Надо ли применять сертифицированные средства защиты ПДн

14,630 views

Published on

Published in: Technology
0 Comments
3 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
14,630
On SlideShare
0
From Embeds
0
Number of Embeds
11,444
Actions
Shares
0
Downloads
133
Comments
0
Likes
3
Embeds 0
No embeds

No notes for slide

Надо ли применять сертифицированные средства защиты ПДн

  1. 1. Сертифицированные средствазащиты для ИСПДн. Надо или в топку?Лукацкий Алексей, консультант по безопасности
  2. 2. О сертификации средств защиты ПДн• Методами и способами защиты информации от несанкционированного доступа являются…использование средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия• Оценка соответствия регулируется ФЗ-184 «О техническом регулировании»• Оценка соответствия - прямое или косвенное определение соблюдения требований, предъявляемых к объекту – ст. 2 ФЗ-184 «О техническом регулировании»
  3. 3. Оценка соответствия• Оценка соответствия проводится в формах государственного контроля (надзора), аккредитации, испытания, регистрации, подтверждения соответствия, приемки и ввода в эксплуатацию объекта, строительство которого закончено, и в иной форме – ст.7 ФЗ-184 «О техническом регулировании»• Самым распространенным мнением является уравнивание оценки соответствия и подтверждения соответствия• Согласно Приказу Председателя Гостехкомиссии России от 27 октября 1995 г. № 199 обязательной сертификации подлежат любые средства защиты информации ограниченного доступа – В первоначальной версии этой приписки не было
  4. 4. Оценка соответствия ≠ сертификация Госконтроль и надзор Аккредитация Испытания Оценка Добровольная Регистрация соответствия сертификация Подтверждение Обязательная соответствия сертификация Приемка и ввод Декларирование в эксплуатацию соответствия В иной форме
  5. 5. Подтверждение соответствия• Документальное удостоверение соответствия продукции или иных объектов, процессов проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации и утилизации, выполнения работ или оказания услуг требованиям технических регламентов, положениям стандартов, сводов правил или условиям договоров – ст.2 ФЗ-184 «О техническом регулировании»• Подтверждение – Добровольная сертификация – Обязательная сертификация – Обязательная декларация о соответствии
  6. 6. Подтверждение соответствия• Обязательное подтверждение соответствия проводится только в случаях, установленных соответствующим техническим регламентом, и исключительно на соответствие требованиям технического регламента – ст.23.1 ФЗ-184 «О техническом регулировании»• В случае отсутствия тех.регламентов, действуют требования, установленные органами исполнительной власти (ст.5.1 ФЗ-184), а порядок их применения определяется Правительством (ст.5.2 ФЗ-184) – Акты нижестоящих структур могут только конкретизировать детали, а не устанавливать/изменять существо требований
  7. 7. Не ФСТЭК устанавливает особенности оценкисоответствия• Особенности оценки соответствия продукции (работ, услуг) и объектов, а также соответственно процессов их проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации, захоронения устанавливаются Правительством Российской Федерации – ст.5 ФЗ-184 «О техническом регулировании» – Не ФСТЭК определяет требования, а Правительство
  8. 8. Об обязательной сертификации СЗИ• Согласно ПП-608 обязательная сертификация средств защиты предусматривается только для защиты гостайны – В остальных случаях сертификация является добровольной• Согласно ПП-1013 средства защиты не входят в перечень товаров, подлежащих обязательной сертификации – 1 декабря 2009 было принято новое ПП-982 «Об утверждении единого перечня продукции, подлежащей обязательной сертификации, и единого перечня продукции, подтверждение соответствия которой осуществляется в форме принятия декларации о соответствии»
  9. 9. Постановление Правительства №982• С 1-го декабря 2009 года существует единый перечень всех товаров, которые подлежат обязательной сертификации... – Исключая продукцию, требования к которой устанавливаются в соответствии со статьей 5 Федерального Закона «О техническом регулировании»• Иными словами обязательная сертификация средств защиты может быть определена отдельными нормативными актами… – Особенности технического регулирования в части разработки и установления обязательных требований ... устанавливаются Президентом Российской Федерации, Правительством Российской Федерации в соответствии с их полномочиями (ФЗ- 184 «О техническом регулировании»)• ФСТЭК требует обязательной сертификации средств защиты (как и аттестации) негостайны, а Правительство нет – Или все-таки да?!
  10. 10. Гром с ясного неба!!!• ПП-330 от 15 мая 2010 г. «Об особенностях оценки соответствия продукции (работ, услуг), используемой в целях защиты сведений, относимых к охраняемой в соответствии с законодательством РФ информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну, а также процессов ее проектирования (включая изыскании), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации и захоронения, об особенностях аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по подтверждению соответствия указанной продукции (работ, услуг)» – ДСП
