Страницы

ГОСТ РО 0043-004-2013. Программа и методики аттестационных испытаний.


Сегодня мы будем препарировать очередной закрытый ГОСТ, раскрывающий самую сакральную процедуру в мире отечественной информационной безопасности - аттестацию.
Давайте вначале разберемся, что вообще в нашей стране можно аттестовать по требованиям ИБ:
  1. аттестуют у нас выделенные помещения (ВП), в которых обсуждается государственная тайна;
  2. аттестуют защищаемые помещения - помещения, в которых обрабатывается речевая конфиденциальная информация;
  3. аттестуют автоматизированные системы. Аттестовать такие системы могут по старой классификации (1В, 1Г, 2А...), могут по требованиям к защите персональных данных (УЗ1- УЗ4), могут по требованиям к защите ГИС (К1-К4). Аттестация обязательна для государственных организаций и желательна для коммерческих;
  4. еще аттестуют копиры и системы аудио(видео) трансляции, но это редкость.

Все это вместе называют объектами информатизации (ОИ) и ГОСТ рассказывает про процедуру аттестации применительно к каждому из них. 

Проводить аттестацию могут только те организации, которые имеют лицензию ФСТЭК по ТЗКИ и/или аккредитованны в качестве органа по аттестации (для гостайны). Поэтому стандарт рассчитан в большей степени на лицензиатов

Начинается стандарт с того, что дает простое и понятное объяснение того, чем же все-таки отличаются автоматизированные системы от информационных:

Далее документ устанавливает требования к программе и методикам проведения аттестационных испытаний. 20 из 30 страниц стандарта посвящено шаблонам ПиМ для разных ОИ. Классно!

Введение жестких требований к составу и содержанию аттестационных испытаний поможет выявить тех халявщиков, которые любят устраивать из аттестации профанацию. Главное только вовремя остановиться и не перегнуть палку...

В документе присутствует так же замечательный кроссворд!
По счастливой случайности большую часть полей можно заполнить продукцией одной фирмы, которая по невероятному совпадению является одним из авторов стандарта. 

Остановимся теперь подробней на методике аттестации автоматизированных систем.

Нельзя не похвалить разработчиков за детальное описание всей процедуры аттестации, которое раньше передавалось из уст в уста от преподавателя к инженеру, от инженера к технику, а теперь же высечено в камне. 
Однако у меня вызвали целую бурю эмоций следующие абзацы в документе:


Стандарт по информационной безопасности 2013 года учит проверять механизмы защиты операционной системы с помощью.... загрузочной дискетки MS DOS!!! 

Отдельные проверки не могут не порадовать простотой и доступностью, достойной персонажей из анекдотов про ПТУ.
Проверки совсем не учитывают уязвимости программного обеспечения: нет требований к патчам и обновлениям, нет требований к использованию свежих версий ПО. Проверяется только наличие антивируса и актуальность вирусных баз. Сама проверка на вирусы не предусмотрена. 

Вообщем в новый документ перекочевали все те нормы, которые сегодня заслуженно считаются атавизмами ИБ - ПЭМИН, мандатный доступ, бумажные журналы учета, запрет обновлений ПО и так далее. Почитав новый ГОСТ, молодое поколение специалистов по ИБ может достаточно четко представить себе как защищали информацию в 90х годах прошлого тысячелетия.

К сожалению, закрытый характер стандарта не позволит большей части организаций проконтролировать работы лицензиата по аттестации, что во многом лишает стандарт смысла. Отсутствие прозрачности в процедуре аттестации лишает её рыночной привлекательности и делает уделом госзакупок. ФСТЭК самоустраняется от защиты информации в коммерческом секторе экономики страны и навязывает всем игрокам методы защиты информации, которые работают в своем изолированном от реальных потребностей бизнеса мире.

