Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

Минюст обязал банки проводить пентесты и аудит кибербезопасности

13/08/2018

Банки обяжут соблюдать новые меры кибербезопасности, среди которых обязательными являются аудит информационной безопасности, различные тестирования на проникновение (пентесты), обязательная сертификация использованного программного обеспечения.

Реклама





Партнеры

Лаборатория кибербезопасности





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: 1
Ответить
RSS
Несертифицированные СЗИ, Можно ли нейтрализовать актуальные угрозы ИСПДн несертифицированными СЗИ
В требованиях утвержденных ПП-1119 говорится, что:
"Использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз"
В 21м приказе практически то же самое:
"Меры по обеспечению безопасности персональных данных реализуются в том числе посредством применения в информационной системе средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия, в случаях, когда применение таких средств необходимо для нейтрализации актуальных угроз безопасности персональных данных"

Я правильно понимаю: Если для нейтрализации "моих" актуальных угроз нет необходимости применять СЗИ прошедшие оценку соотв. то я могу использовать не прошедшие оценку соотв. СЗИ?

Кто определяет необходимость?

Есть логика в моих словах?
Все обычно пытаются выяснить, что под собой подразумевает "оценка соответствия", а мой вопрос никто не задаёт..
Изменено: Константин - 04.06.2015 17:48:51
Использовать-то можно, но нужно быть готовым доказать свою правоту регулятору. А это сложно.
2 AlexG Это понятно) вопрос в другом, поддерживает ли кто-нибудь мою трактовку? верна ли она? И насколько верна? Идеально бы было узнать мнения регулятора)

Мне не нравится позиция лучше сделать, а то вдруг докопаются. И это даже не в плане затрат касаемо СЗИ, но и если брать ту же документацию. На все есть нормативно правовые акты в которых указано, либо не указано, как и что должно быть.
2 AlexG Предыдущее сообщение моё)

А , кстати, возможно необходимость сертифицированных СЗИ определяется типом актуальных угроз? и тогда надо плясать от определений типов актуальных угроз.

"Угрозы 1-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении, используемом в информационной системе.
Угрозы 2-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении, используемом в информационной системе.
Угрозы 3-го типа актуальны для информационной системы, если для нее актуальны угрозы, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе."

Если для ИС актуальны угрозы первых двух типов, то тогда надо применять сертифицированные СЗИ, так как для них актуальны угрозы связанные с наличием недокументированных возможностей.

А если актуальны угрозы 3-го типа, тогда необходимость использовать сертифицированные СЗИ отпадает, так как согласно определению угрозы этого типа не связаны с наличием недокументированных возможностей.

Есть же логика в моих словах) Кто-нибудь,выскажетесь!
Изменено: Константин - 05.06.2015 10:04:17
Напиши в РОСКОМНАДЗОР, или позвони...у них есть специальные люди и отделы для этого. Тогда тебе может что то дельное по этому поводу скажут. Потом отпишись пожалуйста сюда, самому интересно их мнение по этому поводу. :D

Я например думаю, что если использовать СЗИ, то только прошедшие процедуру соответствия и имеющие сертификат ФСТЭК... так проще. По цене тоже не сильно дороже тех же продуктов без сертификата.
2 Дмитрий Скорее во ФСТЭК надо писать. Роскомнадзор это ведь проверка документации?
2 Константин,
логика, конечно, в ваших словах есть, более того, если буквально выполнять ПП-1119, то действительно сертифицированные СЗИ могут и не понадобиться. Но мнение регуляторов однозначное: обязательно сертифицированные. А в Приказе 378 ФСБ указаны даже классы криптосредств.

По поводу типов угроз не согласен: тип угроз и использование сертифицированных СЗИ не связаны друг с другом (не бывает средств защиты от НДВ, тем более сертифицированных).

2 Дмитрий,
Причем здесь РКН? Какие там специальные люди? Не путайте народ!
2 Дмитрий "так проще".. Проще, легче или просто лень. А государственным органам только это и надо от нас. Они ведь с этой сертификации копеечку себе в карман кладут.

Мне кажется, постановление Правительства ясно даёт понять, что есть случаи когда в применении СЗИ прошедших оценку соответствия нет необходимости для нейтрализации актуальных угроз.

А ФСТЭК и остальные органы уже трактуют нормы на свой манер.

Но у меня нет желания поднимать здесь бунт) просто хочу правды.

Запрос написал и во ФСТЭК и в Роскомнадзор. Будем ждать.
Константин, это просто в постановлении криво написали. А понимают всегда однозначно: СЗИ должны быть сертифицированы.

