Информационные системы персональных данных: это что такое, нужна ли аттестация государственных ис, а еще пример, как матрица доступа контролирует обработку сведений

Доброго времени суток, Хабр! Сегодня мы хотели бы рассмотреть различные мифы, связанные с аттестацией объектов информатизации (ОИ) по требованиям безопасности информации по принципу типовых сегментов. А также разберемся, как все-таки правильно делать такую аттестацию. Мифов надо сказать относительно этого циркулирует немало и часто они противоречат друг другу. Например, есть мнение, что по принципу типовых сегментов можно аттестовать все ИСПДн страны (хотя для ИСПДн аттестация не обязательна), а с другой стороны — есть мнение, что аттестовывать информационные системы нужно только по старинке, а все эти ваши «типовые сегменты» от лукавого. Аттестация объекта информатизации, пожалуй, один из самых зарегулированных и консервативных этапов построения системы защиты информации. Консервативность заключается в том, что аттестации подвергается конкретная система с конкретным перечнем технических средств, которые аккуратным образом переписаны в техническом паспорте на объект информатизации и в самом аттестате соответствия. Замена, например, сгоревшего компьютера из состава аттестованной информационной системы может повлечь за собой как минимум длительную переписку с организацией, проводившей аттестацию, а как максимум – дополнительные аттестационные испытания (то есть — затраты). Это не было большой проблемой, пока аттестации по требованиям безопасности информации подвергались либо отдельно стоящие компьютеры, обрабатывающие защищаемую информацию, либо небольшие выделенные локальные сети. Но прогресс не стоит на месте. Сейчас для государственных информационных систем 17-м приказом ФСТЭК определена обязательная их аттестация до ввода в эксплуатацию. А государственные информационные системы сегодня это не статичный компьютер или маленькая локалка, а большие динамически изменяемые системы, зачастую регионального или даже федерального масштаба. Так как же быть в этом случае? Аттестация обязательна, а аттестовывать статичную систему нельзя, так как там чуть ли не каждый день добавляются новые элементы, а старые убираются. На помощь приходят «типовые сегменты». Это понятие было введено 17-м приказом ФСТЭК и стандартом ГОСТ РО 0043-003-2012 «Защита информации. Аттестация объектов информатизации. Общие положения» в 2013 году. К сожалению, ГОСТ носит пометку «дсп», в отличие от приказа ФСТЭК, поэтому стандарт здесь цитировать не получится. Но от этого особо ничего и не потеряется, т. к. в приказе ФСТЭК правила распространения аттестата соответствия на типовые сегменты расписаны гораздо подробнее (раздел 17.3), а в стандарте этому посвящена пара коротких абзацев. Вокруг типовых сегментов существует множество мифов. Здесь мы разберем те, с которыми сталкивались сами. Если у вас есть примеры похожих мифов или вопросы (вы не уверены – миф это или нет), добро пожаловать в комментарии. Теоретически напрямую нормативными документами это не запрещено, но на практике сделать это будет невозможно. Один из пунктов 17 приказа ФСТЭК по типовым сегментам гласит, что в типовых сегментах должно обеспечиваться выполнение организационно-распорядительной документации по защите информации. Так вот, большая проблема как раз в разработке такой документации, которая будет учитывать разные техпроцессы обработки информации, разную защищаемую информацию, разные требования регуляторов и т. д. В итоге, документация, разработанная для одной системы, будет неактуальна для другой. Это не так. Во-первых, сам 17 приказ ФСТЭК позволяет применять его положения при разработке систем защиты информации в любых других информационных системах. Во-вторых, в ГОСТ РО 0043-003-2012 применяется более широкое понятие «объекты информатизации» вместо «государственные информационные системы». Это не так, под спойлером полный текст пункта 17.3 приказа ФСТЭК №17 по типовым сегментам, далее мы рассмотрим случаи, когда выданный аттестат распространять нельзя. Здесь нам придется остановиться подробнее. Текст из приказа ФСТЭК №17

Допускается аттестация информационной системы на основе результатов аттестационных испытаний выделенного набора сегментов информационной системы, реализующих полную технологию обработки информации. В этом случае распространение аттестата соответствия на другие сегменты информационной системы осуществляется при условии их соответствия сегментам информационной системы, прошедшим аттестационные испытания. Сегмент считается соответствующим сегменту информационной системы, в отношении которого были проведены аттестационные испытания, если для указанных сегментов установлены одинаковые классы защищенности, угрозы безопасности информации, реализованы одинаковые проектные решения по информационной системе и ее системе защиты информации. Соответствие сегмента, на который распространяется аттестат соответствия, сегменту информационной системы, в отношении которого были проведены аттестационные испытания, подтверждается в ходе приемочных испытаний информационной системы или сегментов информационной системы. В сегментах информационной системы, на которые распространяется аттестат соответствия, оператором обеспечивается соблюдение эксплуатационной документации на систему защиты информации информационной системы и организационно-распорядительных документов по защите информации.

Особенности аттестации информационной системы на основе результатов аттестационных испытаний выделенного набора ее сегментов, а также условия и порядок распространения аттестата соответствия на другие сегменты информационной системы определяются в программе и методиках аттестационных испытаний, заключении и аттестате соответствия.

Далее мы будем брать конкретные примеры ошибок, и приводить только подходящие цитаты из этого нормативного акта в качестве обоснования, почему так делать нельзя. Аттестована только серверная часть, но хочется распространить аттестат на автоматизированные рабочие места (АРМ). Можно ли так делать?

