ограничения» по использованию), типа, вот: «можно использовать в АС 1Г и ИСПДн К1». Также Вы можете увидеть интересные приписки и в реестре ФСТЭК:
    «может использоваться при создании автоматизированных систем до класса защищенности 1Г включительно, а также для ПЕРДАННЫХ до 1 класса включительно».
    Ок. Когда реально приписки нужны? Когда есть проблемные споры при аттестации (или приеме в эксплуатацию, если хотите). Например, орган по аттестации смотрит, как соблюдены требования РД по НДВ. А у Вас в сертификате нет НДВ. Давайте спорить – кто кого переспорит, время деньги, эмоции.
    Пример 1. Открываем сертификат ФСТЭК по Windows 7. Испытаний по НДВ – нет. Но есть приписка «можно..». Все вопросы отпали. Пример 2. Указанный Вами, Алексей, анонс про Dallas. Вот, здесь – Вы абсолютно правы - приписка бессмысленна! В сертификате указаны и ЗБ, и РД НДВ. Испытания по НДВ по 4 уровню позволяет, вне сомнений, использовать продукт в АС 1Г и ИСПДн К1. Все. А вот, разобраться, достаточно ли этих средств (всех функций безопасности) для аттестации АС по 1Г и ИСПДн К1, - здесь придется читать ЗБ. Откуда здесь все-таки родилась приписка? Ее «пролоббировали» (в хорошем смысле) испытательная лаборатория вкупе с органом по сертификации. Красиво, рекламно, но бессмысленно – пафос, … всегда раздражает профессионалов.
    Куда подвязать еще ОУД2 – отдельная песня. :)

    3. Как связаны АС и ИСПДн?
    Ответ двоякий.
    Если мы смотрим сертификат, где сказано «можно использовать .. 1Г», то для ИСПДн К1 – это фиолетово, ну почти. Все равно придется читать ЗБ (в данном случае) и ТУ. Если в сертификате «..можно для ИСПДн К1», - аналогично придется читать для 1Г.

    Если мы читаем лекцию (привет студенткам!), то можно сравнить тексты Приказа 58 и РД АС. Здесь абсолютно очевидна фрагментарная взаимосвязь (разработчики «в тупую» скопировали абзацы, затем посмотрел в небо, затем что-то удалили, зачем – не объяснили).
    http://s3r.ru/07/12/2010/sertifikatsiya_szi/prikaz-fstek-58/


    PS. Про аттестацию спорить лень. Придерживаюсь позиции приемлемого риска.

    ОтветитьУдалить
  19. to John: спасибо за коммент. Немного вопросов.

    > заявление ФСТЭК о том, что обязательная сертификация систем проводится в форме обязательной аттестации ОИ

    Это официально зафиксировано где-то или как всегда на понятийном уровне?

    > задекларированные в схеме деления системы (объекта информатизации, объекта ЭВТ, ИСПДн) должны быть сертифицированы
    > несертифицированный антивирус переносится в разряд служебного ПО

    То есть, сертифицированный МЭ - а дальше "служебное ПО" ? :)

    > можно использовать в АС 1Г и ИСПДн К1

    Об этом, честно говоря, я не слышал - можно хоть один пример такого сертификата, чтоб была именно такая фраза?

    > Придерживаюсь позиции приемлемого риска

    Аналогично ;)

    ОтветитьУдалить
  20. 1. Это стандартная фраза на всех совещаниях ФСТЭК. Правда, устная. В нормативных документах мы видим что-то:
    - Приказ 199: «п.1.3. Система сертификации СЗИ по требованиям безопасности информации ВКЛЮЧАЕТ В СЕБЯ аттестацию ОИ».
    - Положение по аттестации: «п.1.3. Система аттестации ОИ по требованиям безопасности информации является составной частью ЕДИНОЙ системы сертификации СЗИ и аттестации ОИ..»
    В приложении 1 Приказа 199 определено, какие продукты проходят процедуру сертификации СЗИ, а в примечании в Положении по аттестации – какие системы проходят процедуру аттестации ОИ.

