Как известно, сегодня информационный безопасник - это иммам, толкующий волю Регулятора пастве. Время от времени возникают ситуации, когда вместо того, чтобы выводить длинную цепочку рассуждений, опираясь на различные положения и стандарты, гораздо проще задать прямой ответ Регулятору. Благо сегодня у каждого госоргана есть интернет-приемная или хотя бы электронный ящик, куда можно послать запрос.
В начале октября я написал во ФСТЭК письмо на ящик postin@fstec.ru про средства доверенной загрузки. Дело в том, что в письме ФСТЭК N 240/24/405 о вводе новых требований к СДЗ нет привычного "могут применятся", от чего складывается впечатление, что применять СДЗ нужно обязательно, что заставляет нас несколько нервничать при выборе СЗИ для ИСПДн 3 и 4 уровня защищённости.
Вот моё письмо:
В соответствии с требованием УПД.17 приказа ФСТЭК России от 18.02.2013 N 21, обеспечение доверенной загрузки средств вычислительной техники не является обязательным для ИСПДн 3 и 4 уровня защищённости. Однако в соответствии с информационным письмом ФСТЭК от 6 февраля 2014 г. N 240/24/405 "Об утверждении Требований к средствам доверенной загрузки" для обеспечения 3 и 4 уровня защищенности персональных данных обязательно применяются средства доверенной загрузки, соответствующие 4 и 5 классу защиты.
Прошу Вас разъяснить необходимость применения средств доверенной загрузки для обеспечения безопасности персональных данных в информационных системах персональных данных 3 и 4 уровня защищённости.
Так же прошу Вас дать рекомендации по использованию средств доверенной загрузки для обеспечения безопасности информационных систем персональных данных 1 и 2 уровня защищённости в виду отсутствия в данный момент в государственном реестре сертифицированных средств защиты информации СДЗ, сертифицированных по новым требованиям.
Вот ответ ФСТЭК:
При отсутствии актуальных угроз безопасности персональных данных, связанных, например, с установкой недоверенной (нештатной) операционной системой, средства доверенной загрузки в информационных сисемах персональных данных 3 и 4 уровня защищённости могут не применяться.Из которого можно сделать 3 вывода:
В случае, если при определении угроз безопасности персональных данных в качестве актуальных определены угрозы, связанные с установкой на этапе загрузки недоверенной (нештатной) операционной системой, то для нейтрализации таких угроз, наряду с организационными мерами, могут применяться средства доверенной загрузки.
В настояещее время проводятся работы по сертификации 3 типов средств доверенной загрузки на соответствие Требованиям к средствам доверенной загрузки, утвержденным приказом ФСТЭК России от 27 сентября 2013 г. № 119. До завершения работ по сертификации указанных средств защиты возможо использование для защиты персональных данных средств доверенной закгрузки, сертифицированных на соответствие техническим условиям.
1. Использовать СДЗ для защиты ИСПДн 3 и 4 УЗ необязательно (как собственно и написано в 21 приказе ФСТЭК).
2. Спустя 10 месяцев существования требований к СДЗ нет ни одного сертифицированного продукта, поэтому сейчас можно использовать любые сертифицированные средства доверенной загруски для любых информационных систем. С появлением СДЗ, сертифицированных по новым требованиям, ситуация заметно усложнится, так как для защиты ИСПДн 1 и 2 УЗ прийдётся применять только аппаратные электронные замки, которые дорого стоят (эх... опять больницам "повезёт"...).
3. Спрашивать ФСТЭК по электронной почте можно и нужно, правда ответа прийдётся подождать (в моем случае 20 дней). Это правильней, чем разводить пустые споры в социальных сетях.
А можно выложить ответ? Он же пришел в виде скана с подписью лица его составившего?
ОтветитьУдалитьОн пришел ввиде обычного электронного письма, которое я опубликовал практически полностью.
УдалитьВнизу было ещё "Начальник 2 управления В.Лютиков"