Нет! Допускается аттестация информационной системы на основе результатов аттестационных испытаний выделенного набора сегментов информационной системы, реализующих полную технологию обработки информации.

Передача информации по каналам связи это тоже технология обработки. Плюс в данном примере не аттестован ни один АРМ, поэтому распространить аттестат на другой типовой АРМ мы не можем. Здесь мы учли предыдущую ошибку и включили в аттестат каналы передачи данных и типовое АРМ. Вдруг у нас возникла необходимость организовать большому начальнику ноутбук с подключением в аттестованную систему (по защищенным каналам, конечно же). Можем ли мы распространить аттестат соответствия на этот ноутбук?

Нет! Сегмент считается соответствующим сегменту информационной системы, в отношении которого были проведены аттестационные испытания, если для указанных сегментов установлены одинаковые классы защищенности, угрозы безопасности информации…

Здесь для мобильных технических средств появляются новые угрозы безопасности информации, которые не актуальны для стационарных АРМ и скорее всего не учтены в модели угроз на аттестованную систему. Хорошо, мы учли этот косяк и добавили в модель угроз «на вырост», угрозы для мобильных устройств. Теперь можно распространить аттестат на ноутбук большого босса?

Нет! Сегмент считается соответствующим сегменту информационной системы, в отношении которого были проведены аттестационные испытания…

Несмотря на то, что мобильное средство было описано в проектной документации на систему защиты информации и в модели угроз были учтены угрозы, связанные с мобильными техническими средствами, в отношении такого средства не были проведены аттестационные испытания. Как все сложно-то! А вот такая ситуация: есть лечебное учреждение, там есть две информационные системы – с сотрудниками и медицинская информационная система (МИС) с пациентами. Можем ли мы сэкономить, аттестовать информационную систему с сотрудниками и распространить этот аттестат на МИС?

Нет! Сегмент считается соответствующим сегменту информационной системы, в отношении которого были проведены аттестационные испытания, если для указанных сегментов установлены одинаковые классы защищенности… одинаковые проектные решения по информационной системе.

Хоть и кажется, что тут все сложно, на самом деле нужно просто заранее при подготовке к построению системы защиты продумать возможные варианты типовых сегментов. Но на самом деле, если все учесть (а требований не так уже и много), то и с распространением аттестата проблем не будет. Такого требования нет. Хотя это напрямую и не запрещено, такой подход в будущем может повлечь некоторые проблемы. Что нам говорит об этом 17-й приказ ФСТЭК:

Особенности аттестации информационной системы на основе результатов аттестационных испытаний выделенного набора ее сегментов, а также условия и порядок распространения аттестата соответствия на другие сегменты информационной системы определяются в программе и методиках аттестационных испытаний, заключении и аттестате соответствия.

То есть мы вправе упоминать типовые сегменты только на этапе аттестации. В этом случае ваши сегменты будут типовыми по умолчанию, если выполнены условия раздела 17.3 приказа ФСТЭК №17. Но мы встречали случаи, когда типовые сегменты пытались описать уже на этапе моделирования угроз, чуть ли не указывая серийные номера оборудования таких сегментов. Проблема такого подхода в том, что если произойдет замена оборудования или что-то поменяется в технологиях обработки (например, появится среда виртуализации), то сегменты, на которые аттестат уже распространен могут стать, скажем так, нелегитимно типовыми. И в таком случае может понадобиться проводить не «дополнительные аттестационные испытания», а полностью весь комплекс испытаний проводить по новой. В общем, наш совет – не упоминать типовые сегменты в проектной документации совсем. Ведь по действующему законодательству типовым будет любой сегмент, удовлетворяющий установленным условиям.

ВАЖНО! Если вы оператор информационной системы и планируете аттестацию информационной системы с возможностью распространять аттестат на типовые сегменты, обязательно обговорите с вашим аттестующим органом, чтобы такая возможность была отражена в аттестационных документах, как этого требует 17 приказ ФСТЭК!

