Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

Новая версия SIEM-системы КОМРАД: теперь с поддержкой масштабирования и без ограничений на производительность

22/11/2018

Группа компаний «Эшелон» представляет обновленную систему управления событиями информационной безопасности КОМРАД. Новая версия SIEM-системы поддерживает возможность масштабирования и включает ряд новых возможностей.

Реклама





Партнеры

Лаборатория кибербезопасности





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: 1
Ответить
RSS
Несертифицированные СЗИ, Можно ли нейтрализовать актуальные угрозы ИСПДн несертифицированными СЗИ
В требованиях утвержденных ПП-1119 говорится, что:
"Использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз"
В 21м приказе практически то же самое:
"Меры по обеспечению безопасности персональных данных реализуются в том числе посредством применения в информационной системе средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия, в случаях, когда применение таких средств необходимо для нейтрализации актуальных угроз безопасности персональных данных"

Я правильно понимаю: Если для нейтрализации "моих" актуальных угроз нет необходимости применять СЗИ прошедшие оценку соотв. то я могу использовать не прошедшие оценку соотв. СЗИ?

Кто определяет необходимость?

Есть логика в моих словах?
Все обычно пытаются выяснить, что под собой подразумевает "оценка соответствия", а мой вопрос никто не задаёт..
Изменено: Константин - 04.06.2015 17:48:51
Использовать-то можно, но нужно быть готовым доказать свою правоту регулятору. А это сложно.
2 AlexG Это понятно) вопрос в другом, поддерживает ли кто-нибудь мою трактовку? верна ли она? И насколько верна? Идеально бы было узнать мнения регулятора)

Мне не нравится позиция лучше сделать, а то вдруг докопаются. И это даже не в плане затрат касаемо СЗИ, но и если брать ту же документацию. На все есть нормативно правовые акты в которых указано, либо не указано, как и что должно быть.
2 AlexG Предыдущее сообщение моё)

А , кстати, возможно необходимость сертифицированных СЗИ определяется типом актуальных угроз? и тогда надо плясать от определений типов актуальных угроз.

"Угрозы 1-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении, используемом в информационной системе.
Угрозы 2-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении, используемом в информационной системе.
Угрозы 3-го типа актуальны для информационной системы, если для нее актуальны угрозы, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе."

Если для ИС актуальны угрозы первых двух типов, то тогда надо применять сертифицированные СЗИ, так как для них актуальны угрозы связанные с наличием недокументированных возможностей.

А если актуальны угрозы 3-го типа, тогда необходимость использовать сертифицированные СЗИ отпадает, так как согласно определению угрозы этого типа не связаны с наличием недокументированных возможностей.

Есть же логика в моих словах) Кто-нибудь,выскажетесь!
Изменено: Константин - 05.06.2015 10:04:17
Напиши в РОСКОМНАДЗОР, или позвони...у них есть специальные люди и отделы для этого. Тогда тебе может что то дельное по этому поводу скажут. Потом отпишись пожалуйста сюда, самому интересно их мнение по этому поводу. :D

Я например думаю, что если использовать СЗИ, то только прошедшие процедуру соответствия и имеющие сертификат ФСТЭК... так проще. По цене тоже не сильно дороже тех же продуктов без сертификата.
2 Дмитрий Скорее во ФСТЭК надо писать. Роскомнадзор это ведь проверка документации?
2 Константин,
логика, конечно, в ваших словах есть, более того, если буквально выполнять ПП-1119, то действительно сертифицированные СЗИ могут и не понадобиться. Но мнение регуляторов однозначное: обязательно сертифицированные. А в Приказе 378 ФСБ указаны даже классы криптосредств.

По поводу типов угроз не согласен: тип угроз и использование сертифицированных СЗИ не связаны друг с другом (не бывает средств защиты от НДВ, тем более сертифицированных).

2 Дмитрий,
Причем здесь РКН? Какие там специальные люди? Не путайте народ!
2 Дмитрий "так проще".. Проще, легче или просто лень. А государственным органам только это и надо от нас. Они ведь с этой сертификации копеечку себе в карман кладут.

Мне кажется, постановление Правительства ясно даёт понять, что есть случаи когда в применении СЗИ прошедших оценку соответствия нет необходимости для нейтрализации актуальных угроз.

А ФСТЭК и остальные органы уже трактуют нормы на свой манер.

Но у меня нет желания поднимать здесь бунт) просто хочу правды.

Запрос написал и во ФСТЭК и в Роскомнадзор. Будем ждать.
Константин, это просто в постановлении криво написали. А понимают всегда однозначно: СЗИ должны быть сертифицированы.