Целая индустрия разработчиков клепает СЗИ, о которых кроме того, что они сертифицированы, больше сказать то и нечего. Целое поколение интеграторов смело выдает аттестат о соответствии требованиям по "информационной безопасности" на кишащую вирусами информационную систему. Это нужно менять. Документы по защите информации должны быть максимально открытыми и доступными, а требования и методики должны обсуждаться с профессиональным сообществом, чтобы все "дискеты с MS DOS" вычищались из них еще на этапе зародыша. 

Что еще почитать?


21 комментарий:

  1. А год назад ты нахваливал аттестацию, как отличную и полезную услугу.

    ОтветитьУдалить
    Ответы
    1. А ты не путай ту аттестацию, которую делаем мы, с той, которая описана в статье!

      Удалить
  2. Артём, так просто это никто не изменит - там же целые стада пасутся: регуляторы, разработчики, лаборатории, аттестаторы и пр. =(

    ОтветитьУдалить
    Ответы
    1. Если о таких вещах молчать - то точно ничего не поменяется.

      Удалить
  3. А знаете...я пожалуй не соглашусь с выводом насчет назначения и применимости аттестации. Какой смысл критиковать процедуру проверки соответствия положениям РД, если львиная доля проблем в самих РД или их отсутствии? Поменяются РД - автоматически повысится эффективность и статус аттестации. А если нужна реальная защита и документ, подтверждающий её реализацию, то кто мешает оформить это под любым другим соусом!
    И ещё маленькая правовая ремарка к посту - аттестация обязательна не для государственных организаций, а:
    1) для госорганов, куда государственные учреждения и предприятия не входят, если речь идет о конфе (по 17 приказу);
    2) для систем с гостайной и прочим (по положению об аттестации ФСТЭК).

    ОтветитьУдалить
    Ответы
    1. Что имеется ввиду под "другим соусом"?

      Кроме 17 приказа есть ещё и СТР-К, который в соответствии с пояснениями ФСТЭК N 240/22/2637 необходимо по-прежнему использовать для защиты служебной тайны вне ГИС. Поэтому аттестация обязательна для всех ИС в госучреждениях и в госорганизациях, обрабатывающих информацию ограниченного доступа.

      Удалить
    2. Под другим соусом можно провести например аудит, тест на проникновение и т.п. Если заказчика интересует реальная защищенность всегда можно провести мероприятие и назвать его как-нибудь.
      По поводу СТР-К, навскидку - в связи со статусом ДСП он не может применяться для защиты персональных данных, поскольку это в явной форме противоречит пункту 2 статьи 4 ФЗ-152, а значит аттестовывать в госучрежениях и госпредприятиях необходимо только ИС, обрабатывающую служебную тайну (если речь не идет о гостайне). Кстати в самом СТР-К п.2.2 указано, что на защиту персональных данных его положения не распространяются (вернее распространялись только до выхода ФЗ о персональных данных). Что такое служебная тайна и как её защищать большой вопрос. По 188 указу президента, это информация доступ к которой ограничивается в соответсвии с ГК или ФЗ. В ГК ничего не сказано про служебную тайну. ФЗ о ней тоже нет. Получается нет служебной тайны.

      Удалить
    3. По мнению ФСТЭКа, любая информационная система, финансируемая на бюджетные средства - есть ГИС. Единственно возможный вариант подтвердить соответствие любого ГИСа требованиям по безопасности - провести аттестацию. Других взглядов у наших регуляторов нет и быть не может.
      Можно долго рассуждать о том, какие документы какими статусами обладают, но практика показывает одно: приводишь в соответствие любую ИС любого бюджетного учреждения - выдай аттестат.

      Удалить
    4. "Другой соус" в виде аудитов и пентестов - это только "подливка", если эти мероприятия не привязаны к стандартам и требованиям регуляторов. Это не "реальная защищённость", а еще более рисковое мероприятие для заказчика, который вынужден на 100% доверять исполнителю и будет лишен в случае проблем любого арбитража.