Такой миф звучит очень странно, учитывая, что типовые сегменты подробнее всего описаны в нормативной документации именно от ФСТЭК. Эту мысль чаще всего можно услышать от безопасников так называемой «старой школы». В общем, кроме как «это не правда» нам здесь сказать нечего. Даже наоборот – регулятор всячески продвигает такой порядок аттестации информационных систем и совсем недавно мы даже столкнулись с претензией от ФСТЭК, что огромная информационная система регионального масштаба аттестовывалась НЕ по принципу типовых сегментов. Там пришлось объяснять, что в том конкретном случае это было не оптимально. Это неправда. Прямо об этом в законодательстве не говорится, а все что не запрещено, то разрешено. Но, конечно же, определенные отличия, когда аттестованная часть и типовые сегменты собственность одной организации, и когда типовые сегменты принадлежат сторонним юридическим лицам, есть. В случаях, когда все принадлежит одной организации, эта организация может самостоятельно провести мероприятия по защите информации на типовом сегменте, назначить комиссию и распространить аттестат на типовой сегмент. В случаях, когда есть центральный оператор государственной информационной системы (например, региональный Информационно-технологический центр) и сегменты у других юридических лиц (как пример – региональная система документооборота государственных учреждений), то тут все немного сложнее. Сложность заключается в том, что по закону за защиту информации в государственных информационных системах отвечает оператор этих ГИС. Поэтому для того, чтобы очередная проверка не нагрела оператора за то, что где-то в школе за 400 км от регионального центра не выполняются мероприятия по защите информации, ему необходимо хотя бы на этапе подключения типового сегмента максимально задокументировать этот процесс. В первую очередь создается регламент подключения к информационной системе, где оператор четко и ясно описывает требования по защите информации, которые нужно выполнить на подключаемом сегменте. Сюда входит обычно назначение ответственных, утверждение внутренних документов по защите информации (особо замороченные операторы могут даже разработать и предоставлять типовой комплект), закупка, установка и настройка необходимых средств защиты информации, анализ уязвимостей и т. д. Далее, организация, желающая подключиться, выполняет все требования и оговоренным в регламенте образом подтверждает это. С другой стороны все описанные сложности это примерный план действий, который уже мы изобретали совместно с одним из таких операторов. Если оператор распределенной ГИС не боится нести ответственность за то, что не докажет факт исполнения требований по защите информации на удаленном сегменте хотя бы на этапе подключения, то он может пойти и по упрощенному пути (насколько «упрощенному» так же решать этому оператору). К сожалению, некоторые операторы так и делают, потому что искренне верят в следующий миф. Нам, как аттестующему органу, очень важно понимать границы нашей ответственности. Поскольку четко на вопрос «кто несет ответственность за распространение аттестата на несоответствующие требованиям сегменты» закон не отвечает, мы написали письмо во ФСТЭК. ФСТЭК ответил, что аттестующий орган несет ответственность только за качество непосредственно аттестационных испытаний. За корректность распространения аттестата на типовые сегменты несет ответственность организация-оператор информационной системы. Это не так. Как минимум в случаях, когда в штате оператора информационной системы есть специалисты, способные провести все, описанные выше, мероприятия. С другой стороны, мы часто сталкиваемся с тем, что нас просят помочь и с подключением типовых сегментов. Все равно в таких сегментах как минимум нужно проработать внутреннюю документацию, установить и правильно настроить средства защиты информации. Плюс, многие операторы информационных систем больше доверяют заключениям о соответствии типового сегмента, написанного сторонней организацией, чем отчету самого заявителя на подключение к системе. Но даже в этом случае типовые сегменты позволяют оператору сэкономить деньги, так как на присоединяемые элементы как минимум не нужно разрабатывать отдельную модель угроз и проектную документацию на систему защиты информации. Также нет необходимости проводить полноценные аттестационные испытания. Этот вопрос тоже явно не прописан в законодательстве. На интуитивном уровне понятно, что полное соответствия железа аттестованного и подключаемого сегмента не требуется, иначе всей этой затее грош цена. А когда нам нужно уточнить подобный вопрос, что мы делаем? Правильно – пишем письмо регулятору. ФСТЭК ожидаемо ответил, что в типовых сегментах не должны использоваться одинаковые (один производитель, одна модель и т. д.) технические решения. Для того чтобы сегмент считался соответствующим аттестованному, нужно, чтобы для него был установлен такой же класс защищенности, определены такие же угрозы безопасности информации и реализованы одинаковые проектные решения по самой системе и по системе защиты информации. Как собственно и написано в 17 приказе. Нет. В типовом сегменте должны быть актуальны такие же угрозы, как и в аттестованной части информационной системы. Соответственно – модель угроз одна на всю систему. Если в аттестованной информационной системе происходят какие-либо значительные технологические изменения, которые могут повлечь появление новых угроз безопасности информации, необходимо пересматривать общую модель угроз и, при необходимости, проводить дополнительные аттестационные испытания системы в целом. По этому вопросу мы также спросили ФСТЭК. Ответ такой — данные новых сегментов нужно вносить в технический паспорт. Но вносить ли новые данные в общий техпаспорт на систему или сделать отдельный документ для сегмента – решать оператору. На наш взгляд на типовой сегмент удобнее делать отдельный технический паспорт.

На этом все. Если у вас остались вопросы по теме – добро пожаловать в комментарии. Надеемся, что наша публикация будет полезна и облегчит жизнь операторам аттестованных информационных систем.

Источник: https://habr.com/post/452730/

Миф №95 «Аттестация информационной системы по требованиям безопасности возможна и обязательна»

Алексей Лукацкий — менеджер по развитию бизнеса Cisco Systems

Недавно, во время перелета в Ижевск, листал журнал, полученный на борту и наткнулся на статью, посвященную персональным данным, в которой были такие высказывания: «очень хочется донести до руководителей коммерческих предприятий, что работы по аттестации объектов информатизации по требованиям безопасности информации необходимо было начать еще в 2006 году, когда был подписан федеральный закон». И это классическое заблуждение, которое до сих пор встречается в регионах, а иногда и навязывается отдельными сотрудниками регуляторов. Насколько это верно? Так ли обязательна аттестация информационных систем? И, вообще, возможна ли она в принципе?

Начнем с определения.

Под аттестацией объекта информатизации по требованиям безопасности информации понимается комплекс организационно-технических мероприятий, в результате которых посредством специального документа — «Аттестата соответствия» подтверждается, что объект соответствует требованиям стандартов или иных нормативных документов по защите информации, утвержденных ФСТЭК России. Единственным документом, который описывает данный процесс, является Положение «По аттестации объектов информатизации по требованиям безопасности информации», утвержденное еще 25 ноября 1994 года Председателем Гостехкомиссии (бывшее название ФСТЭК).

Сначала развенчаем последнюю часть мифа об обязательности аттестации. Действительно, в первой версии документов ФСТЭК по защите персональных данных была фраза об обязательности аттестации ИСПДн 1-го и 2-го классов, а также распределенных ИСПДн 3-го класса.

