СОИБ. Анализ. Аттестация и проверка СЗИ

Сразу хочу отметить, что не являюсь сторонником аттестации ИС, не относящихся к гостайне, ведь те же самые работы можно выполнить под флагом аудита или оценки соответствия, с лучшим КПД. Но иногда Заказчики просят аттестацию, так что случается участвовать.

Ликбез из ГОСТ РО 0043-003-2012

“Аттестация объектов информатизации: комплекс организационных и технических мероприятий, в результате которых подтверждается соответствие системы защиты информации объекта информатизации требованиям безопасности информации.
Обязательная аттестация проводится только в случаях, установленных федеральными законами, нпа Президента РФ, Правительства РФ, уполномоченных федеральных органов исполнительной власти и исключительно на соответствие системы защиты информации объекта информатизации требованиям безопасности информации, установленными  федеральными законами, нпа Президента РФ, Правительства РФ, уполномоченных федеральных органов исполнительной власти
Добровольная аттестация может осуществляться для установления соответствие системы защиты информации объекта информатизации требованиям безопасности информации, установленным национальными стандартами и владельцем информации или владельцем объекта информатизации”.

Давайте посмотрим что может привести владельца ИС, не относящейся к гостайне, на эту темную сторону. Аттестация по требованиям ИБ обязательна для обеспечения ИБ в (возможно приведены не все варианты, дополняйте):

·        ГИС

Приказ ФСТЭК №17: “13. Для обеспечения защиты информации, содержащейся в информационной системе, проводятся следующие мероприятия:

аттестация информационной системы по требованиям защиты информации (далее – аттестация информационной системы) и ввод ее в действие;”

Информационное сообщение ФСТЭК N 240/22/2637: “В части государственных информационных систем, в которых обрабатываются персональные данные, оценка эффективности принимаемых мер по обеспечению безопасности персональных данных проводится в рамках обязательной аттестации государственной информационной системы по требованиям защиты информации в соответствии с Требованиями, утвержденными приказом ФСТЭК России от 11 февраля 2013 г. N 17, национальными стандартами ГОСТ РО 0043-003-2012 и ГОСТ РО 0043-004-2013 «Защита информации. Аттестация объектов информатизации. Программа и методики аттестационных испытаний».”

·        Государственные информационные ресурсы

СТР-К “На стадии ввода в действие объекта информатизации и СЗИ осуществляются: ...

• аттестация объекта информатизации по требованиям безопасности информации.”

·        ИС, участвующие в лицензируемой деятельности по СКЗИ

ПП № 313: “7. Для получения лицензии соискатель лицензии представляет (направляет) в лицензирующий орган заявление о предоставлении лицензии и документы (копии документов), указанные в пунктах 1, 3 и 4 части 3 статьи 13 Федерального закона "О лицензировании отдельных видов деятельности", а также следующие копии документов и сведения:

и) сведения о документе, подтверждающем наличие условий для соблюдения конфиденциальности информации, необходимых для выполнения работ и оказания услуг, определенных настоящим Положением, в соответствии с требованиями о соблюдении конфиденциальности информации, установленными Федеральным законом "Об информации, информационных технологиях и о защите информации";”

·        ИС, участвующие в лицензируемой деятельности по ТЗКИ

ПП №79: “5. Лицензионными требованиями, предъявляемыми к соискателю лицензии на осуществление деятельности по технической защите конфиденциальной информации (далее - лицензия), являются:

д) наличие автоматизированных систем, предназначенных для обработки конфиденциальной информации, а также средств защиты такой информации, прошедших процедуру оценки соответствия (аттестованных и (или) сертифицированных по требованиям безопасности информации) в соответствии с законодательством Российской Федерации;”

Аттестация по требованиям ИБ может проводится добровольно по решению владельца ИС:

·        АСУ

Приказ ФСТЭК №31: “По решению заказчика подтверждение соответствия системы защиты автоматизированной системы управления техническому заданию на создание (модернизацию) автоматизированной системы управления и (или) техническому заданию (частному техническому заданию) на создание системы защиты автоматизированной системы управления, а также настоящим Требованиям может проводиться в форме аттестации автоматизированной системы управления на соответствие требованиям по защите информации. В этом случае для проведения аттестации применяются национальные стандарты, а также методические документы ФСТЭК России.”

·        ИСПДн

Приказ ФСТЭК №21: “6. Оценка эффективности реализованных в рамках системы защиты персональных данных мер по обеспечению безопасности персональных данных проводится оператором самостоятельно или с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации. Указанная оценка проводится не реже одного раза в 3 года.”

Информационное сообщение ФСТЭК N 240/22/2637:  “Оценка эффективности реализованных мер может быть проведена в рамках работ по аттестации информационной системы персональных данных в соответствии с национальным стандартом ГОСТ РО 0043-003-2012 «Защита информации. Аттестация объектов информатизации. Общие положения».”

·        ИС общего пользования

Приказ ФСТЭК № 489: “17.1. В информационных системах общего пользования I класса:

введение в эксплуатацию только после направления оператором информационной системы общего пользования в ФСБ России уведомления о готовности ввода информационной системы общего пользования в эксплуатацию и ее соответствии настоящим Требованиям.

17.2. В информационных системах общего пользования II класса:

введение в эксплуатацию только после направления оператором информационной системы общего пользования в ФСТЭК России уведомления о готовности ввода информационной системы общего пользования в эксплуатацию и ее соответствии настоящим Требованиям.”

