суббота, 9 июня 2018 г.

Можно ли использовать несертифицированные СЗИ для защиты значимых объектов КИИ?



Если коротко, то ДА!

Но как всегда есть нюансы, поэтому давайте разбираться. Пойдем издалека, сверху вниз - от федеральных законов к подзаконным актам.

-----------------------------------------------------------------
Заглянем сначала в 187-ФЗ «О безопасности КИИ».

См. ст. 1 (сфера действия ФЗ): «Настоящий ФЗ регулирует отношения в области обеспечения безопасности КИИ РФ в целях ее устойчивого функционирования при проведении в отношении ее компьютерных атак».

И далее по тексту закона раскрываются различные аспекты обеспечения безопасности КИИ РФ, но при этом не вводится какой-то отдельной категории информации ограниченного доступа (как это было, например, с ПДн в 152-ФЗ) и не приводится ссылок на существующие категории информации ограниченного доступа.

-----------------------------------------------------------------
Далее посмотрим в 149-ФЗ «Об информации, информационных технологиях и о защите информации».

См. ст. 5: «Информация в зависимости от категории доступа к ней подразделяется на общедоступную информацию, а также на информацию, доступ к которой ограничен федеральными законами (информация ограниченного доступа)».
Вывод 1: информация, обрабатываемая в составе ЗОКИИ, в терминах 149-ФЗ является общедоступной, если при этом она не является защищаемой по ФЗ информацией (ГТ, ПДн) и ЗОКИИ не является ГИС. Это кажется непривычным, но по букве закона получается так.

-----------------------------------------------------------------

Идем дальше, смотрим 184-ФЗ «О техническом регулировании».
См. ст. 2: «Оценка соответствия – это «прямое или косвенное определение соблюдения требований, предъявляемых к объекту»;

См. п. 3, ст.7: «Оценка соответствия проводится в формах государственного контроля (надзора), испытания, регистрации, подтверждения соответствия, приемки и ввода в эксплуатацию объекта, строительство которого закончено, и в иной форме».
Понятия «испытания» и «приемка» как формы Оценки соответствия далее в 184-ФЗ отдельно не раскрываются.

См. п. 1, ст. 5: «В отношении … продукции, используемой в целях защиты сведений, … относимых к охраняемой в соответствии с законодательством РФ иной информации ограниченного доступа, … обязательными требованиями наряду с требованиями технических регламентов являются требования, установленные государственными заказчиками, ФОИВ, уполномоченными в области обеспечения безопасности....».

См. п. 4 ст. 5: «Особенности оценки соответствия продукции, указанной в п.1, ст.5, а также соответственно процессов ее проектирования, производства, строительства… устанавливаются Правительством РФ или уполномоченными им ФОИВ».

На этом моменте в Facebook недавно возникла дискуссия. Одна из сторон диалога стояла на том, что в соответствии с п.1 и 4 ст.5 информация в ЗОКИИ должна защищаться СЗИ, прошедшими оценку соответствия требованиям технических регламентов, которых на текущий момент нет, и поэтому единственным возможным вариантом остается использование сертифицированных СЗИ. Однако, как мы уже увидели на предыдущем шаге, информация в ЗОКИИ не относится к охраняемой в соответствии с законодательством РФ и поэтому на СЗИ, используемые для ее защиты не распространяется п.1 и 4 ст.5, 184-ФЗ, опять же с оговоркой, что эта информация не является, например, ГТ или ПДн и ЗОКИИ не является ГИС.

Вывод 2: 184-ФЗ говорит о том, что «испытания» и «приемка» являются одними из возможных форм проведения оценки соответствия, но далее в 184-ФЗ эти понятия никак не раскрываются и на СЗИ, используемые для защиты ЗОКИИ, требования по их соответствию техническим регламентам, не распространяются.

-----------------------------------------------------------------

Спускаемся на уровень ниже и переходим к приказам ФСТЭК, подзаконным 187-ФЗ.

Смотрим в 235-й приказ ФСТЭК «Об утверждении требований к созданию систем безопасности ЗОКИИ РФ и обеспечению их функционирования».
См. п.18: «Для обеспечения безопасности ЗОКИИ должны применяться сертифицированные СЗИ или СЗИ, прошедшие оценку соответствия в форме испытаний или приемки в соответствии с 184-ФЗ «О техническом регулировании». Сертифицированные СЗИ применяются в случаях, установленных законодательством РФ, а также в случае принятия решения субъектом КИИ. В иных случаях применяются СЗИ, прошедшие оценку соответствия в форме испытаний или приемки, которые проводятся субъектами КИИ самостоятельно или с привлечением организаций, имеющих в соответствии с законодательством РФ лицензии на деятельность в области защиты информации».

См. п.25: «ОРД по безопасности ЗОКИИ должны определять: ..., порядок проведения испытаний или приемки СЗИ, …».
Вывод 3: Для защиты ЗОКИИ можно использовать несертифицированные СЗИ (кроме отдельных случаев, когда, например, ЗОКИИ является ГИСом), проведя для них испытания и приемку либо своими силами, либо с привлечением лицензиатов. При этом субъект КИИ должен разработать ОРД по безопасности ЗОКИИ и прописать в ней порядок проведения испытаний или (хотя на мой взгляд тут уместнее поставить союз «и») приемки СЗИ.

-----------------------------------------------------------------

Далее смотрим в 239-й приказ ФСТЭК «Об утверждении требований к обеспечению безопасности ЗОКИИ РФ», в котором раскрывается тема проведения испытаний и приемки, а также приводятся требования к СЗИ, если они являются сертифицированными. При этом часть информации пересекается с 235-м приказом.
См. п. 12.7: В ходе приемочных испытаний ЗОКИИ и его подсистемы безопасности должен быть проведен комплекс организационных и технических мероприятий (испытаний), в результате которых подтверждается соответствие ЗОКИИ и его подсистемы безопасности настоящим Требованиям, а также требованиям ТЗ на создание значимого объекта и (или) ТЗ (ЧТЗ) на создание подсистемы безопасности ЗОКИИ.