Однако, документы ФСТЭК, выпущенные в феврале 2008 года, уже не действуют – они были отменены решением коллегии ФСТЭК в марте года нынешнего, 2010-го. В единственном действующем ныне нормативно-правовом акте по защите персональных данных (а это приказ ФСТЭК №58) требования по аттестации нет.

Дополнительно надо заметить, что согласно уже упомянутому положению по аттестации «обязательной аттестации подлежат объекты информатизации, предназначенные для обработки информации, составляющей государственную тайну, управления экологически опасными объектами, ведения секретных переговоров».

Сама ФСТЭК четко и ясно в своих нормативных документах отвечает на вопрос об обязательности аттестации информационных систем коммерческих предприятий.

Теперь вспомним вторую часть мифа и посмотрим, насколько вообще возможна аттестация современной информационной системы. Начну с того, что аттестации подлежит не просто набор программных и аппартных средств, обрабатывающих информацию.

Аттестуется объект информатизации, который согласно ГОСТ Р 51275-2006 определяется как «совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, средств обеспечения объекта информатизации, помещений или объектов (зданий, сооружений, технических средств), в которых они установлены, или помещения и объекты, предназначенные для ведения конфиденциальных переговоров». Иными словами, выполнение требований по безопасности проверяется не только для конкретной информационной системе, но и для помещениях, в которых данная ИС функционирует.

Все бы ничего и оценка соответствия в форме аттестации не вызывала бы таких горячих споров, если бы не следующий пункт положения ФСТЭК по аттестации: «Аттестат соответствия выдается владельцу аттестованного объекта информатизации органом по аттестации на период, в течение которого обеспечивается неизменность условий функционирования объекта информатизации». Можно ли в современных условиях обеспечить неизменность объекта информатизации?

Неизменность означает, что вы не можете отклоняться от исходных данных, указанных в паспорте на аттестуемый объект информатизации.

Вы не можете установить новое ПО на информационную систему; вы не можете обновить ПО с целью устранения уязвимостей; вы не можете поменять вышедшую из строя аппаратную деталь; вы не можете изменять настройки ПО… Возможно ли выполнение этого условия в современной сети? Разумеется нет.

В давние давние времена, когда компьютеры были роскошью, аттестация применялась к объектам, обрабатывающим гостайну. Такие объекты не менялись годами и, соответственно не требовали переаттестации.

Сегодня, когда число компонентов современных ИС исчисляется десятками, не проходит дня, чтобы ИТ-департамент не получал новые патчи и обновления, устраняющие обнаруженные баги и уязвимости.

Готовы ли вы каждые полгода (чаще не согласится орган по аттестации) переаттестовывать свою систему, затрачивая на это немалые деньги (стоимость переаттестации может достигать 30-50% от первоначальной цены, которая примерно равна 20-30 тысячам рублей на один компьютер)? В итоге вы приходите к парадоксу.

Или обладать действующим аттестатом и не иметь возможности обновлять информационную систему, оставляя ее в уязвимом состоянии. Или поднять уровень защищенности ИС, потеряв при этом аттестат. Большинство коммерческих организаций выберет второй вариант. Тогда зачем вообще нужна аттестация в том виде, в котором она принята в России?

А ведь я даже не заводил разговора о том, что аттестовать объекты, использующие беспроводные технологии, смартфоны, или иные мобильные устройства вообще невозможно, т.к.

это противоречит заложенной регуляторами парадигме о контролируемой зоне. Представьте себе точку продажи банковского продукта, вынесенную в торговый центр.

Ни о какой контролируемой зоне в такой ситуации и речи быть не может, а следовательно аттестовать такой объект не представляется возможным в принципе.

Значит ли это, что аттестация никому не нужна? Разумеется нет. Для госорганов и предприятий, обрабатывающих гостайну это единственная процедура оценки соответствия нормативным требованиям.

Коммерческому предприятию тоже такая оценка нужна. Только содержание ее должно быть иной. Например, в виде внешнего аудита или проведения самооценки по стандартам Банка России (СТО БР ИББС-1.

2 или РС БР ИББС-2.1).

Источник: https://bankir.ru/publikacii/20101209/mif-no95-attestatsiya-informatsionnoi-sistemy-po-trebovaniyam-bezopasnosti-vozmozhna-i-obyazatelna-8289119/

Аттестат информационной системы: срок действия и его досрочное прекращение

Аттестация информационных систем — это комплекс организационно-технических мероприятий, в результате которых подтверждается соответствие информационной системы требованиям стандартов или иных нормативно-технических документов по безопасности информации. Подтверждением такого соответствия является специальный документ –аттестат соответствия.

Обязательной аттестации подлежат следующие информационные системы:

• информационные системы, в которых обрабатывается информация, составляющая государственную тайну, или информация об управлении экологически опасными объектами («Положение по аттестации объектов информатизации по требованиям безопасности информации», утв. председателем Гостехкомиссии 25.11.1994 г.);
• информационные системы, отнесенные к муниципальным или государственным (приказ ФСТЭК РФ от 11.02.2013 г. № 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»).

• В остальных случаях аттестация носит добровольный характер (добровольная аттестация) и может осуществляться по инициативе владельца информационной системы.
• Иными словами, если в вашей организации есть информационная система, в которой ведется обработка персональных данных, то аттестация такой информационной системы является добровольной, но если эта информационная система является государственной, то аттестация обязательна.
• Аттестацию на соответствие требованиям по защите информации могут проводить организации, имеющие лицензию на деятельность по технической защите конфиденциальной информации, выданную ФСТЭК России.