Если разобраться, то "оценка соответствия" - это не только сертификация, но и испытания, приемка и др (см. закон "О техническом регулировании, там указано, что такое оценка соответствия). Поэтому, если вы коммерческая организация, теоретически можете проводить оценку СЗИ в любой форме. А практически придется доказывать регуляторам свою правоту. Любите спорить с госорганами - ради Бога!
2 AlexG
Требования согласно 152-ФЗ устанавливает Правительство РФ. Остальные органы действуют согласно установленным Правительством. Так что как бы там Правительство не "накосячило" (хотя это только ваши доводы, возможно оно так и хотело) все остальные должны действовать согласно их установленным требованиям.
2 AlexG по актуальным угрозам согласен.

И я не хочу ни с кем спорить и не стал бы, если бы не..
Если сотрудник ДПС вас остановит и будет вам вменять нарушение правил, а вы будете не согласны, так как во-первых вы не нарушали, а во-вторых этого и в правилах возможно даже нет, вы будете спорить или согласитесь со штрафом?)
Изменено: Константин - 05.06.2015 13:29:59
Это все понятно. Обычно "спорщиков" с ФСТЭК останавливает наличие лицензии. Доказать, что они неправы насчет СЗИ можно, но они потом приедут с проверкой выполнения условий лицензии, а там всегда есть к чему придраться. А уж если у вас лицензия по ГТ, то отобрать ее для фсб-шников - 6 секунд.

Если вы никак не зависите от регуляторов (как от инспектора ГИБДД) - бодайтесь на здоровье.
Для большинства организаций, как раз и надо что бы проще было.

А проще это доплатил за верифицированный дистрибутив дополнительные 2.500 руб с сертификатом, и не надо парится и задавать всякие никому не нужные вопросы.

Нет у частных организаций, да и большинства госов, нормальных, обученных безопасников. А платить фирме которая в этом разбирается никто не хочет. Этим в большинстве своем сис.админы занимаются, которые, по идее, к этому имеют посредственное отношение. :D
2 AlexG и Дмитрий.
Мне пришёл долгожданный ответ и я понял, что был не прав. Каюсь)

В соответствии с частью 2 статьи 19 Федерального закона от 27 июля
2006 г. № 152-ФЗ «О персональных данных» обеспечение безопасности
персональных данных достигается применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации.
Применение для обеспечения безопасности персональных данных средств
защиты информации, не прошедших процедуру оценки соответствия,
указанным федеральным законом не предусмотрено.
Необходимость в применении средств защиты информации отсутствует в
случае, если актуальные угрозы безопасности информации могут быть
нейтрализованы путем применения организационных мер защиты информации.
Изменено: Константин - 03.07.2015 10:01:31
Константин, это весь ответ? Если не трудно, выложите сюда письмо с ответом целиком!
2 Анастасия

Это весь ответ. А чего вам не хватает в нём?
К сожалению, такой ответ закономерен и понятен исходя из прочтения ПП.
Средство только одно - признать всеми правдами и неправдами неактуальность угрозы. А вот тут поле непаханное - знать бы какие аргументы принимает РКН...
Либо неактуальной, либо актуальной, но закрытую через компенсирующие меры

10. При невозможности технической реализации отдельных выбранных мер по обеспечению безопасности персональных данных, а также с учетом экономической целесообразности на этапах адаптации базового набора мер и (или) уточнения адаптированного базового набора мер могут разрабатываться иные (компенсирующие) меры, направленные на нейтрализацию актуальных угроз безопасности персональных данных.
Вопрос хороший задал топикстартер!
Вот ответ (пункт 2): http://fstec.ru/component/attachments/download/350
только вот кроме закрытого ППРФ №330 (на которое идёт ссылка в этом письме) есть ещё ППРФ от 21 апреля 2010 г. № 266, которое напрямую относится к процедуре оценки соответствия
Цитата
продукции (работ, услуг), используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа
Читаем пункт 6 (в котором просто с потолка написано):
Цитата
6. Оценка соответствия проводится в формах обязательной сертификации и государственного контроля (надзора).
...Но это относится к загранучреждениям, не наш случай.
------------
Ставьте обновления на ПО и делайте угрозы неактуальными, даёшь бой необновлённым сертифицированным Linux-ам! Несекьюрные СЗИ не могут быть настолько гибкими как этого требует большинство бизнес-процессов (вводи компенсирующие меры)!

Кто согласен? Есть опыт внедрения? :)
Изменено: Андрей - 22.11.2016 10:27:50
Страницы: 1
Ответить
Читают тему (гостей: 1, пользователей: 0, из них скрытых: 0)
Форма ответов
 
Текст сообщения*
Защита от автоматических сообщений. Введите символы, изображенные на этой картинке в поле ввода &quote;Код подтверждения&quote;.
Прикрепить картинку