Сертифицированные vs несертифицированные средства защиты информации: требования регулятора или реальная необходимость?

Сертификация средств защиты информации

Под сертификацией средств защиты информации по требованиям безопасности информации понимается деятельность по подтверждению характеристик средств защиты информации требованиям государственных стандартов или иных нормативных документов по защите информации, утвержденных Государственной технической комиссией при Президенте Российской Федерации (Гостехкомиссией России).

Система добровольной сертификации средств защиты информации по требованиям безопасности информации от 20.03.1995 (РОСС RU.0001.01БИ00) была представлена на регистрацию Гостехкомиссией РФ, которая была преобразована в ФСТЭК России Указом Президента РФ от 09.03.2004 № 314 «О системе и структуре федеральных органов исполнительной власти».

В соответствии со статьей 13.12 Кодекса об административных правонарушениях РФ использование несертифицированных информационных систем, баз и банков данных, а также несертифицированных средств защиты информации, если они подлежат обязательной сертификации (за исключением средств защиты информации, составляющей государственную тайну), влечет наложение административного штрафа на граждан в размере от пятисот до одной тысячи рублей с конфискацией несертифицированных средств защиты информации или без таковой; на должностных лиц — от одной тысячи до двух тысяч рублей; на юридических лиц — от десяти тысяч до двадцати тысяч рублей с конфискацией несертифицированных средств защиты информации или без таковой. Использование несертифицированных средств, предназначенных для защиты информации, составляющей государственную тайну, влечет наложение административного штрафа на должностных лиц в размере от трех тысяч до четырех тысяч рублей; на юридических лиц — от двадцати тысяч до тридцати тысяч рублей с конфискацией несертифицированных средств, предназначенных для защиты информации, составляющей государственную тайну, или без таковой.

Российская криптография как требование регуляторов

По мере усиления информатизации различных отраслей экономики РФ соответствующие регуляторы вводят требования по защите каналов связи, причем с применением российских средств криптографической защиты информации (СКЗИ). Например, в финансовой отрасли действует Положение Банка России № 672-П, а также ГОСТ Р 57580.1-2017 — базовый стандарт совершения страховыми организациями операций на финансовом рынке. В соответствии с указанием Банка России и ПАО «Ростелеком» №4859-У/01/01/782-18 о Единой биометрической системе (ЕБС), криптозащита необходима на всех этапах передачи данных между инфраструктурой банков, банковскими приложениями и сервисами электронного правительства.

Криптографическая защита становится доступнее

Минздрав РФ выпустил приказ №911н, который вступает в силу с 1 января 2020 года и касается всех медицинских и фармацевтических организаций. Приказ требует использовать сертифицированные средства защиты, в том числе для каналов связи.

В электроэнергетике в конце 2018 г. утвержден приказ Министерства энергетики №1015, в соответствии с которым для защиты Систем Удаленного Мониторинга и Диагностики (СУМиД) необходимо использовать сертифицированные средства защиты. По сути, речь идет о защищенном обмене данными в контуре АСУ ТП.

Использование сертифицированных СКЗИ операторами персональных данных регламентирует Постановление Правительства №1119, а также Приказ ФСБ России № 378.

Подключение организаций к центрам мониторинга, например, Национальному координационному центру по компьютерным инцидентам (НКЦКИ) в рамках глобальной системы ГосСОПКА требует применения сертифицированных СКЗИ — приказ ФСБ России №196.

Для прохождения сертификации, которую осуществляет ФСБ России, СКЗИ должны использовать отечественные криптоалгоритмы (ГОСТ 28147-89. ГОСТ 34.10/34.11-2012. ГОСТ 34.12/34.13-2015).

В принципе, создавая защищенные виртуальные частные сети (VPN), коммерческие компании могут воспользоваться и зарубежными криптоалгоритммами, например, AES или SHA, однако они не сертифицированы ФСБ России. Поэтому целесообразнее использовать СКЗИ с российскими криптоалгоритмами — это позволяет обеспечить высокую степень защиты передаваемой информации и выполнить требования российских регуляторов. Тем более, что имевшееся ранее заметное отставание отечественного криптографического оборудования от западного стремительно сокращается: обогащается функционал, растет производительность (пропускная способность отдельного устройства и количество поддерживаемых защищенных соединений), новая архитектура решений значительно упрощает эксплуатацию. Именно по этой причине многие крупные игроки в разных отраслях экономики переходят на отечественные крипторешения, даже в отсутствие таких требований со стороны того или иного регулятора.

