ИБ. Новое положение ФСТЭК о системе сертификации СЗИ


Коллеги, информирую. С 1 августа 2018 года вступило в силу новое Положение о системе сертификации средств защиты информации, утвержденное приказом ФСТЭК России N 55 от 3 апреля 2018 г. 
В основном оно рассчитано на разработчиков СЗИ. Но есть некоторые новые ньюансы, интересные пользователям и лицензиатам:

·         теперь официально разрешено применять СЗИ после окончания срока действия сертификата ФСТЭК (сертификат был, но срок закончился), до того момента пока производитель оказывает техническую поддержку СЗИ или ФСТЭК явно не отзовет сертификат

·         в соответствии с этим ФСТЭК уже убрали на своем сайте из реестра сертификатов СЗИ - сроки действия. Теперь важен только сам факт выдачи сертификата (наличие записи в реестре)
Но ФСТЭК поспешили. Кроме эксплуатации, нам нужно ещё покупать или планировать покупку СЗИ. А продать сертифицированное СЗИ с истекшим сроком сертификата производитель не может.
В то же время путь от формирования потребности может занять время – в среднем у крупных закзачиков и гос. органов это занимает год. И тут раньше мы планировали наперед: смотрели когда заканчивается срок действия сертификата и получали от производителей официальные/гарантийные письма о продлении сертификата. Теперь же такого инструмента для планирования у нас нет. В самый неподходящий момент закупки мы можем столкнуться с тем, что СЗИ “неожиданно” пропадет из реестра ФСТЭК

·         более четко прописана маркировка СЗИ. ФСТЭК выдает производителю Знаки соответствия с уникальными номерами. Производитель маркирует знаком соответствия ими корпус ТС (если аппаратное СЗИ) или формуляр. в формуляре указывается уникальный номер.        То есть, если у пользователя нет знака соответствия или не указан его уникальный номер - то у него не сертифицированное СЗИ
Надеюсь теперь будет больший порядок в поставках, сертифицированных СЗИ. Потому что ранее с этим была постоянная головная боль – производители не маркировали СЗИ знаками соответствия или не указывали уникальные номера для них

·         но теперь официально озвучен вариант распространения, сертифицированного СЗИ по сети связи (скачивание), в котором маркировка производится "с применением ЭП или любым способом, подтверждающим подлинность средств защиты информации". Пока непонятно как это может быть. Наверное, в рамках сертификации каждый производитель будет согласовывать со ФСТЭК, как конкретно он будет распространять через Интернет.
Пока непонятно как это будет работать. На проверке регулятора пользователь должен иметь возможность доказать, что у него именно сертифицированное СЗИ. Не понятно, как это сделать при скачанном из Интернета дистрибутивом

·         официально прописано что это обязанность заявителя на сертификацию/разработчика - устранение багов, подготовка обновлений ПО, предоставление пользователю обновлений ПО, а также изменений эксплуатационной документации. По сути пользователям разрешено устанавливать обновления, устраняющие уязвимость, до окончания инспекционного контроля со стороны ФСТЭК

PS: Послабления никак не затрагивают тех ситуаций, когда производитель обещал получить сертификат, но не получил его. То есть сертификата вообще нет. Например, отсутствие сертификата соответствия новым РД по межсетевым экранам. 

С этим на самом деле большая проблема - большая часть производителей МЭ не получила сертификаты на соответствие их новым РД ФСТЭК. Например, из анализа Алексея Комарова видно что сейчас есть только 1 ! межсетевой экран уровня хоста. Тут просто монополия.   Также проблема с выбором СЗИ сертифицированных по новым РД, если нам нужен МЭ + СОВ. Выбор очень мал.

А если учесть, что в соответствии с новым Положением, сложность получения производителями сертификатов только возрастет (будет проверятся процесс исправлений и обновлений), то как бы количество сертифицированных СЗИ ещё не уменьшилось.

PPS: ещё одна проблема – то что от ФСБ России нет подобного положения и никаких подобных послаблений.  Если так совпало, что СЗИ у нас имеет сертификат ФСТЭК и сертификат ФСБ. То при выходе обновлений, устраняющих уязвимости - мы не сможем их установить, пока производитель не сертифицирует обновление в ФСБ. Та же проблема с истечением срока сертификата ФСБ – тут нам никто не давал разрешения использовать (на мои письма ФСБ отвечали - нельзя)


Комментарии

Unknown написал(а)…
Сергей, по МЭ уровня хоста монополии уже нет:
https://dallaslock.ru/about/news/SZI-DALLAS-LOCK-8-0-REDAKTSII-K-USPESHNO-PROSHLA-PROTSEDURU-SERTIFIKATSII-FSTEK-ROSSII/
3 сентября 2018 г. в 23:02
Отправить комментарий

Популярные сообщения из этого блога

СКЗИ. НПА. Некоторые вопросы применения криптографии

Изображение
Как показывает практика, немногие организации помнят и руководствуются приказом ФАПСИ (правопреемником которой является ФСБ России) от 13 июня 2001 г. N 152 "Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну ". А ведь Инструкция является обязательной при использовании сертифицированных СКЗИ для обеспечения безопасности информации ограниченного доступа (подлежащей защите в соответствии с законодательством РФ).     А это ПДн, все виды тайн, ГИСы, НПСы, будущие КИИ. С 2008 по 2012 год для ПДн действовало послабление в виде “Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обесп
Далее...

Модель угроз безопасности клиента финансовой организации

Изображение
  Уже более 2 месяцев как вступил в силу методический документ ФСТЭК по моделированию угроз, а ни одного публичного примера модели угроз информационной безопасности сообществом не было опубликовано. Как мы обсуждали на межблогерском вебинаре по моделированию угроз ИБ , такой пример мог бы сильно помочь ответственным лицам, обязанным руководствоваться данной методикой. Пример модели угроз обещал сделать Алексей Лукацкий, но пока у него получилась серия публикаций про проблемы моделирования и примера ещё нет. В УЦСБ в рамках услуг по моделированию угроз, коллеги уже провели необходимую аналитику и подготовили внутренние средства автоматизации для разработки МУ, что уже говорит о возможности моделирования угроз по новой Методике.  К последнему межблогерскому вебинару по безопасности клиентов финансовых организаций я решил проверить насколько адекватной получится модель угроз для типового сегмента клиента ФО (а для данной статьи ещё и обновил графическое оформление). Давайте посмот
Далее...

КИИ. Категорирование объектов, часть 3

Изображение
Продолжаем проводить категорирование объекта КИИ на примере организации сферы здравоохранения. На предыдущем этапе мы выявили критические процессы организации. Теперь определяем объекты КИИ и отправляем их на согласование (этап простой и очевидный, но постараюсь добавить несколько полезных моментов) 3. Определение объектов КИИ Продолжаем начатое на прошлых этапах (а можно и совместить 1-3) общение с руководителями подразделений. Спрашиваем какие ИС или АСУ обрабатывают информацию, необходимую для обеспечения выявленных критических процессов, и (или) осуществляют управление, контроль или мониторинг критических процессов. Отдельно в ИТ подразделении получаем полный перечень ИС (он должен был готовится в рамках мероприятий по ПДн) и АСУ, совместно с ИТ выкидываем из перечня ИС, не связанные с критическими процессами (как правило, кадровые, бухгалтерские, отчетность, банк-клиенты). В результате, того, что данные об ИС и АСУ получены не из одного источника, гарантируется его
Далее...