среда, 15 октября 2014 г.

СОИБ. Анализ. Аттестация и проверка СЗИ



Сразу хочу отметить, что не являюсь сторонником аттестации ИС, не относящихся к гостайне, ведь те же самые работы можно выполнить под флагом аудита или оценки соответствия, с лучшим КПД. Но иногда Заказчики просят аттестацию, так что случается участвовать.

Ликбез из ГОСТ РО 0043-003-2012
Давайте посмотрим что может привести владельца ИС, не относящейся к гостайне, на эту темную сторону. Аттестация по требованиям ИБ обязательна для обеспечения ИБ в (возможно приведены не все варианты, дополняйте):
·        ГИС
Приказ ФСТЭК №17: “13. Для обеспечения защиты информации, содержащейся в информационной системе, проводятся следующие мероприятия:
аттестация информационной системы по требованиям защиты информации (далее – аттестация информационной системы) и ввод ее в действие;”
Информационное сообщение ФСТЭК N 240/22/2637: “В части государственных информационных систем, в которых обрабатываются персональные данные, оценка эффективности принимаемых мер по обеспечению безопасности персональных данных проводится в рамках обязательной аттестации государственной информационной системы по требованиям защиты информации в соответствии с Требованиями, утвержденными приказом ФСТЭК России от 11 февраля 2013 г. N 17, национальными стандартами ГОСТ РО 0043-003-2012 и ГОСТ РО 0043-004-2013 «Защита информации. Аттестация объектов информатизации. Программа и методики аттестационных испытаний».”
·        Государственные информационные ресурсы
СТР-К “На стадии ввода в действие объекта информатизации и СЗИ осуществляются: ...
• аттестация объекта информатизации по требованиям безопасности информации.”
·        ИС, участвующие в лицензируемой деятельности по СКЗИ
ПП № 313: “7. Для получения лицензии соискатель лицензии представляет (направляет) в лицензирующий орган заявление о предоставлении лицензии и документы (копии документов), указанные в пунктах 1, 3 и 4 части 3 статьи 13 Федерального закона "О лицензировании отдельных видов деятельности", а также следующие копии документов и сведения:
и) сведения о документе, подтверждающем наличие условий для соблюдения конфиденциальности информации, необходимых для выполнения работ и оказания услуг, определенных настоящим Положением, в соответствии с требованиями о соблюдении конфиденциальности информации, установленными Федеральным законом "Об информации, информационных технологиях и о защите информации";”
·        ИС, участвующие в лицензируемой деятельности по ТЗКИ
ПП №79: “5. Лицензионными требованиями, предъявляемыми к соискателю лицензии на осуществление деятельности по технической защите конфиденциальной информации (далее - лицензия), являются:
д) наличие автоматизированных систем, предназначенных для обработки конфиденциальной информации, а также средств защиты такой информации, прошедших процедуру оценки соответствия (аттестованных и (или) сертифицированных по требованиям безопасности информации) в соответствии с законодательством Российской Федерации;”

Аттестация по требованиям ИБ может проводится добровольно по решению владельца ИС:
·        АСУ
Приказ ФСТЭК №31: “По решению заказчика подтверждение соответствия системы защиты автоматизированной системы управления техническому заданию на создание (модернизацию) автоматизированной системы управления и (или) техническому заданию (частному техническому заданию) на создание системы защиты автоматизированной системы управления, а также настоящим Требованиям может проводиться в форме аттестации автоматизированной системы управления на соответствие требованиям по защите информации. В этом случае для проведения аттестации применяются национальные стандарты, а также методические документы ФСТЭК России.”
·        ИСПДн
Приказ ФСТЭК №21: “6. Оценка эффективности реализованных в рамках системы защиты персональных данных мер по обеспечению безопасности персональных данных проводится оператором самостоятельно или с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации. Указанная оценка проводится не реже одного раза в 3 года.”
Информационное сообщение ФСТЭК N 240/22/2637:  “Оценка эффективности реализованных мер может быть проведена в рамках работ по аттестации информационной системы персональных данных в соответствии с национальным стандартом ГОСТ РО 0043-003-2012 «Защита информации. Аттестация объектов информатизации. Общие положения».”
·        ИС общего пользования
Приказ ФСТЭК № 489: “17.1. В информационных системах общего пользования I класса:
введение в эксплуатацию только после направления оператором информационной системы общего пользования в ФСБ России уведомления о готовности ввода информационной системы общего пользования в эксплуатацию и ее соответствии настоящим Требованиям.
17.2. В информационных системах общего пользования II класса:
введение в эксплуатацию только после направления оператором информационной системы общего пользования в ФСТЭК России уведомления о готовности ввода информационной системы общего пользования в эксплуатацию и ее соответствии настоящим Требованиям.”
·        Аккредитованные УЦ
Приказ Минкомсвязи №320 “8. Дополнительно УЦ, претендующий на получение аккредитации, может представить документы, подтверждающие:
соответствие требованиям по безопасности информации на объекте информатизации или копия заключения о соответствии требованиям по безопасности информации, выданных ФСТЭК России и ФСБ России в пределах их полномочий.”
·        Хостинги, дата-центры, торговые площадки, облачные сервис провайдеры, сервис провайдеры, интернет-магазины и другие ИС.
Почему-то так сложилось среди компаний которые оказывают безопасные сервисы и которым нужно какое-то подтверждение своим клиентам рассматривают  либо аттестацию на  соответствие требованиям безопасности информации в системе ФСТЭК либо сертификацию по ISO 27001. Все остальные формы (аудит, оценка соответствия в свободной форме) в серьез не рассматриваются.