Алгоритм проверок

Проверка начинается с предъявления служебного удостоверения должностными лицами и ознакомления руководителя оператора ПД о проведении проверки, а также предъявления ему под расписку копии приказа о проведении проверки. Руководитель обязан предоставить проверяющим доступ к документам, связанным с предметом проверки, а также беспрепятственный доступ на территорию и к ИС персональных данных.

При этом должностные лица не в праве проверять требования, которые не относятся к полномочиям контролирующего органа, требовать представления документов и информации, если они не относятся к предмету проверки, а также изымать оригиналы таких документов, распространять информацию, полученную в результате проведения проверки (государственную, коммерческую, служебную тайну), превышать установленные сроки, а также выдавать оператору ПД предписания или предложения о проведении за их счет мероприятий по контролю.

По результатам проверки оформляется акт. Один экземпляр акта с приложениями вручается руководителю оператора персональных данных. В случае выявления нарушений, проверяющие выдают предписание об устранении выявленного нарушения с указанием срока его устранения. Впоследствии надзорный орган контролирует устранение выявленных нарушений.

Процедура сертификации на соответствие требованиям ISO 27001

Процесс сертификации организуется после полноценного внедрения системы на предприятии и отладки ее функционирования. Добровольная информационная сертификация по стандартам ISO 27001 проводится только аккредитованной организацией, имеющей право выполнять проверку на соответствие требованиям системы.

Стандарты системы ISO 27001 во многом основываются на базовой системе менеджмента качества ISO 9001. Так что если компания уже сертифицирована на соответствие требованиям этого стандарта, ей станет проще пройти процедуру сертификации, воспользовавшись имеющимися документами и наработками.

Этапы

Прежде, чем подать заявление в органы сертификации информационных систем, заявителю следует выполнить следующие шаги.

  1. Внедрение системы, оформление документации по стандартам ISO 20071, обучение сотрудников, подготовка к сертификации.
  2. Предварительный аудит системы силами сертифицированного аудитора. Проводится в формате документарной или выездной проверки.
  3. Основной этап сертификационного аудита на соответствие требованиям системы. Включает детальное тестирование внедренных стандартов, проверку документации, оценку эффективности реализованных мер.
  4. Оформление сертификационной документации.
  5. Проведение периодического инспекционного аудита для подтверждения выполнения требований стандартов сертифицированной организацией.

Документы по итогам сертификации

Компания, которая успешно прошла проверку на соответствие требованиям системы и подтвердила выполнение обязательных стандартов, получает сертификат установленного образца. Он оформляется аккредитованным сертификационным органом, который проводил аудит на предприятии. Документ выдается на бумажном носителе, чтобы его владелец мог предъявить сертификат любому заинтересованному лицу — например, потенциальному партнеру или контрагенту.

Выбор услуги по документу

  • Лицензия на осуществление деятельности по техническому обслуживанию шифровальных (криптографических) средств

  • Лицензия на осуществление деятельности по разработке и (или) производству средств защиты конфиденциальной информации

  • Разрешение на неоднократное пересечение государственной границы Российской Федерации

  • Лицензия на осуществление деятельности по предоставлению услуг в области шифрования информации

  • Лицензия на деятельность по выявлению электронных устройств, предназначенных для негласного получения информации, в помещениях и технических средствах (за исключением случая, если указанная деятельность осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя)

  • Лицензия на осуществление деятельности по разработке и (или) производству средств защиты конфиденциальной информации

  • Лицензия на осуществление деятельности по предоставлению услуг в области шифрования информации

  • Лицензия на разработку, производство шифровальных (криптографических) средств, защищенных с использованием шифровальных (криптографических) средств информационных и телекоммуникационных систем

  • Лицензия на осуществление деятельности по распространению шифровальных (криптографических) средств

  • Лицензия на деятельность по разработке, производству, реализации и приобретению в целях продажи специальных технических средств, предназначенных для негласного получения информации, индивидуальными предпринимателями и юридическими лицами, осуществляющими предпринимательскую деятельность

  • Виза (для въезда (транзита) на территорию Российской Федерации)

  • Лицензия на заявленный вид деятельности (на проведение работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны)

  • Уведомление о принятом решении (Решение о возможности ввоза в Российскую Федерацию специальных технических средств, предназначенных для негласного получения информации)

  • Архивная справка

  • Архивная выписка

  • Архивная копия

  • Уведомление о пересылке запроса по архивным документам в другие органы государственной власти Российской Федерации, органы местного самоуправления и организации

  • Уведомление об отсутствии запрашиваемых архивных документов (сведений)

  • Сертификат соответствия (средств защиты информации, систем и комплексов телекоммуникаций, технических средств, используемых для выявления электронных устройств, предназначенных для негласного получения информации, в помещениях и технических средствах, специальных технических средств, предназначенных для негласного получения информации, технических средств обеспечения безопасности и (или) защиты информации требованиям ФСБ России)

  • Заявление на получение разрешения на осуществление промысловой деятельности

Придётся разобраться в продукте и в технологии его разработки

Итак, сертификация — процесс суровый. Испытательные лаборатории вынимают душу разработчиков не хуже Шан Цунга.

