Документ обсуждает вопросы сертификации средств защиты информации от несанкционированного доступа (НСД) и раскрывает нюансы оценки их соответствия законодательству Российской Федерации. Подчеркивается, что обязательная сертификация применяется только в отношении средств, предназначенных для защиты государственной тайны, тогда как другие категории могут быть сертифицированы добровольно. Также отмечаются неопределенности в правилах и отсутствия необходимых технических регламентов, что создает проблемы для операторов по обработке персональных данных.

1. Сертифицированные средства
защиты для ИСПДн. Надо или в топку?
Лукацкий Алексей, консультант по безопасности

2. О сертификации средств защиты ПДн
• Методами и способами защиты информации от
несанкционированного доступа являются…использование
средств защиты информации, прошедших в установленном
порядке процедуру оценки соответствия
• Оценка соответствия регулируется ФЗ-184 «О техническом
регулировании»
• Оценка соответствия - прямое или косвенное определение
соблюдения требований, предъявляемых к объекту
– ст. 2 ФЗ-184 «О техническом регулировании»

3. Оценка соответствия
• Оценка соответствия проводится в формах государственного
контроля (надзора), аккредитации, испытания, регистрации,
подтверждения соответствия, приемки и ввода в эксплуатацию
объекта, строительство которого закончено, и в иной форме
– ст.7 ФЗ-184 «О техническом регулировании»
• Самым распространенным мнением является уравнивание
оценки соответствия и подтверждения соответствия
• Согласно Приказу Председателя Гостехкомиссии России от 27
октября 1995 г. № 199 обязательной сертификации подлежат
любые средства защиты информации ограниченного доступа
– В первоначальной версии этой приписки не было

4. Оценка соответствия ≠ сертификация
Госконтроль и
надзор
Аккредитация
Испытания
Оценка Добровольная
Регистрация
соответствия сертификация
Подтверждение Обязательная
соответствия сертификация
Приемка и ввод Декларирование
в эксплуатацию соответствия
В иной форме

5. Подтверждение соответствия
• Документальное удостоверение соответствия продукции или
иных объектов, процессов проектирования (включая изыскания),
производства, строительства, монтажа, наладки, эксплуатации,
хранения, перевозки, реализации и утилизации, выполнения
работ или оказания услуг требованиям технических регламентов,
положениям стандартов, сводов правил или условиям договоров
– ст.2 ФЗ-184 «О техническом регулировании»
• Подтверждение
– Добровольная сертификация
– Обязательная сертификация
– Обязательная декларация о соответствии

6. Подтверждение соответствия
• Обязательное подтверждение соответствия проводится только в
случаях, установленных соответствующим техническим
регламентом, и исключительно на соответствие требованиям
технического регламента
– ст.23.1 ФЗ-184 «О техническом регулировании»
• В случае отсутствия тех.регламентов, действуют требования,
установленные органами исполнительной власти (ст.5.1 ФЗ-184),
а порядок их применения определяется Правительством (ст.5.2
ФЗ-184)
– Акты нижестоящих структур могут только конкретизировать
детали, а не устанавливать/изменять существо требований

7. Не ФСТЭК устанавливает особенности оценки
соответствия
• Особенности оценки соответствия продукции (работ, услуг) и
объектов, а также соответственно процессов их проектирования
(включая изыскания), производства, строительства, монтажа,
наладки, эксплуатации, хранения, перевозки, реализации,
утилизации, захоронения устанавливаются Правительством
Российской Федерации
– ст.5 ФЗ-184 «О техническом регулировании»
– Не ФСТЭК определяет требования, а Правительство

8. Об обязательной сертификации СЗИ
• Согласно ПП-608 обязательная сертификация средств защиты
предусматривается только для защиты гостайны
– В остальных случаях сертификация является добровольной
• Согласно ПП-1013 средства защиты не входят в перечень
товаров, подлежащих обязательной сертификации
– 1 декабря 2009 было принято новое ПП-982 «Об утверждении
единого перечня продукции, подлежащей обязательной
сертификации, и единого перечня продукции, подтверждение
соответствия которой осуществляется в форме принятия
декларации о соответствии»

9. Постановление Правительства №982
• С 1-го декабря 2009 года существует единый перечень всех
товаров, которые подлежат обязательной сертификации...
– Исключая продукцию, требования к которой устанавливаются в
соответствии со статьей 5 Федерального Закона «О техническом
регулировании»
• Иными словами обязательная сертификация средств защиты
может быть определена отдельными нормативными актами…
– Особенности технического регулирования в части разработки и
установления обязательных требований ... устанавливаются
Президентом Российской Федерации, Правительством
Российской Федерации в соответствии с их полномочиями (ФЗ-
184 «О техническом регулировании»)
• ФСТЭК требует обязательной сертификации средств защиты (как
и аттестации) негостайны, а Правительство нет
– Или все-таки да?!

10. Гром с ясного неба!!!
• ПП-330 от 15 мая 2010 г. «Об особенностях оценки соответствия
продукции (работ, услуг), используемой в целях защиты
сведений, относимых к охраняемой в соответствии с
законодательством РФ информации ограниченного доступа, не
содержащей сведения, составляющие государственную тайну, а
также процессов ее проектирования (включая изыскании),
производства, строительства, монтажа, наладки, эксплуатации,
хранения, перевозки, реализации, утилизации и захоронения,
об особенностях аккредитации органов по сертификации и
испытательных лабораторий (центров), выполняющих работы по
подтверждению соответствия указанной продукции (работ,
услуг)»
– ДСП

11. Постановление Правительства 330
• Сфера применения - государственные информационные ресурсы
и персданные
– Нелогично, но зато не на все виды информации
• Оценка соответствия осуществляется в формах обязательной
сертификации и государственного контроля (надзора)
– Теперь только сертифицированные средства защиты
информации
• Принцип подтверждения соответствия – «ограниченный доступ к
информации и документам, касающимся установления
обязательных требований, сертификационных испытаний
продукции и подтверждения ее соответствия, а также
методов и способов защиты информации конфиденциального
характера»

12. ФСТЭК и ПП-330?