    2. Ну, да, почти :)) Зависит, как вы утвердите Модель угроз и соответственно Схему деления.

    3. Таких сертификатов очень много, из последних:
    Сертификат ФСТЭК 2227 на СЗИ SecretNet 6(K). Там такой вариант фразы: "можно использовать при создании АС до класса защищенности 1Г включительно и для защиты информации в ИСПДн К1 включительно".

    ОтветитьУдалить
  21. to John:

    > Правда, устная.

    Собственно, я так и предполагал. Они в своем репертуаре.

    > Зависит, как вы утвердите Модель угроз и соответственно Схему деления.

    "Ах, не соврали предчувствия мне" (с) Все же есть лазейка, одна и та же ;)

    > сертификатов очень много

    Нда, как-то не слежу я за этим делом...

    В общем получается, как говорил предыдущий анонимный комментатор, требования 1Г уже "подтянули" под ИСПДн К1, и клепают сертификаты на то и на другое по одной и той же, мутной схеме сертификации.

    Спасибо!

    ОтветитьУдалить
  22. У меня возник вопрос для глубокого размышления. Допустим мы смирились с тем, что средства защиты информации должны быть сертифицированы. Вот вопрос, все ли используемые средства должны быть сертифицированы.
    Допустим есть требования по защите от НСД, и у нас установлен сертифицированный на НСД Windows XP, который "как бы" перекрывает эти требования. И еще на этот АРМ мы ставим "другое средство" (как в рекламе про стиральный порошок) от НСД (считаем, что для себя, а не для формального удовлетворения требованиям регуляторов). Должно ли это "другое средство" быть сертифицировано?
    Т.е. формулировка проблемы такая: "Сертифицироваными должны быть только те средства, которые мы заявляем как часть официальной защиты ПДн в ИСПДн (1), или же абсолютно любое, установленное на АРМах в ИСПДн (2)".
    Мне больше нравится первый вариант, но в 781 ПП написано "5. Средства защиты информации, применяемые в информационных системах, в установленном порядке проходят процедуру оценки соответствия.".
    В 58 приказе ФСТЭК, конечно, написано чуток помягче, чем в 781 ПП.
    Будет ли первый вариант считаться нарушением и подходить под "КОАП РФ Статья 13.12 Пункт 2" или нет.

    ОтветитьУдалить
  23. to Андрейка: из всего сказанного получается, что если декларируете средство защиты от НСД как СЗИ, то да, должно. Если же нет (служебное ПО) - то соответственно нет.

    ОтветитьУдалить
  24. После всех комментов очень хотелось вставить картинку советского пилота истребителя с известной фразой, но, удержался :)

    Коллеги, посоветуйте пожалуйста ссылок на грамотные труды по теме "как привести контору к требованиям 152-ФЗ", нужен некий мануал (декомпозиция на конкретные задачи).
    До этого читал много чего для общего развития, но пришло время к практике переходить, а получившаяся каша в голове совсем не вселяет оптимизма.

    ОтветитьУдалить
  25. to tomato: У меня:

    http://anvolkov.blogspot.com/2010/06/blog-post.html

    У коллег:

    http://lukatsky.blogspot.com/2010/11/152_10.html

    http://www.tsarev.biz/news/den-1-organizaciya-raboty-s-celyu-zashhity-personalnyx-dannyx/

    ОтветитьУдалить
  26. 2tomato
    можете глянуть здесь (Тяжелая работа московских коллег): http://www.ui.mos.ru/ru/libraly/recomendations/index.php?page21=1&id19=112&i19=1&id18=111&i18=1&page23=4

    пролистайте вниз до "Методические рекомендации органам исполнительной власти города Москвы по организации защиты конфиденциальной информации и персональных данных". Там и алгоритм есть, и рекомендации, и куча шаблонов.

    ОтветитьУдалить
  27. Анонимный1.2.11

    Для начала стоит понимать что в 58 приказе нет привязки к РД ФСТЭК и тогда все встает на свои места)))

    ОтветитьУдалить