Контур-Безопасность проводит аттестационные испытания и выдает аттестаты соответствия требованиям по безопасности информации

Узнать больше

1. Контур-Безопасность проводит аттестационные испытания и выдает аттестаты соответствия требованиям по безопасности информации
2. Аттестат соответствия выдается на период, в течение которого должна быть обеспечена неизменность условий функционирования информационной системы и технологии обработки защищаемой информации, но не более чем на 3 года.
3. Владелец аттестованной информационной системы несет ответственность за неизменность установленных условий функционирования информационной системы, технологии обработки защищаемой информации и требований по безопасности информации.

Эксплуатация аттестованной информационной системы

Эксплуатация аттестованной информационной системы должна осуществляться в соответствии с эксплуатационной документацией и организационно-распорядительными документами. Владелец обязан:

• поддерживать правила разграничения доступа в информационную систему;
• поддерживать работоспособность средств защиты информации в информационной системе в соответствии с эксплуатационной документацией;
• информировать пользователей информационной системы о правилах эксплуатации средств защиты информации, а при необходимости обучать их работе со средствами защиты информации;
• выявлять, регистрировать и реагировать на события в информационной системе, связанные с защитой информации;
• поддерживать конфигурацию информационной системы и ее систему защиты информации (структуру системы защиты информации информационной системы, состава, мест установки и параметров настройки средств защиты информации, программного обеспечения и технических средств) в соответствии с эксплуатационной документацией на систему защиты информации;
• ежегодно проводить контроль соблюдения неизменности условий и технологии обработки защищаемой информации в информационной системе.

В случае изменения условий и технологии обработки защищаемой информации владелец аттестованной информационной системы обязан известить об этом организацию, проводившую работы по аттестации информационной системы, которая в свою очередь принимает решение о необходимости проведения дополнительной проверки эффективности системы защиты объекта информатизации.

Перечень характеристик, об изменениях которых требуется обязательно извещать организацию, проводившую работы по аттестации информационной системы:

1. Состав и условия размещения технических средств и систем.

Например, сотрудник работал на рабочей станции из состава аттестованной информационной системы в кабинете А, но через полгода ему потребовалось переехать вместе с рабочей станцией в кабинет Б.

Требуется известить организацию, проводившую работы по аттестации информационной системы, которая проанализирует планируемые изменения и примет решение о внесении изменений и необходимости проведения дополнительных аттестационных испытаний в рамках действующего аттестата или о проведении повторной аттестации информационной системы.

1. Состав программного обеспечения обработки защищаемой информации и условия ее обработки.

Например, для обработки защищаемой информации использовалось программное обеспечение 1С: Предприятие 8.2 с «толстыми» клиентами, установленными на рабочих местах пользователей, но организация решила сменить платформу на версию 1С: Предприятие 8.3 и отказаться от «толстых» клиентов в пользу «тонких».

В данном случае также необходимо известить организацию, проводившую работы по аттестации информационной системы, так как со сменой платформы 1С: Предприятие и переходом на «тонкий» клиент изменилась технология обработки защищаемой информации (при «толстом» клиенте большая часть информации обрабатывалась на рабочей станции пользователя, а при «тонком» вся обработка выполняется на сервере).

1. Состав продукции, используемой в целях защиты информации, параметры установки и настройки.

Например, использовался сертифицированный антивирус Kaspersky, но лицензия на него закончилась, и было решено заменить его на Avira. В этом примере замена антивируса приведет к использованию несертифицированного антивируса, а следовательно, к появлению новых актуальных угроз безопасности информации.

Выводы:

При должной эксплуатации аттестованной информационной системы можно оградить себя от ситуации приостановки или отмены действия «Аттестата соответствия».

Кроме того, соблюдая правила эксплуатации, можно существенно сократить расходы на переаттестацию по окончании действия аттестата, так как информационная система будет соответствовать требованиям стандартов или иных нормативно-технических документов по безопасности информации.

Специалисты «Контур-Безопасность» готовы: 

• подготовить документы
• провести аттестационные испытания
• проконсультировать по сложным вопросам

Узнать больше

Если вы не знаете, что именно нужно в вашем случае — переаттестация или внесение изменений в текущую документацию, описывайте ситуацию в х, мы постараемся разобрать ее онлайн или в следующей статье.

Максим Малкиев, эксперт по защите информационных систем персональных данных компании «СКБ Контур», проект «Контур-Безопасность» 

Источник: https://kontur.ru/articles/1974

Сертификация систем защиты персональных данных, сертификация СЗИ, аттестация и сертификат соответствия ФСТЭК

Вопрос сертификации защиты персональных данных на уровне ФСТЭК и ФСБ РФ не имеет однозначного решения: контролирующие органы ориентируются во многом на собственное видение безопасности.

В целом, систему защиты информации (СЗИ) представляют как совокупность организационных мер и программно-технических средств.

Целью СЗИ является предотвращение или серьезное затруднение несанкционированного доступа.

Обеспечение сохранности данных для различных предприятий зависят от масштабов работы, финансовых и производственных возможностей, а также от количества сведений, нуждающихся в охране. Определение рисков и мер защиты должно базироваться на принципах достаточности и разумности.

Сертификация на соответствие защиты персональных данных представляет собой совокупность действий, нацеленных на подтверждение основных и дополнительных параметров услуг, систем или продуктов требованиям выработанных актов и стандартов.