Придётся не только найти у себя функции безопасности, но и показать, как именно они работают и какие исходные тексты соответствуют этим функциям. Тем, кто хочет приблизить себя к защите государевой тайны ещё придётся пройти занимательные квесты с фаззингом и другими весёлыми инструментами от инженера Джона Крамера. Холодный пот и бессонные ночи вам обеспечены, но зато свой код будете помнить от «main ()» до «..лЯ!».

Кроме анализа кода вам предстоит сдать анализы от процесса разработки, описать свой gitflow, процесс CI, исправление багов, доставку исправлений клиентам и т.д.

Разработка средств безопасности должна быть безопасной и не должна быть опасной. О как!

У этих чуднЫх забав польза все-же есть. Продукты, слепленные из gовнокода, скорее всего не получат сертификат. Agile в худшем его понимании, типа «фигачим прямо на продакшене» не подходит для сертификации, как и продукты, которые были собраны очумелыми ручками с горящим взором из «кучи пластиковых бутылок».

Что общего между сертификаторами и Лангольерами

Эти милые создания неустанно пожирают время и пространство. После принятия решения о начале сертификации считайте, что вы и члены вашей команды уже стали на год старше, потому что редко, кому удаётся пройти сертификацию быстрее.

Обычно это происходит так. Сначала вы обучаете своему продукту тружеников из испытательной лаборатории, которая будет доказывать регулятору, что вы не верблюд. В том смысле, что ваш продукт не верблюд и в нём есть необходимые для получения сертификата функции безопасности, которые вы безопасно разрабатываете.

Далее вы вместе с испытательной лабораторией пишете заявку на сертификацию и технические условия (задание по безопасности), где определяете какие именно функции безопасности должны искать и находить в вашем продукте. Как только заявка акцептована, начинается самое утомительное.

Сначала вам надо доказать и детально описать соответствие заявленных функций испытательной лаборатории, а потом вместе с испытательной лабораторией предстоит выдержать сто тысяч «ПОЧЕМУ» от ОРГАНА … по сертификации. На каждом шагу может быть N или даже K итераций. Короче, будет Nепросто, а иногда Капец, как долго.

Виды сертификатов

Поскольку обязательная сертификация информационных средств в России не применяется, все виды сертификатов в этой области выдаются в добровольном порядке. Их делят на две укрупненные категории:

  • корпоративные, которые подтверждают соответствие политики компании требованиям информационной безопасности;
  • персональные, подтверждающие уровень квалификации конкретного специалиста в этой сфере.

Корпоративные сертификаты

Одним из самых авторитетных инструментов в этой сфере является сертификация систем менеджмента информационной безопасности ISO 27001. Она признана во всем мире в качестве эталонной при оценке политики компании в данной предметной области. Кроме этого, в реестре зарегистрированных систем добровольной оценки соответствия, ведение которого осуществляет Росстандарт, значатся еще несколько десятков комплексов критериев, которые применяются компаниями для подтверждения своей ответственной позиции в этом вопросе.

Персональные сертификаты

Список популярных систем, применяющихся для оценки индивидуального профессионального уровня, более широк. В зависимости от области своей деятельности специалист выбирает сертификат информационной безопасности, наилучшим образом подтверждающий его компетенции. В перечень востребованных документов в данной области входят:

  • CISSP — безопасность IT-продуктов;
  • ISSAP — архитектура безопасности;
  • ISSEP — инженерия в IT-безопасности;
  • ISSMP — управление продуктами в области безопасности;
  • CISM — информационная безопасность;
  • другие сертификаты.

Полномочия ФСБ РФ в сфере защиты информации в информационных системах

Для систем каждого уровня защиты информации определяется свой комплекс организационных и технических мер, класс программных и аппаратных средств, используемых для шифрования.

В рамках полномочий по регулированию информационного поля ведомство получило следующие функции:

  • контролировать применение организационных мер защиты;
  • допускать к эксплуатации средства криптографической защиты информации (СКЗИ);
  • определять квалификацию сотрудников, допущенным к работе с СКЗИ.