  11. 11. Постановление Правительства 330• Сфера применения - государственные информационные ресурсы и персданные – Нелогично, но зато не на все виды информации• Оценка соответствия осуществляется в формах обязательной сертификации и государственного контроля (надзора) – Теперь только сертифицированные средства защиты информации• Принцип подтверждения соответствия – «ограниченный доступ к информации и документам, касающимся установления обязательных требований, сертификационных испытаний продукции и подтверждения ее соответствия, а также методов и способов защиты информации конфиденциального характера»
  12. 12. ФСТЭК и ПП-330?
  13. 13. Надо ли выполнять ПП-330?• На основании и во исполнение федеральных законов государственные органы, Банк России, органы местного самоуправления в пределах своих полномочий могут принимать нормативные правовые акты по отдельным вопросам, касающимся обработки персональных данных• Такие акты не могут содержать положения, ограничивающие права субъектов персональных данных, устанавливающие не предусмотренные федеральными законами ограничения деятельности операторов или возлагающие на операторов не предусмотренные федеральными законами обязанности, и подлежат официальному опубликованию – Ст.4.2 ФЗ-152
  14. 14. Так обязательная или добровольная?
  15. 15. Сертифицированные СЗИ, банки и СТО БР ИББС• В составе АБС должны применяться встроенные защитные меры, а также рекомендуются к использованию сертифицированные или разрешенные руководством организации к применению средства защиты информации от НСД и НРД – Раздел 7.4.2 СТО БР ИББС-1.0• Выполнение функций обеспечения безопасности персональных данных в ИСПДн должно обеспечиваться средствами защиты информации, прошедшими в установленном порядке процедуру оценки соответствия, а также комплексом встроенных механизмов защиты ЭВМ, ОС, СУБД, прикладного ПО – Раздел 6.3.2 РС БР ИББС 2.3• Но каков юридический статус СТО БР ИББС в настоящий момент?
  16. 16. Мнение Сенаторова М.Ю.• Отсутствие в настоящее время технических регламентов, устанавливающих требования к СЗИ, используемым для обеспечения безопасности ПДн при их обработке в ИСПДн, делает невозможным как оценку соответствия, так и добровольное или обязательное подтверждение соответствия СЗИ.• Таким образом, до выпуска документов, обеспечивающих выполнение требований законодательства, считаем возможным применение для обеспечения безопасности ПДн при их обработке в ИС встроенных защитных мер, сертифицированных СЗИ, а также средств защиты, не включённых в Единый перечень товаров, к которым применяются запреты или ограничения на ввоз или вывоз государствами - участниками таможенного союза, в рамках ЕвразЭС в торговле с третьими странами – Письмо ЦБР от от 17 ноября 2011 г. № 015-16-9/4713 “О средствах защиты информации, применяемых при обработке персональных данных”
  17. 17. Еще раз об оценке соответствия• Оценка соответствия проводится в формах государственного контроля (надзора), аккредитации, испытания, регистрации, подтверждения соответствия, приемки и ввода в эксплуатацию объекта, строительство которого закончено, и в иной форме – Государственный контроль и надзор – это тоже форма оценки соответствия• Можно дожидаться надзорных мероприятий со стороны ФСТЭК…• А еще оператор ПДн может самостоятельно осуществить приемку и ввод в эксплуатацию системы защиты – В соответствие с требованиями ст.18.1 и 19 152-ФЗ, п.3 ст.7 184- ФЗ, п.5 ПП-781, признать прошедшими испытания и ввести в эксплуатацию следующие технические средства защиты ИСПДн…
  18. 18. Небольшое изменение формулировки закона…• Особенности оценки соответствия продукции (работ, услуг) и объектов, а также соответственно процессов их проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации, захоронения устанавливаются Правительством Российской Федерации – ст.5 ФЗ-184 «О техническом регулировании» – Не ФСТЭК определяет требования, а Правительство• Так было до 30.11.2011
  19. 19. …и куча новых вопросов, остающихся пока без ответов• ФЗ-347 от 30.11.2011 разрабатывался для технического регулирования объектов атомной энергетики, но… – Нечеткости формулировки….• Особенности оценки соответствия продукции (работ, услуг), а также соответственно процессов их проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации, захоронения устанавливаются Правительством Российской Федерации или уполномоченными ими федеральными органами исполнительной власти – Новая редакция ст.5 ФЗ-184
  20. 20. Что в сухом остатке• Требование «оценки соответствия» есть и от него никуда не деться – Не все регуляторы одинаково читают и трактуют ФЗ-184• Однозначного ответа по обязательности сертификации нет – При условии, что на ПП-330 и дальше будет висеть гриф «ДСП»• Оценка соответствия может быть в различных формах – От сертификации и государственного контроля и надзора до приемки и ввода в эксплуатацию• Если сценарий развития будет негативным (вероятность 65%) – Небольшие западные игроки рынка ИБ не выживут в условиях изменившихся правил игры – Крупные западные игроки рынка ИБ, которые не учли специфику регулирования вопросов ИБ в России, столкнутся с серьезными трудностями
  21. 21. security-request@cisco.comБлагодарю васза вниманиеBRKSEC-1065 © Cisco и (или) дочерние компании, 2011 г. Все права защищены. Общедоступная информация Cisco 21

×