1. В целом по аттестации много вопросов и проблем, но для этой статьи я выделил следующую: в нормодоках не определено какие проверки в отношении технических мер / средств защиты информации должны проводится.

Теперь подробнее:
Чаще всего Заявителю аттестации нужно только получить аттестат, желательно за минимальное время и стоимость (идеальный вариант – 1 рубль, 1 час). Какие именно проверки будут выполняться его не интересует.

Кто же будет определять, какие проверки будут выполняться? Посмотрим что-нибудь по этому поводу в последних ГОСТ-ах ГОСТ РО 0043-003-2012 и ГОСТ РО 0043-004-2013:

Порядок проведения аттестации включает следующие мероприятия:
·        Подачу заявки
·        Предварительное обследование
·        Разработку программы и методики аттестационных испытаний
·        Проведение испытаний
·        Выдача аттестата

Программу и методику аттестационных испытаний разрабатывает Лицензиат, который определяет перечень работ, методики испытаний (с использованием нормодоков ФСТЭК) и согласовывает программу с Заявителем.

Как я отметил выше – Заявителю всё равно какие проверки и методики. И тут мы получаем что у разных Лицензиатов могут существенно отличаться объем проверок:   у одного 3 проверки продолжительностью 5 минут, у другого 30 проверок по часу каждая. При этом речь не идет про некачественную работу, предполагаем что работы проводятся в полном соответствии законодательству РФ, просто имеет место разное экспертное мнение.  

Например, я бы рассмотрел следующие проверки в отношении СЗИ и выбрал необходимые из них:
·        проверка наличия прав на СЗИ (договора)
·        проверка наличия техподдержки на СЗИ (договора)
·        проверка наличия сертификата на СЗИ (документы по сертификации)
·        проверка наличия акта установки и настройки СЗИ (акт)
·        проверка наличия установленного СЗИ на каждом техническом средстве (горит зеленая лампочка)
·        соответствие настроек СЗИ требованиям ТЗ
·        соответствие настроек СЗИ требованиям Технического проекта
·        соответствие настроек СЗИ требованиям безопасности информации (исходным из законодательства)
·        работоспособность всех требуемых функций СЗИ
·        надежность всех требуемых функций СЗИ
·        отсутствие закладок или уязвимостей в СЗИ
·        соответствие контрольных сумм файлов СЗИ, тем которые указаны в формуляре
·        пентест ИС в условиях работы СЗИ
При этом кроме выбора самих проверок интересует ещё выбор объекта проверок: надо проверять СЗИ на каждом АРМ? Надо проверять каждое сетевое СЗИ из кластера?

Посмотрим, какие обязательные требования включает ГОСТ РО 0043-004-2013 в части проверки технических мер / СЗИ:  только одно существенно требование - проведение испытаний АС на соответствие требованиям по защите информации от НСД. Каждый Лицензиат под этим понимает что-то свое.

Есть мнение что правильная методика испытаний привидится в приложении Д к ГОСТ РО 0043-004-2013 и всем Лицензиатам надо на её ориентироваться.  Но практика показывает что это методика заточенная под гостайну (проверка требований к АС класса 1В, ГИС класса К1) так как, например, включает управление потоками информации. Практика показала, что бывают ситуации, когда СЗИ, настроенные в соответствии с рекомендациями производителя, например к классу 1Г, не могут пройти проверку  в соответствии с данной методикой, в которой выбраны только проверки, соответствующие классу 1Г.

Получается что пример методики из приложении Д к ГОСТ РО 0043-004-2013 приходится так  корректировать,  что лучше уж написать с нуля только те проверки, которые нужны.


2. Ещё одна проблема обязательной аттестации заключается как раз в свободе выбора мер защиты и СЗИ, которая обсуждалась недавно в блогах: тут и тут. При обязательной аттестации проверяется соответствие только требованиям законодательства. Соответствие внутренним документам – МУ, ТЗ, техническому проекту – проверяться не должно.

Приходит, например, лицензиат на аттестационные испытания, а у заявителя из СЗИ стоит только антивирус. Заявитель говорит что он выбирал, выбирал меры да и выбрал – получился только антивирус. Лицензиат хватается за “требования безопасности информации” (приказ 17) там написано, что меры могут быть такие-то, но выбирает заказчик.

Должен ли лицензиат проверить его выбор? Имеет ли он право оценивать выбор оператора? Что будет достаточным обоснованием для выбора/исключения мер?  На эти вопросы в нормативных документах нет ответа. Опять отдаемся на откуп экспертному мнению Лицензиата. Но это сначала экспертное мнение. А допустим, отказал Лицензиат в выдаче Аттестата. Заявитель подает в суд. Тут уж лицензиату придется аргументировать свои решения. Нет аргемента – выдавай аттестат.


Комментариев нет: