Страницы

ДСПшный ГОСТ 0043-003-2012 по аттестации объектов информатизации

И всё-таки с документами у нас беда.
Почти 2 года назад вышли поправки в 152-ФЗ, меняющие подход к защите информационных систем персональных данных и требования к системам защиты. Спустя полтора года вышло соответствующее Постановление Правительства. Спустя еще 3 месяца вышли документы ФСТЭК, определяющие правила игры всей отрасли ИБ на ближайшие пару лет. Уже 4 месяц эти документы лежат в Минюсте и неизвестно сколько им ещё там лежать... 

Получается классическая для нашей страны ситуация - закон есть, контролер есть, штрафы есть, а требований уже почти 2 года как нет, и когда будут - никто не знает.


ГОСТ РО 0043-003-2012 "Аттестация объектов информатизации. Общие положения" был введен в действие приказом Росстандарта 17 апреля 2012 года, но мне достать его удалось только через год и сразу переиздание за март 2013 года. До апреля этого года достать ГОСТ было сложнее чем японский видеомагнитофон во времена СССР. 
ГОСТ ДСП. Чтобы его получить небходимо представить в ФГУП "СТАНДАРТИНФОРМ" или РОСОБОРОНСТАНДАРТ нотариально заверенные копии лицензий ФСТЭК и/или ФСБ на деятельность по ЗИ. Распростронять его нельзя, цитировать нельзя, ссылаться тоже нельзя.

Ну вот... теперь и весь мой блог - ДСП =(

Для чего нужна такая секретность абсолютно непонятно, ибо в документе практически ничего нет. Сам документ состоит из 18 страниц, из которых если отбросить воду и приложения, останется всего.... 5.
Оставшиеся 5 страниц - это, фактически, укороченная нарезка из Положения по аттестации объектов информатизации Гостехкомиссии 1994 года. Собственно существенных изменений я нашел только 2:
  • наконец-таки теперь официально закреплена разница между просто лицензиатом ФСТЭК и  аккредитованным органом по аттестации - первый может аттестовать ИС, обрабатывающие конфиденциальную информацию; второй может аттестовать так же ИС, обрабатывающие гостайну;
  • для негостайны можно аттестовать "типовой АРМ" и распростронить действие аттестата на всю информационную систему при условии, что состав средств защиты и их настройки не изменятся. Эта норма есть и в проекте нового СТРК, который пылится сейчас в Минюсте.

Вообщем, тема аттестации в очередной раз не раскрыта, требования к аттестационным документам фактически отсутствуют, шаблонов документов нет. Все это ведёт к тому, что разные компании понимают под аттестацией разные вещи: одни придираются к каждой галочке в настройках ПО и СЗИ, ищут вирусы и уязвимости, проверяют наличие патчей, устраивают персоналу ликбез по ИБ, а другие меряют ПЭМИН, запускают Терьер, ФИКС и Ревизор и выдают аттестат с протоколом испытаний на двух страничках.

В целом, документы ГНИИИ ПТЗИ сильно уступают по качеству тем же докам ИПК ТЭК по безопасности объектов ТЭК, что удручает, т.к. сфера ответственности ФСТЭК ничуть не меньше чем у Минэнерго.

19 комментариев:

  1. Вроде из нового:
    . Уполномоченные ФОИВ могут запрашивать результаты аттестационных испытаний
    . Так же органы по аттестации ежеквартально информаируют Уполномоченные ФОИВ об аттестованных объектах. (Т.е. уже не получится выдать аттестаты задним числом!)

    . Расширились методы проверок:
    a. проверка соответствия примененных параметров настройки СЗИ требованиям БИ.
    b. проверка программной совместимости и корректности функционирования всего комплекса используемых СВТ со средствами защиты

    . Появилось приложение к аттестату соответствия с полным перечнем технических средств, средств защиты, программных средств

    ОтветитьУдалить
    Ответы
    1. Ежеквартальное информирование было и раньше;
      Изменения в методах проверок несерьезные. За 9 лет тут можно было и что-то поумнее придумать.

      В приложении к аттестату тоже ничего нового. Все эти сведения были в аттестационных документах.

      Удалить
    2. Правильно ли я понимаю, что ежеквартальное информирование является обязанностью только для аккредитованного органа по аттестации. Просто лицензиат ФСТЭК, информированием может не заниматься - все верно?

      Удалить
    3. Верно. Только вот порядки и обычаи лучше уточнять в Вашем региональном отделении соответствующей службы. Кто-то вообще отчетов никаких не требует.

      Удалить
  2. Мне вот интересно - если ФСТЭК выложит "рекомендации" с формами документов по аттестации, не превратятся ли они сразу же в "обязательные"

    ОтветитьУдалить
    Ответы
    1. Дык обязательные и нужны чтобы отсечь халтурщиков и профанаторов.

      Удалить
    2. только формы отчетных документов ещё ничего не гарантируют

      ещё же есть вероятность что кто-то пойдет по пути генерации качественных отчетов, а не по пути качественного анализа.

      Удалить
  3. а выложите скан стандарта пожалуйста

    ОтветитьУдалить
    Ответы
    1. Он, к сожалению, с грифом ДСП. Эти документы нельзя сканировать и уж тем более выкладывать в общий доступ.

      Удалить
  4. Добрый день! Прошу помочь разобраться в следующих вопросах:
    1) Правильно ли я понимаю что для аттестации объектов информатизации в которых обрабатываются персональные данные либо конфиденциальная информация (в соответствии с Указом Президента РФ от 06.03.1997 N 188 (ред. от 23.09.2005) "Об утверждении Перечня сведений конфиденциального характера" (06 марта 1997 г.) необходимо руководствоваться либо СТР-К (с классификацией 1Г, 1Д и т.п.) либо ГОСТ РО 0043-003-2012 и 0043-004-2013 по выбору органа по аттестации, - для не государственных информационных систем, а для аттестации объектов информатизации в государственных информационных систем необходимо руководствоваться только ГОСТ РО 0043-003-2012 и 0043-004-2013 (и для персональных данных и для конфиденциальной информации).
    2) При проведении работ по аттестации не государственного удостоверяющего центра, орган по аттестации может самостоятельно принимать решение, чем руководствоваться либо СТР-К (с классификацией 1Г, 1Д и т.п.) либо ГОСТ РО 0043-003-2012 и 0043-004-2013?

    ОтветитьУдалить
    Ответы
    1. 1. Нельзя сравнивать СТР-К и ГОСТы. Это документы разного уровня. Соответственно, их применение никак не зависит друг от друга.
      2. При аттестации УЦ необходимо использовать и СТР-К и ГОСТы. Вся "конфиденциальная" ветка аттестуется на соответствие РД "Классификация АС". "ПДн" и "ГИС" аттестуются уже по своим отдельным приказам (для них СТР-К имеет статус рекомендательного документа).

      Удалить
    2. Формы аттестата соответствия в СТР-К и ГОСТ РО 0043-003-2012 отличаются. Какую из них использовать?

      Удалить
    3. ГОСТ - стандарт, СТРК - рекомендации. Решайте сами :)

      Удалить
  5. Добрый день! Прошу помочь разобраться в следующих вопросах:
    1) Правильно ли я понимаю что для аттестации объектов информатизации в которых обрабатываются персональные данные либо конфиденциальная информация (в соответствии с Указом Президента РФ от 06.03.1997 N 188 (ред. от 23.09.2005) "Об утверждении Перечня сведений конфиденциального характера" (06 марта 1997 г.) необходимо руководствоваться либо СТР-К (с классификацией 1Г, 1Д и т.п.) либо ГОСТ РО 0043-003-2012 и 0043-004-2013 по выбору органа по аттестации, - для не государственных информационных систем, а для аттестации объектов информатизации в государственных информационных систем необходимо руководствоваться только ГОСТ РО 0043-003-2012 и 0043-004-2013 (и для персональных данных и для конфиденциальной информации).
    2) При проведении работ по аттестации не государственного удостоверяющего центра, орган по аттестации может самостоятельно принимать решение, чем руководствоваться либо СТР-К (с классификацией 1Г, 1Д и т.п.) либо ГОСТ РО 0043-003-2012 и 0043-004-2013?

    ОтветитьУдалить
  6. Добрый день! Прошу разъяснить нужен ли обязательный ежегодный объектовый контроль, если обрабатывается на СВЧ незначительное количество документов.
    Заранее спасибо!

    ОтветитьУдалить
    Ответы
    1. Формально нужен. Частенько забивают.

      Обычно проводят если нужно поменять что-то в аттестационных доках.

      Удалить
  7. В каких документах указано про периодичность ежегодного объектового контроля, и его необходимость?

    ОтветитьУдалить
  8. Нет никакого ежегодного объектового контроля, это все коммерческие уловки. Аттестация должна проводиться каждые 3 года, никаких промежуточных испытаний.

    ОтветитьУдалить
  9. Да что Вы говорите?))) Коммерческие уловки.. Ага, конечно) Это при добровольной аттестации владелец сам определяет необходимость и периодичность ежегодного контроля. А если аттестация обязательна (как например одно из требований под лицензию ФСТЭК) - то в помощь Вам как раз таки ГОСТ РО 0043-003-2012 пункт 8.3. Всё остальное - Ваши выдумалки. И только не говорите, что ГОСТ - это необязательная тема - это будете ФСТЭК объяснять, если ваша организация лицензиат..

    ОтветитьУдалить