      Нормы СТР-К распространяются на сведения, указанные в перечне сведений конфиденциального характера (см. Указ Президента РФ от 6 марта 1997 г. N 188). Именно так говорит в своем информационном письме N 240/22/2637 ФСТЭК.
      Первым пунктом в этом перечне идут как раз персональные данные. То есть персональные данные являются одновременно и персональными данными, и конфиденциальной информацией (по 188 Указу) и, временами, служебной тайной (например, банковская и медицинская тайна). Если рассматривать ПДн как конфиденциальную информацию, то СТРК тут действует, аттестация обязательна.

      Именно такой ответ ты услышишь от любого ФСТЭКовца.

      Удалить
    5. Хммм, если мы говорим о проблеме возможности проверки качества выполненной оценки соответствия в данном случае в форме аттестации, то тут я пожалуй соглашусь. Но это все равно проблемы второго эшелона по сравнению с проблемой самих требований РД. Только-только 17 и 21 приказы вводят, хоть как-то основанные на риск-ориентированном подходе, только-только проект выдают с описанием реализации мер. Сначала с этим надо определиться, потом уже описывать подробно, как эффективно проверять их выполнение.
      По второму вопросу - регулятор может писать что угодно в своих письмах. Я читаю первоисточник - сами документы. И регулятор не может расширять область действия документа, больше, чем она прописана в самом документе и федеральном законе 152 без дополнительных НПА. Их позиция понятна, поэтому лично я и отвожу большое время правовому анализу, чтобы если что, быть готовым отстаивать позицию клиента в суде. А вот готовы ли ФСТЭК-овцы к этому?

      Удалить
    6. В данном конкретном случае первоисточник - действующий 188 Указ Президента, из которого четко следует СТР-К и аттестация. Поэтому ФСТЭК тут будет играть на своем правовом поле.

      ФСТЭКовцы к суду готовы. Они ничего не теряют. А вот госоператор в свете новой ст. КоАП 13.12 может попасть на штрафы и конфискацию.

      Удалить
    7. 2Анонимный, что такое ГИС по мнению ФСТЭК меня тоже не интересует, для определения этого понятия я пользуюсь ФЗ 149. А практика, так её мы формируем сами, у меня она другая.

      Удалить
  4. 2Артем, так по 188 указу служебная тайна, это та, доступ к которой ограничен ФЗ или ГК. Покажите мне такие ФЗ.

    ОтветитьУдалить
    Ответы
    1. Я про первый пункт указа говорил.
      1. Сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях.

      Частный случай служебной тайны: банковская и медицинская тайна. У каждой есть свои ФЗ.
      В ГК есть ст.139 про служебную тайну.

      Удалить
    2. Совершенно верно, персональные данные там определены и СТР-К разработан на основании втом числе этого НПА. Но в самом СТР-К сказано, что на этот пункт из перечня они распространяются только до выхода отдельного ФЗ о персональных данных. Далее порядок защиты персональных данных регламентируюется отдельными РД.
      В ГК статья 139 отменена с 01.01.2008.
      Про банковскую и медицинскую тайну сейчас не могу ничего сказать, вопрос надо проработать отдельно. В любом случае, диапазон сужается ))

      Удалить
    3. Не нашел в СТРК такого. Куда смотреть?

      Удалить
    4. п.2.2 второе перечисление (то, что в скобках)

      Удалить
    5. Упппс...не ту версию СТР-К смотрел, последний аргумент отзываю )). Главное в СТР-К это то, что оно распространяется на ГИР, т.е. информацию в ГИС. Т.е. аттестовывать надо только те системы, которые создавались на основании НПА госорганов или органов местного самоуправления, а такими являются далеко не все системы в госах.

      Удалить
  5. Банковскую и медицинскую тайну можно отнести к профессиональной тайне, но уж никак не к служебной. Служебной тайны, как справедливо заключил Михаил, в данный момент нет

    ОтветитьУдалить
  6. На счет дискет, я думаю приписка больше из ряда - "на всякий случай", потому что никто не может гарантировать, что они никем не используются, или что не возникнет такая необходимость ввиду особенностей системы.

    ОтветитьУдалить