Учитывая то, что безопасность относится к разряду социализированных областей, завязана на человеческий фактор и информационные технологии, она не может быть всеобъемлющей.

Утечка или утрата персональных данных автоматически признается виной оператора связи.

Департамент защиты персональных данных системы сертификации Росконтроля проводит мониторинг всех российских организаций, независимо от формы собственности, являющихся операторами связи, предъявляя к ним ряд требований по организации адекватной защиты.

Сертификация средств защиты персональных данных по 152-ФЗ

Российские требования предусматривают необходимость проверки встроенных в программные продукты средств защиты информации, организацию различных технических и организационно-распорядительных мероприятий по обеспечению безопасности. Федеральный закон дает определение, какая информация попадает под определение персональных данных, назначает ответственных по их защите, проведению классификации.

Все юридические лица и индивидуальные предприниматели, обрабатывающие персональные данные в процессе деятельности, обязаны пройти сертификацию по 152-ФЗ по трем этапам:

1. Подготовить уникальный портфель документов, включающий акты, приказы, инструкции и т.д.
2. Опубликовать документ – политику, с описанием способов работы с персональных данных.
3. Подать уведомление в Роскомнадзор.

Все программное обеспечение, осуществляющее защиту ПД, обязательно к согласованию и сертификации на уровнях главных регуляторов – Федеральной службы безопасности и Федеральной службы по техническому и экспортному контролю.

Порядок работ по методике, утвержденной ФСТЭК, выглядит так:

1. Проводится обследование информационной системы персональных данных (ИСПДн).
2. Проектируется система защиты.
3. Внедряется система, защищающая информацию.
4. Оценивается эффективность всех предпринятых шагов, по результатам которых принимается решение о соответствии.

Стоимость сертификации в соответствии с 152-ФЗ складывается из:

1. Наличия подключения к сети Интернет.
2. Количества компьютеров.
3. Наличия сервера или общей сети.
4. Техподдержки.
5. Юридического сопровождения.

Работы по сертификации выделяются в отдельный проект с отдельным бюджетом. Необходимая «золотая середина» средств защиты рассчитывается после предпроектного обследования и написания техпроекта. Для клиентов существуют готовые типовые решения, оптимизированные под разного рода потребности, и не требующие значительных финансовых затрат.

Сертификат соответствия ФСТЭК

Система сертификации персональных данных ФСТЭК России отвечает за некриптографическую защиту информации, препятствуя несанкционированному доступу к ней или «слитию» ее по техническим каналам связи.

Служба организует сертификацию и контролирует «верхний уровень». Все остальные работы ложатся на лицензиаров в лице лабораторий-испытателей ПО и экспертных организаций.

Клиент самостоятельно выбирает лабораторию, а ФСТЭК создает экспертную комиссию.

Процесс сертификации программ обработки персональных данных ФСТЭК осуществляется сходных образом, с привлечением института заявителей.

В среднем время аттестации ИСПДн занимает от полугода или больше, все зависит от ее уровня и категорийности – чем выше степень, тем больше требований к безопасности предъявляется.

Сертификация программных продуктов в соответствии с законом «О персональных данных» ставит своей целью контроль над информацией, обеспечивающей национальную безопасность. Поэтому все программное обеспечение, поставляемое на рынок и используемое в построении ключевых зон информационной структуры, должно соответствовать жестким требованиям.

Уже готовые сертификаты для работы с персональными данными имеют семейство операционных систем Linux, сетевое оборудование от IT-корпорации Cisco, реляционная СУБД Sybase ASE, продукция 1С.

Аттестация систем персональных данных

Проведение аттестации информационных систем персональных данных – дорогое удовольствие, поэтому часть операторов ПДн старается всеми силами избежать этой процедуры.

Она является обязательной для государственных ИСПДн, накладывая на операторов ряд обязательств. Для негосударственных предприятий аттестат требуется в случае подтверждения должного уровня защиты, поэтому процедура может проходит в добровольном порядке.

Соответствующая документация получается в территориальном отделении ФСТЭКа.

Процедура производится лицензированными на проведение технической защиты организациями. Аттестационная комиссия состоит из специалистов информационной безопасности и экспертов.

В ее задачу входит проведение оценки соответствия всех мер, технических и организационных, с последующими испытаниями всех программных и технических средств, направленных на защиту ПДн. По результатам оценки выдается либо аттестат, либо предписание с перечнем обязательных к устранению недостатков.

В целях экономии времени и средств, подготовку к аттестации лучше доверить имеющим опыт аналогичной работы организациям.

Аттестация многоэтапна и требует строжайшего документирования, при этом ее методология одинакова как для компьютера, так и для рабочих места по защите персональных данных. Зато по факту получается полноценная система защиты информации. Следование алгоритму сертификации, все операторы ПДн принимают участие в выработке максимальной защиты ИС.

После введения системы защиты в эксплуатацию, не стоит забывать об изменчивости технологий. Спустя некоторое время могут возникнуть новые угрозы и риски, поэтому для поддержания работоспособности и защищенности информации рекомендуется устраивать аудит информационной безопасности ежегодно.

Источник: https://integrus.ru/blog/it-decisions/sertifikatsiya-sistem-zashhity-personalnyh-dannyh.html

СОИБ. Анализ. Аттестация и проверка СЗИ

Сразу хочу отметить, что не являюсь сторонником аттестации ИС, не относящихся к гостайне, ведь те же самые работы можно выполнить под флагом аудита или оценки соответствия, с лучшим КПД. Но иногда Заказчики просят аттестацию, так что случается участвовать.