13. Надо ли выполнять ПП-330?
• На основании и во исполнение федеральных законов
государственные органы, Банк России, органы местного
самоуправления в пределах своих полномочий могут принимать
нормативные правовые акты по отдельным вопросам,
касающимся обработки персональных данных
• Такие акты не могут содержать положения, ограничивающие
права субъектов персональных данных, устанавливающие не
предусмотренные федеральными законами ограничения
деятельности операторов или возлагающие на операторов не
предусмотренные федеральными законами обязанности, и
подлежат официальному опубликованию
– Ст.4.2 ФЗ-152

14. Так обязательная или добровольная?

15. Сертифицированные СЗИ, банки и СТО БР ИББС
• В составе АБС должны применяться встроенные защитные меры,
а также рекомендуются к использованию сертифицированные
или разрешенные руководством организации к применению
средства защиты информации от НСД и НРД
– Раздел 7.4.2 СТО БР ИББС-1.0
• Выполнение функций обеспечения безопасности персональных
данных в ИСПДн должно обеспечиваться средствами защиты
информации, прошедшими в установленном порядке процедуру
оценки соответствия, а также комплексом встроенных
механизмов защиты ЭВМ, ОС, СУБД, прикладного ПО
– Раздел 6.3.2 РС БР ИББС 2.3
• Но каков юридический статус СТО БР ИББС в настоящий
момент?

16. Мнение Сенаторова М.Ю.
• Отсутствие в настоящее время технических регламентов,
устанавливающих требования к СЗИ, используемым для
обеспечения безопасности ПДн при их обработке в ИСПДн,
делает невозможным как оценку соответствия, так и добровольное
или обязательное подтверждение соответствия СЗИ.
• Таким образом, до выпуска документов, обеспечивающих
выполнение требований законодательства, считаем возможным
применение для обеспечения безопасности ПДн при их обработке
в ИС встроенных защитных мер, сертифицированных СЗИ, а
также средств защиты, не включённых в Единый перечень
товаров, к которым применяются запреты или ограничения на ввоз
или вывоз государствами - участниками таможенного союза, в
рамках ЕвразЭС в торговле с третьими странами
– Письмо ЦБР от от 17 ноября 2011 г. № 015-16-9/4713 “О средствах
защиты информации, применяемых при обработке персональных
данных”

17. Еще раз об оценке соответствия
• Оценка соответствия проводится в формах государственного
контроля (надзора), аккредитации, испытания, регистрации,
подтверждения соответствия, приемки и ввода в эксплуатацию
объекта, строительство которого закончено, и в иной форме
– Государственный контроль и надзор – это тоже форма оценки
соответствия
• Можно дожидаться надзорных мероприятий со стороны ФСТЭК…
• А еще оператор ПДн может самостоятельно осуществить
приемку и ввод в эксплуатацию системы защиты
– В соответствие с требованиями ст.18.1 и 19 152-ФЗ, п.3 ст.7 184-
ФЗ, п.5 ПП-781, признать прошедшими испытания и ввести в
эксплуатацию следующие технические средства защиты
ИСПДн…

18. Небольшое изменение формулировки закона…
• Особенности оценки соответствия продукции (работ, услуг) и
объектов, а также соответственно процессов их проектирования
(включая изыскания), производства, строительства, монтажа,
наладки, эксплуатации, хранения, перевозки, реализации,
утилизации, захоронения устанавливаются Правительством
Российской Федерации
– ст.5 ФЗ-184 «О техническом регулировании»
– Не ФСТЭК определяет требования, а Правительство
• Так было до 30.11.2011

19. …и куча новых вопросов, остающихся пока без ответов
• ФЗ-347 от 30.11.2011 разрабатывался для технического
регулирования объектов атомной энергетики, но…
– Нечеткости формулировки….
• Особенности оценки соответствия продукции (работ, услуг), а
также соответственно процессов их проектирования (включая
изыскания), производства, строительства, монтажа, наладки,
эксплуатации, хранения, перевозки, реализации, утилизации,
захоронения устанавливаются Правительством Российской
Федерации или уполномоченными ими федеральными органами
исполнительной власти
– Новая редакция ст.5 ФЗ-184

20. Что в сухом остатке
• Требование «оценки соответствия» есть и от него никуда не
деться
– Не все регуляторы одинаково читают и трактуют ФЗ-184
• Однозначного ответа по обязательности сертификации нет
– При условии, что на ПП-330 и дальше будет висеть гриф «ДСП»
• Оценка соответствия может быть в различных формах
– От сертификации и государственного контроля и надзора до
приемки и ввода в эксплуатацию
• Если сценарий развития будет негативным (вероятность 65%)
– Небольшие западные игроки рынка ИБ не выживут в условиях
изменившихся правил игры
– Крупные западные игроки рынка ИБ, которые не учли специфику
регулирования вопросов ИБ в России, столкнутся с серьезными
трудностями

21. security-request@cisco.com
Благодарю вас
за внимание
BRKSEC-1065 © Cisco и (или) дочерние компании, 2011 г. Все права защищены. Общедоступная информация Cisco 21