В рамках контроля правильности работы операторов персональных данных ФСБ РФ проводит плановые и внеплановые проверки качества защиты информации. Плановые проводятся раз в три года, о них можно узнать на сайте Генеральной прокуратуры. Внеплановые назначаются в ситуации поступления сигнала, свидетельствующего о существенном нарушении прав граждан на защиту ПД.

В процессе контроля проверяются:

  • наличие приказа о назначении лиц, ответственных за работу с СКЗИ;
  • наличие модели угроз;
  • наличие лицензий и документов на приобретение СКЗИ;
  • акты установки программ и устройств СКЗИ и наличие дистрибутивов (установочных файлов, подтверждающих легальную инсталляцию программы);
  • соблюдение правил физической защиты помещений.

Несоблюдение требований может привести к вынесению предписания об устранении нарушений и дальнейшему приостановлению работы оператора в случае его невыполнения. Несмотря на это, нарушения встречаются часто (неверно оформленная документация на СКЗИ, отсутствие дистрибутивов). Ведомство планирует ужесточить требования к операторам в сфере защиты информации и систему наказаний.

03.12.2019

Полномочия ведомства

Все действия регулятора, ранее именуемого Ростехкомиссией и созданного впервые еще в СССР для борьбы с иностранными техническими разведками, регламентированы на уровне закона и указов президента. 

Указ № 1085 устанавливает функции ФСТЭК РФ в сфере защиты информации:

  • обеспечение безопасности критической информационной инфраструктуры;
  • борьба с работой зарубежных технических разведок;
  • организация системы защиты гостайны и других массивов данных, представляющих ценность и охраняемых законом;
  • контроль за разработкой программных средств;
  • экспортный контроль.

Для реализации этих функций ведомству предоставлен ряд полномочий:

  • самостоятельное нормативно-правовое регулирование в сфере своей компетенции;
  • координация работы других государственных органов, работающих в сфере защиты информации;
  • проведение проверок деятельности юридических лиц;
  • лицензирование;
  • внесение предложений о привлечении к ответственности виновных в нарушении требований информационной безопасности;
  • приостановление деятельности организаций;
  • лицензирование, сертификация, разработка требований по созданию программных и технических средств защиты информации.

Подчиняется служба непосредственно президенту. 

Мероприятия

VIII Международный форум и выставка 100+ TechnoBuild

Екатеринбург, МВЦ «Екатеринбург-ЭКСПО» | 5-7 октября 2021 г.

Ежегодно в выставке участвуют крупнейшие представители строительной отрасли, а деловая программа  проходит с участием лучших мировых специалистов по строительству и проектированию. Ключевая задача выставки — представить новейшие достижения в строительстве, технологии и проекты для развития современных городов.

VII Ежегодная конференция «Транспортная безопасность в Российской Федерации»

г. Ялта ул. Дражинского, д. 50, ГК «Ялта – Интурист | 7-8 октября 2021 года

Ключевыми темами мероприятия станут проблемные вопросы, возникающие при реализации требований в области ОТБ, правоприменительная практика в сфере транспортной безопасности, а также нововведения в нормативно-правовом регулировании. 

Форум «Общественный транспорт 2021»

Лотте Отель Москва (Новинский бульвар, д. 8, стр. 2) | 12 октября 2021 года

Целью Форума, который пройдет в рамках Недель российского бизнеса, является формирование предложений по реализации комплексной модели обновления и модернизации пассажирского общественного транспорта и маршрутных сетей в субъектах Российской Федерации, а также привлечение внебюджетного финансирования в проекты городского транспорта.

Комментарии экспертов

Как рассказал CNews эксперт RTM Group Евгений Царев, документ в текущей редакции «очень сырой», в нем присутствуют проблемы с терминологией и с описательной частью. «По сути, проведение проверок именно операторов персональных данных — это новая история, и раньше такой тип проверок не выделялся, — рассказывает Царев. — Проверки по обработке персональных данных проводились и раньше, но только государственных органов или лицензиатов в ходе проверки лицензионных требований». При этом он отмечает, что данных поправок недостаточно, «так как необходимы соответствующие регламенты проверок и в них должна быть конкретика».

«С одной стороны, можно только приветствовать упорядочивание деятельности контролирующих и надзорных органов, — рассказал CNews Демьян Раменский, руководитель направления «Хостинг испдн» компании CorpSoft24. — C другой стороны, есть риск увеличения давления на средний и малый бизнес».