Ликбез из ГОСТ РО 0043-003-2012

“Аттестация объектов информатизации: комплекс организационных и технических мероприятий, в результате которых подтверждается соответствие системы защиты информации объекта информатизации требованиям безопасности информации.

Обязательная аттестация проводится только в случаях, установленных федеральными законами, нпа Президента РФ, Правительства РФ, уполномоченных федеральных органов исполнительной власти и исключительно на соответствие системы защиты информации объекта информатизации требованиям безопасности информации, установленными  федеральными законами, нпа Президента РФ, Правительства РФ, уполномоченных федеральных органов исполнительной властиДобровольная аттестация может осуществляться для установления соответствие системы защиты информации объекта информатизации требованиям безопасности информации, установленным национальными стандартами и владельцем информации или владельцем объекта информатизации”.

• Давайте посмотрим что может привести владельца ИС, не относящейся к гостайне, на эту темную сторону. Аттестация по требованиям ИБ обязательна для обеспечения ИБ в (возможно приведены не все варианты, дополняйте):
• ·        ГИС
• Приказ ФСТЭК №17: “13. Для обеспечения защиты информации, содержащейся в информационной системе, проводятся следующие мероприятия:
• аттестация информационной системы по требованиям защиты информации (далее – аттестация информационной системы) и ввод ее в действие;”

Информационное сообщение ФСТЭК N 240/22/2637: “В части государственных информационных систем, в которых обрабатываются персональные данные, оценка эффективности принимаемых мер по обеспечению безопасности персональных данных проводится в рамках обязательной аттестации государственной информационной системы по требованиям защиты информации в соответствии с Требованиями, утвержденными приказом ФСТЭК России от 11 февраля 2013 г. N 17, национальными стандартами ГОСТ РО 0043-003-2012 и ГОСТ РО 0043-004-2013 «Защита информации. Аттестация объектов информатизации. Программа и методики аттестационных испытаний».”

·        Государственные информационные ресурсы

СТР-К “На стадии ввода в действие объекта информатизации и СЗИ осуществляются: …

1. • аттестация объекта информатизации по требованиям безопасности информации.”
2. ·        ИС, участвующие в лицензируемой деятельности по СКЗИ
3. ПП № 313: “7. Для получения лицензии соискатель лицензии представляет (направляет) в лицензирующий орган заявление о предоставлении лицензии и документы (копии документов), указанные в пунктах 1, 3 и 4 части 3 статьи 13 Федерального закона «О лицензировании отдельных видов деятельности», а также следующие копии документов и сведения:
4. и) сведения о документе, подтверждающем наличие условий для соблюдения конфиденциальности информации, необходимых для выполнения работ и оказания услуг, определенных настоящим Положением, в соответствии с требованиями о соблюдении конфиденциальности информации, установленными Федеральным законом «Об информации, информационных технологиях и о защите информации»;”
5. ·        ИС, участвующие в лицензируемой деятельности по ТЗКИ
6. ПП №79: “5. Лицензионными требованиями, предъявляемыми к соискателю лицензии на осуществление деятельности по технической защите конфиденциальной информации (далее — лицензия), являются:
7. д) наличие автоматизированных систем, предназначенных для обработки конфиденциальной информации, а также средств защиты такой информации, прошедших процедуру оценки соответствия (аттестованных и (или) сертифицированных по требованиям безопасности информации) в соответствии с законодательством Российской Федерации;”
8. Аттестация по требованиям ИБ может проводится добровольно по решению владельца ИС:
9. ·        АСУ

Приказ ФСТЭК №31: “По решению заказчика подтверждение соответствия системы защиты автоматизированной системы управления техническому заданию на создание (модернизацию) автоматизированной системы управления и (или) техническому заданию (частному техническому заданию) на создание системы защиты автоматизированной системы управления, а также настоящим Требованиям может проводиться в форме аттестации автоматизированной системы управления на соответствие требованиям по защите информации. В этом случае для проведения аттестации применяются национальные стандарты, а также методические документы ФСТЭК России.”

·        ИСПДн

Приказ ФСТЭК №21: “6.

Оценка эффективности реализованных в рамках системы защиты персональных данных мер по обеспечению безопасности персональных данных проводится оператором самостоятельно или с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации. Указанная оценка проводится не реже одного раза в 3 года.”

Информационное сообщение ФСТЭК N 240/22/2637:  “Оценка эффективности реализованных мер может быть проведена в рамках работ по аттестации информационной системы персональных данных в соответствии с национальным стандартом ГОСТ РО 0043-003-2012 «Защита информации. Аттестация объектов информатизации. Общие положения».”

·        ИС общего пользования

Приказ ФСТЭК №489: “17.1. В информационных системах общего пользования I класса:

введение в эксплуатацию только после направления оператором информационной системы общего пользования в ФСБ России уведомления о готовности ввода информационной системы общего пользования в эксплуатацию и ее соответствии настоящим Требованиям.

17.2. В информационных системах общего пользования II класса:

• введение в эксплуатацию только после направления оператором информационной системы общего пользования в ФСТЭК России уведомления о готовности ввода информационной системы общего пользования в эксплуатацию и ее соответствии настоящим Требованиям.”
• ·        Аккредитованные УЦ
• Приказ Минкомсвязи №320 “8. Дополнительно УЦ, претендующий на получение аккредитации, может представить документы, подтверждающие:
• соответствие требованиям по безопасности информации на объекте информатизации или копия заключения о соответствии требованиям по безопасности информации, выданных ФСТЭК России и ФСБ России в пределах их полномочий.”
• ·        Хостинги, дата-центры, торговые площадки, облачные сервис провайдеры, сервис провайдеры, интернет-магазины и другие ИС.