·        Аккредитованные УЦ

Приказ Минкомсвязи №320 “8. Дополнительно УЦ, претендующий на получение аккредитации, может представить документы, подтверждающие:

соответствие требованиям по безопасности информации на объекте информатизации или копия заключения о соответствии требованиям по безопасности информации, выданных ФСТЭК России и ФСБ России в пределах их полномочий.”

·        Хостинги, дата-центры, торговые площадки, облачные сервис провайдеры, сервис провайдеры, интернет-магазины и другие ИС.

Почему-то так сложилось среди компаний которые оказывают безопасные сервисы и которым нужно какое-то подтверждение своим клиентам рассматривают  либо аттестацию на  соответствие требованиям безопасности информации в системе ФСТЭК либо сертификацию по ISO 27001. Все остальные формы (аудит, оценка соответствия в свободной форме) в серьез не рассматриваются.

1. В целом по аттестации много вопросов и проблем, но для этой статьи я выделил следующую: в нормодоках не определено какие проверки в отношении технических мер / средств защиты информации должны проводится.

Теперь подробнее:

Чаще всего Заявителю аттестации нужно только получить аттестат, желательно за минимальное время и стоимость (идеальный вариант – 1 рубль, 1 час). Какие именно проверки будут выполняться его не интересует.

Кто же будет определять, какие проверки будут выполняться? Посмотрим что-нибудь по этому поводу в последних ГОСТ-ах ГОСТ РО 0043-003-2012 и ГОСТ РО 0043-004-2013:

Порядок проведения аттестации включает следующие мероприятия:

·        Подачу заявки

·        Предварительное обследование

·        Разработку программы и методики аттестационных испытаний

·        Проведение испытаний

·        Выдача аттестата

Программу и методику аттестационных испытаний разрабатывает Лицензиат, который определяет перечень работ, методики испытаний (с использованием нормодоков ФСТЭК) и согласовывает программу с Заявителем.

Как я отметил выше – Заявителю всё равно какие проверки и методики. И тут мы получаем что у разных Лицензиатов могут существенно отличаться объем проверок:   у одного 3 проверки продолжительностью 5 минут, у другого 30 проверок по часу каждая. При этом речь не идет про некачественную работу, предполагаем что работы проводятся в полном соответствии законодательству РФ, просто имеет место разное экспертное мнение.  

Например, я бы рассмотрел следующие проверки в отношении СЗИ и выбрал необходимые из них:

·        проверка наличия прав на СЗИ (договора)

·        проверка наличия техподдержки на СЗИ (договора)

·        проверка наличия сертификата на СЗИ (документы по сертификации)

·        проверка наличия акта установки и настройки СЗИ (акт)

·        проверка наличия установленного СЗИ на каждом техническом средстве (горит зеленая лампочка)

·        соответствие настроек СЗИ требованиям ТЗ

·        соответствие настроек СЗИ требованиям Технического проекта

·        соответствие настроек СЗИ требованиям безопасности информации (исходным из законодательства)

·        работоспособность всех требуемых функций СЗИ

·        надежность всех требуемых функций СЗИ

·        отсутствие закладок или уязвимостей в СЗИ

·        соответствие контрольных сумм файлов СЗИ, тем которые указаны в формуляре

·        пентест ИС в условиях работы СЗИ

При этом кроме выбора самих проверок интересует ещё выбор объекта проверок: надо проверять СЗИ на каждом АРМ? Надо проверять каждое сетевое СЗИ из кластера?

Посмотрим, какие обязательные требования включает ГОСТ РО 0043-004-2013 в части проверки технических мер / СЗИ:  только одно существенно требование - проведение испытаний АС на соответствие требованиям по защите информации от НСД. Каждый Лицензиат под этим понимает что-то свое.

Есть мнение что правильная методика испытаний привидится в приложении Д к ГОСТ РО 0043-004-2013 и всем Лицензиатам надо на её ориентироваться.  Но практика показывает что это методика заточенная под гостайну (проверка требований к АС класса 1В, ГИС класса К1) так как, например, включает управление потоками информации. Практика показала, что бывают ситуации, когда СЗИ, настроенные в соответствии с рекомендациями производителя, например к классу 1Г, не могут пройти проверку  в соответствии с данной методикой, в которой выбраны только проверки, соответствующие классу 1Г.

Получается что пример методики из приложении Д к ГОСТ РО 0043-004-2013 приходится так  корректировать,  что лучше уж написать с нуля только те проверки, которые нужны.

2. Ещё одна проблема обязательной аттестации заключается как раз в свободе выбора мер защиты и СЗИ, которая обсуждалась недавно в блогах: тут и тут. При обязательной аттестации проверяется соответствие только требованиям законодательства. Соответствие внутренним документам – МУ, ТЗ, техническому проекту – проверяться не должно.

Приходит, например, лицензиат на аттестационные испытания, а у заявителя из СЗИ стоит только антивирус. Заявитель говорит что он выбирал, выбирал меры да и выбрал – получился только антивирус. Лицензиат хватается за “требования безопасности информации” (приказ 17) там написано, что меры могут быть такие-то, но выбирает заказчик.

Должен ли лицензиат проверить его выбор? Имеет ли он право оценивать выбор оператора? Что будет достаточным обоснованием для выбора/исключения мер?  На эти вопросы в нормативных документах нет ответа. Опять отдаемся на откуп экспертному мнению Лицензиата. Но это сначала экспертное мнение. А допустим, отказал Лицензиат в выдаче Аттестата. Заявитель подает в суд. Тут уж лицензиату придется аргументировать свои решения. Нет аргемента – выдавай аттестат.