четверг, 29 октября 2015 г.

СЗПДн. Анализ. Как аттестовать разом все ИСПДн в России

Как вы, наверное, знаете, аттестация по требованиям безопасности информации используется в качестве мероприятия по оценке эффективности системы защиты – для ГИС/МИС в обязательном порядке, а для ИСПДн рекомендован ФСТЭК-ом как единственный стандартизованный вариант оценки эффективности. По факту все государственные и муниципальные учреждения, а также 25% коммерческих компаний проводят оценку эффективности системы защиты в форме аттестации.

 Как правило аттестация имеет не маленькую стоимость и связанно это с необходимостью привлечения дополнительных лиц, не участвующих в создании системы (независимость контроля), которым нужно повторно собирать и анализировать всю информацию о ИС и системе защиты. Давайте посмотрим, как можно покончить с аттестацией раз и навсегда (на 3 года) в рамках всей РФ.

ГОСТ РО 0043-003-2012:
“6.5.3 Для распределенной информационной системы, предназначенной для обработки информации ограниченного доступа, не содержащей сведений, составляющих государственную тайну, допускается проводить аттестацию входящих в неё типовых автоматизированных рабочих мест и (или) локальных информационных систем.
Разрешается распространять результаты указанной аттестации на однотипные автоматизированные рабочие места и (или) локальные информационные системы.
Параметры настройки элементов защиты на указанных типовых объектах должны быть одинаковы.
Порядок, условия, методы и особенности проведения аттестации распределенной информационной системы отражаются в программах и методиках испытаний”

ГОСТ РО 0043-004-2013:
“6.1.3 Дополнительно в программе аттестационных испытаний распределенных информационных систем, предназначенных для обработки информации ограниченного доступа, не содержащей сведений, составляющих государственную тайну, допускается устанавливать особенности аттестации распределенной информационной системы на основе результатов аттестационных испытаний выделенного набора ее сегментов ....
Сегмент считается соответствующим аттестованному сегменту распределенной информационной системы, если для обоих сегментов установлены одинаковые классы защищенности и состав актуальны угроз безопасности информации, реализованы одинаковые проектные решения по системе защиты информации распределенной информационной системы.
Соответствие сегмента, на который распространяется аттестат соответствия, аттестованному сегменту распределенной информационной системы подтверждается в ходе приемочных испытаний распределенной информационной системы или сегментов распределенной информационной системы.
В сегментах распределенной информационной системы, на которые распространяется аттестат соответствия, оператор обеспечивает соблюдение требований эксплуатационной документации на систему защиты информации распределенной информационной системы и организационно-распорядительных документов по защите информации.”

В некотором приближении – все ИСПДн однотипные. В крайнем случае можно выделить несколько типов локальных ИСПДн, которые будут перекрывать 90% всех ИСПДн в России. Системы защиты информации чаще всего строятся с использованием 1-4 лидирующих технических решениях в своих подсистемах. При этом есть оптимальные отработанные сочетания СЗИ, например: Secret Net + Континент, Dallas Lock + VipNet, Cisco ASA + С-терра CSP VPN Gate. В некотором приближении можно сказать, что 10 комбинациями СЗИ можно покрыть 90% всех СЗПДн в России.

Для каждого типа ИСПДн и СЗПДн аттестацию нужно будет выполнить только один раз, далее на все аналогичные локальные ИС, данный аттестат будет распространяться автоматически при соблюдении определенных условий, которые выполняются лицами, участвующими во внедрении средств защиты информации, без необходимости привлечения отдельных лиц для аттестации. Текущие стандарты и нормы в общем это позволяют.

Итак, что глобально нужно сделать:
·         Ассоциации или государственному органу, заинтересованному в обеспечении эффективности систем защиты ПДн (может быть Минкомсвязи, ФСТЭК России или ФСБ России) заказать развертывание и аттестацию набора N типовых ИСПДн
·         Для каждого типа ИСПДн и СЗПДн опубликовать состав и схемы установки СЗИ, типовые профили настройки СЗИ.  (Например, что-то подобное есть в United States GovernmentConfiguration Baseline – USGCB или FIPS 140-1 and FIPS 140-2 validation lists )
·         Опубликовать правила присоединения типовой ИСПДн к аттестованной (возможно в организации потребуется разработать доп. документы, типа Технического паспорта, и на этапе приемочных испытаний проверить и задекларировать соответствие аттестату)
·         Далее оператор ПДн, выбирает один из предложенных типов, аттестованных ИСПДн и СЗПДн, если его всё устраивает, то присоединяется к аттестату со своей типовой ИСПДн. Если оператор хочет использовать нестандартные решения – это его право, в таком случае оценку эффективности он организует самостоятельно.  




3 комментария:

vsv комментирует...

Подход - совершенно правильный и логичный. Именно так мы и поступили со своим новым продуктом БДМ. Это ноутбук, имеющий аттестат соответствия и правила подключения к аттестованной ранее ИС. У потребителя нет проблем с аттестацией.

Ronin комментирует...

Возникла необходимость в схожем маневре и возник вопрос: ок, выделили типовые места или сегменты, обеспечили типовые условия. А как быть с самими аттестатами и прочей документацией? Схемы помещений, расположений и т.д.? Это же все равно нужно на каждый объект заполнять или заполняется только на типовой, аттестуемый объект, а по другим без деталей и только перечень серийных номеров в приложении к аттестату, как в форме Б.2?

Сергей Борисов комментирует...

Вся предаттестационная на конкретные объекты конечно нужна.
Мы делали это так: есть регламент подключения типового узла к системе. Перед тем как подключить узел, должен быть проведен перечень мероприятий (в том числе заполнены типовые документы на узел), которые проверяются по чеклисту. Эти мероприятия могут выполняться любым исполнителем, в том числе и заказчиком. Но изменения самого аттестата не происходит, соответственно привлечения компании, занимающейся аттестацией не требуется.

Хотя в любом случае, лучше заранее договариваться с лицензиатом по аттестации на поддержку в течении всего срока жизни аттестата (периодический контроль эффективности, обновление МУ, значимое обновление состава ПО требующее повторных испытаний) ...