Почему-то так сложилось среди компаний которые оказывают безопасные сервисы и которым нужно какое-то подтверждение своим клиентам рассматривают  либо аттестацию на  соответствие требованиям безопасности информации в системе ФСТЭК либо сертификацию по ISO 27001. Все остальные формы (аудит, оценка соответствия в свободной форме) в серьез не рассматриваются.

1. В целом по аттестации много вопросов и проблем, но для этой статьи я выделил следующую: в нормодоках не определено какие проверки в отношении технических мер / средств защиты информации должны проводится.

Теперь подробнее:

Чаще всего Заявителю аттестации нужно только получить аттестат, желательно за минимальное время и стоимость (идеальный вариант – 1 рубль, 1 час). Какие именно проверки будут выполняться его не интересует.

1. Кто же будет определять, какие проверки будут выполняться? Посмотрим что-нибудь по этому поводу в последних ГОСТ-ах ГОСТ РО 0043-003-2012 и ГОСТ РО 0043-004-2013:
2. Порядок проведения аттестации включает следующие мероприятия:
3. ·        Подачу заявки
4. ·        Предварительное обследование
5. ·        Разработку программы и методики аттестационных испытаний
6. ·        Проведение испытаний
7. ·        Выдача аттестата
8. Программу и методику аттестационных испытаний разрабатывает Лицензиат, который определяет перечень работ, методики испытаний (с использованием нормодоков ФСТЭК) и согласовывает программу с Заявителем.

Как я отметил выше – Заявителю всё равно какие проверки и методики.

И тут мы получаем что у разных Лицензиатом могут существенно отличаться объем проверок  у одного 3 проверки продолжительностью 5 минут, у другого 30 проверок по часу каждая.

При этом речь не идет про некачественную работу, предполагаем что работы проводятся в полном соответствии законодательству РФ, просто имеет место разное экспертное мнение.  

• Например, я бы рассмотрел следующие проверки в отношении СЗИ и выбрал необходимые из них:
• ·        проверка наличия прав на СЗИ (договора)
• ·        проверка наличия техподдержки на СЗИ (договора)
• ·        проверка наличия сертификата на СЗИ (документы по сертификации)
• ·        проверка наличия акта установки и настройки СЗИ (акт)
• ·        проверка наличия установленного СЗИ на каждом техническом средстве (горит зеленая лампочка)
• ·        соответствие настроек СЗИ требованиям ТЗ
• ·        соответствие настроек СЗИ требованиям Технического проекта
• ·        соответствие настроек СЗИ требованиям безопасности информации (исходным из законодательства)
• ·        работоспособность всех требуемых функций СЗИ
• ·        надежность всех требуемых функций СЗИ
• ·        отсутствие закладок или уязвимостей в СЗИ
• ·        соответствие контрольных сумм файлов СЗИ, тем которые указаны в формуляре
• ·        пентест ИС в условиях работы СЗИ

При этом кроме выбора самих проверок интересует ещё выбор объекта проверок: надо проверять СЗИ на каждом АРМ? Надо проверять каждое сетевое СЗИ из кластера?

Посмотрим, какие обязательные требования включает ГОСТ РО 0043-004-2013 в части проверки технических мер / СЗИ:  только одно существенно требование — проведение испытаний АС на соответствие требованиям по защите информации от НСД. Каждый Лицензиат под этим понимает что-то свое.

Есть мнение что правильная методика испытаний привидится в приложении Д к ГОСТ РО 0043-004-2013 и всем Лицензиатам надо на её ориентироваться.

Практика показала, что бывают ситуации, когда СЗИ, настроенные в соответствии с рекомендациями производителя, например к классу 1Г, не могут пройти проверку  в соответствии с данной методикой, в которой выбраны только проверки, соответствующие классу 1Г.

Получается что пример методики из приложении Д к ГОСТ РО 0043-004-2013 приходится так  корректировать,  что лучше уж написать с нуля только те проверки, которые нужны.

2. Ещё одна проблема обязательной аттестации заключается как раз в свободе выбора мер защиты и СЗИ, которая обсуждалась недавно в блогах: тут и тут . При обязательной аттестации проверяется соответствие только требованиям законодательства. Соответствие внутренним документам – МУ, ТЗ, техническому проекту – проверяться не должно.

Приходит, например, лицензиат на аттестационные испытания, а у заявителя из СЗИ стоит только антивирус. Заявитель говорит что он выбирал, выбирал меры да и выбрал – получился только антивирус. Лицензиат хватается за “требования безопасности информации” (приказ 17) там написано, что меры могут быть такие-то, но выбирает заказчик.

Должен ли лицензиат проверить его выбор? Имеет ли он право оценивать выбор оператора? Что будет достаточным обоснованием для выбора/исключения мер?  На эти вопросы в нормативных документах нет ответа.

Опять отдаемся на откуп экспертному мнению Лицензиата. Но это сначала экспертное мнение. А допустим, отказал Лицензиат в выдаче Аттестата. Заявитель подает в суд. Тут уж лицензиату придется аргументировать свои решения.

Нет аргемента – выдавай аттестат.

Источник: https://www.securitylab.ru/blog/personal/sborisov/105932.php