Если разобраться, то "оценка соответствия" - это не только сертификация, но и испытания, приемка и др (см. закон "О техническом регулировании, там указано, что такое оценка соответствия). Поэтому, если вы коммерческая организация, теоретически можете проводить оценку СЗИ в любой форме. А практически придется доказывать регуляторам свою правоту. Любите спорить с госорганами - ради Бога!
2 AlexG
Требования согласно 152-ФЗ устанавливает Правительство РФ. Остальные органы действуют согласно установленным Правительством. Так что как бы там Правительство не "накосячило" (хотя это только ваши доводы, возможно оно так и хотело) все остальные должны действовать согласно их установленным требованиям.
2 AlexG по актуальным угрозам согласен.

И я не хочу ни с кем спорить и не стал бы, если бы не..
Если сотрудник ДПС вас остановит и будет вам вменять нарушение правил, а вы будете не согласны, так как во-первых вы не нарушали, а во-вторых этого и в правилах возможно даже нет, вы будете спорить или согласитесь со штрафом?)
Изменено: Константин - 05.06.2015 13:29:59
Это все понятно. Обычно "спорщиков" с ФСТЭК останавливает наличие лицензии. Доказать, что они неправы насчет СЗИ можно, но они потом приедут с проверкой выполнения условий лицензии, а там всегда есть к чему придраться. А уж если у вас лицензия по ГТ, то отобрать ее для фсб-шников - 6 секунд.

Если вы никак не зависите от регуляторов (как от инспектора ГИБДД) - бодайтесь на здоровье.
Для большинства организаций, как раз и надо что бы проще было.

А проще это доплатил за верифицированный дистрибутив дополнительные 2.500 руб с сертификатом, и не надо парится и задавать всякие никому не нужные вопросы.

Нет у частных организаций, да и большинства госов, нормальных, обученных безопасников. А платить фирме которая в этом разбирается никто не хочет. Этим в большинстве своем сис.админы занимаются, которые, по идее, к этому имеют посредственное отношение. :D
2 AlexG и Дмитрий.
Мне пришёл долгожданный ответ и я понял, что был не прав. Каюсь)

В соответствии с частью 2 статьи 19 Федерального закона от 27 июля
2006 г. № 152-ФЗ «О персональных данных» обеспечение безопасности
персональных данных достигается применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации.
Применение для обеспечения безопасности персональных данных средств
защиты информации, не прошедших процедуру оценки соответствия,
указанным федеральным законом не предусмотрено.
Необходимость в применении средств защиты информации отсутствует в
случае, если актуальные угрозы безопасности информации могут быть
нейтрализованы путем применения организационных мер защиты информации.
Изменено: Константин - 03.07.2015 10:01:31
Константин, это весь ответ? Если не трудно, выложите сюда письмо с ответом целиком!
2 Анастасия

Это весь ответ. А чего вам не хватает в нём?
К сожалению, такой ответ закономерен и понятен исходя из прочтения ПП.
Средство только одно - признать всеми правдами и неправдами неактуальность угрозы. А вот тут поле непаханное - знать бы какие аргументы принимает РКН...
Либо неактуальной, либо актуальной, но закрытую через компенсирующие меры

10. При невозможности технической реализации отдельных выбранных мер по обеспечению безопасности персональных данных, а также с учетом экономической целесообразности на этапах адаптации базового набора мер и (или) уточнения адаптированного базового набора мер могут разрабатываться иные (компенсирующие) меры, направленные на нейтрализацию актуальных угроз безопасности персональных данных.
Вопрос хороший задал топикстартер!
Вот ответ (пункт 2): http://fstec.ru/component/attachments/download/350
только вот кроме закрытого ППРФ №330 (на которое идёт ссылка в этом письме) есть ещё ППРФ от 21 апреля 2010 г. № 266, которое напрямую относится к процедуре оценки соответствия
Цитата
продукции (работ, услуг), используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа
Читаем пункт 6 (в котором просто с потолка написано):
Цитата
6. Оценка соответствия проводится в формах обязательной сертификации и государственного контроля (надзора).
...Но это относится к загранучреждениям, не наш случай.
------------
Ставьте обновления на ПО и делайте угрозы неактуальными, даёшь бой необновлённым сертифицированным Linux-ам! Несекьюрные СЗИ не могут быть настолько гибкими как этого требует большинство бизнес-процессов (вводи компенсирующие меры)!

Кто согласен? Есть опыт внедрения? :)
Изменено: Андрей - 22.11.2016 10:27:50
Страницы: 1
Ответить
Читают тему (гостей: 1, пользователей: 0, из них скрытых: 0)
Форма ответов
 
Текст сообщения*
Защита от автоматических сообщений. Введите символы, изображенные на этой картинке в поле ввода &quote;Код подтверждения&quote;.
Прикрепить картинку