Сейчас проверки по персональным данным проводит в основном Роскомнадзор, они направлены на выполнение требований 152-ФЗ, поясняет Раменский. Новое постановление резко увеличит число проверок со стороны ФСТЭК и ФСБ, причем они будут касаться не только организационных, но и технических мер, предусмотренных приказами ФСТЭК №21 и ФСБ №378. Реализация требований ФСТЭК и ФСБ — задача долгая и дорогая, поскольку требует не только закупки дорогостоящих СЗИ/СКЗИ, но и наличия компетентных специалистов по кибербезопасности, чей дефицит сейчас на рынке труда подстегивает рост зарплат, отмечает Раменский. В то же время, принятие данного постановления, безусловно, станет драйвером роста рынка облачных услуг информационной безопасности, считает он.

Цель регулирования

Государство наделило ведомство правом определять стратегические направления в сфере информационной безопасности, разрабатывать концепции и методики, утверждать руководящие документы, обязательные для применения участниками процесса защиты информации. Организации, приступающие к проектированию информационных систем, берут за основу не только международные стандарты и ГОСТы, в первую очередь они ориентируются на методики ФСТЭК России и используют одобренные ведомством программные и технические средства. 

Такой подход позволяет решать задачи единообразия государственного регулирования в сфере защиты информации различных классов. Но рекомендации ведомства не всегда успевают за современными моделями угроз. Уровень атак растет быстрее, чем ведомство вносит изменения в руководящие документы, но минимальные требования оно все же устанавливает.   

Выполнение рекомендаций регулятора обязательно в случаях: 

  • получения лицензий на технические средства (ТЗКИ) и средства криптографической защиты (СКЗИ), разрешающих оказывать профессиональные услуги в сфере информационной безопасности;
  • получения лицензии на работу с государственной тайной;
  • работы с банковской тайной. В этом случае в первую очередь действуют требования регулятора, ЦБ РФ, опирающиеся на рекомендации ведомства; 
  • выполнения функций оператора персональных данных;
  • оказания телематических услуг (передача информации по Интернету). 

В каждом из этих случаев необходимо соблюдение требований ведомства. Отказ от этого приведет к проверкам, приостановке и отзыву лицензии, административным штрафам.

Средства антивирусной защиты типа «Г»

Класс защиты № сертификата — Средство антивирусной защиты
ИТ.САВЗ.Г1.ПЗ отсутствуют
ИТ.САВЗ.Г2.ПЗ
  • 3025 — программное изделие Kaspersky Endpoint Security 10 для Windows
  • 3509 — Dr.Web Enterprise Security Suite
  • 3597 — Электронный замок Витязь версия 2.2
ИТ.САВЗ.Г3.ПЗ отсутствуют
ИТ.САВЗ.Г4.ПЗ
  • 2485 — Программное изделие Kaspersky Endpoint Security 10 для Linux (для защиты конфиденциальной информации)
  • 3243 — программное обеспечение ESET NOD32 Secure Enterprise Pack (версия 5)
  • 3745 — средство защиты информации Secret Net Studio
ИТ.САВЗ.Г5.ПЗ отсутствуют
ИТ.САВЗ.Г6.ПЗ

Больше всего выданных сертификатов, как видно выше, у решений от Лаборатории Касперского. Почти на каждое решение — свой отдельный сертификат. Можно назвать это гибкостью, а можно излишней запутанностью — смотря как посмотреть (с). У того же Dr.Web Enterprise Security Suite сертификат один и сразу на все типы от А до Г, да и класс высокий — второй (первого, к слову, вообще нет ни у кого). Правда, решение от Доктор Веб не для всех случаев есть в сертифицированном варианте (той же поддержки Android не заявлено).

Кстати, пока изучал реестр ФСТЭК, обнаружил ошибку — в описании двух продуктов в сокращении “САВЗ.ИТ” вместо буквы “З” была использована цифра “3”, так что обнаружить их удалось практически только чудом =) Об ошибке я сообщил, надеюсь, оперативно поправят.

Нероссийских сертифицированных по текущим требованиям антивирусов в реестре только два: ESET и McAfee. А среди российских есть ещё два сертифицированных “комбайна”:

  • Secret Net Studio, являющийся и антивирусом, и межсетевым экраном, и средством контроля подключения съемных машинных носителей информации, и даже средством обнаружения вторжений;
  • Электронный замок Витязь, представляющий собой довольно-таки любопытное сочетание средства доверенной загрузки и антивируса типа Г (для автономных автоматизированных рабочих мест).

В целом — есть из чего выбрать (6 производителей), если стоит задача установить сертифицированный антивирус, хотя, конечно, тех же межсетевых экранов в реестре гораздо больше. Впрочем, МЭ и в целом на (несертифицированном) рынке больше, чем антивирусов — такая уж специфика.

— === @zlonov === —