Приемочные испытания ЗОКИИ и его подсистемы безопасности проводятся в соответствии с ПиМИ. Результаты приемочных испытаний ЗОКИИ и его подсистемы безопасности с выводом о ее соответствии установленным требованиям включаются в акт приемки ЗОКИИ в эксплуатацию.

В случае если ЗОКИИ является ГИС, в иных случаях, установленных законодательством РФ, а также в случае принятия решения субъектом КИИ, оценка значимого объекта и его подсистемы безопасности проводится в форме аттестации ЗОКИИ в соответствии с 17-м приказом ФСТЭК.

Ввод в действие ЗОКИИ и его подсистемы безопасности осуществляется при положительном заключении (выводе) в акте приемки (или в аттестате соответствия) о соответствии ЗОКИИ установленным требованиям по обеспечению безопасности.
См. п. 28: Для обеспечения безопасности ЗОКИИ должны применяться СЗИ, прошедшие оценку на соответствие требованиям по безопасности в формах обязательной сертификации, испытаний или приемки.

СЗИ, прошедшие оценку соответствия в форме обязательной сертификации, применяются в случаях, установленных законодательством РФ, а также в случае принятия решения субъектом КИИ.
В иных случаях применяются СЗИ, прошедшие оценку соответствия в форме испытаний или приемки, которые проводятся субъектами КИИ самостоятельно или с привлечением организаций, имеющих в соответствии с законодательством РФ лицензии на деятельность в области защиты информации.

Испытания (приемка) СЗИ проводятся отдельно или в составе ЗОКИИ в соответствии с программой и методиками испытаний (приемки), утверждаемыми субъектом КИИ.
См. п. 29: В случае использования в ЗОКИИ сертифицированных на соответствие требованиям по безопасности информации СЗИ … в ЗОКИИ различных категорий применяются СЗИ и СВТ соответствующих классов.

При этом в значимых объектах 1 и 2 категорий значимости применяются СЗИ, прошедшие проверку не ниже чем по 4 уровню контроля отсутствия НДВ.

Функции безопасности СЗИ должны обеспечивать выполнение настоящих Требований.

Вывод 4: Приемка подсистемы безопасности ЗОКИИ выполняется на основании испытаний, которые проводятся на соответствие ТЗ/ЧТЗ и в соответствии с ПиМИ. При этом в ТЗ/ЧТЗ прописываются требования 239-го приказа с учетом определенной категории и актуальных угроз безопасности информации, а в ПиМИ приводится описание заданий, выполнение которых в рамках приемочных испытаний должно продемонстрировать возможность как сертифицированных (в случае их использования), так и не сертифицированных СЗИ реализовать соответствующие требования ТЗ/ЧТЗ. В случае, если испытания пройдены успешно, составляется соответствующий акт приемки  ЗОКИИ в эксплуатацию с выводом о его соответствии установленным требованиям.

Вывод 5: Если ЗОКИИ является ГИСом, то в качестве СЗИ должны использоваться только сертифицированные СЗИ, а оценка такого ЗОКИИ должна осуществляться в форме аттестации в соответствии с 17-м приказом ФСТЭК.

Вывод 6 (лайфхак): Если у Вас есть ЗОКИИ, не являющийся ГИСом и вы хотите защитить его сертифицированным СЗИ, которое не дотягивает по классу до соответствующей категории значимости или же между классом и категорией соответствие есть, но нет сертификата по НДВ (для ЗОКИИ 1 и 2 категории), то в этом случае, по крайней мере теоретически, можно использовать несертифицированные версии сертифицированного СЗИ (так, например, установка ПО СЗИ с несертифицированного CD-диска и/или отсутствие формуляра автоматически делает СЗИ в глазах регулятора несертифицированным).

-----------------------------------------------------------------

А теперь посмотрим на Проект приказа ФСБ «Об утверждении Требований к средствам, предназначенным для обнаружения, предупреждения и ликвидации последствий КА и реагирования на КИ», в котором приводятся требования к техническим средствам, из которых субъекты должны строить свои центры ГосСОПКА.

См. п. 18: Средства криптографической защиты обмена информацией, необходимой субъектам КИИ при обнаружении, предупреждении и (или) ликвидации последствий КА, должны быть сертифицированы в системе сертификации СЗИ.

Каких-то отдельных НПА ФСБ по криптозащите самих объектов КИИ нет, таких как, например, 378 приказ ФСБ по криптозащите ПДн.

Вывод 7: Для криптографической защиты информации при взаимодействии с НКЦКИ (в рамках ГосСОПКА) субъекты должны использовать сертифицированные ФСБ СКЗИ. Для криптозащиты информации в ЗОКИИ использование сертифицированных СКЗИ да и в целом криптозащита - не требуется.

-----------------------------------------------------------------

Вывод 8 (общий): Если ЗОКИИ не является ГИСом (ПДн умышленно не упоминаю, т.к. это отдельный разговор), и СЗИ не является СКЗИ, используемым для обмена информацией с НКЦКИ в рамках функционирования ГосСОПКА, то в этом случае можно использовать несертифицированные СЗИ. При этом субъекту стоит не забыть провести для них испытания и приемку по требованиям 239 приказа ФСТЭК перед вводом в действие ЗОКИИ, а в случае проверок быть готовым обосновать регулятору достаточность реализованных несертифицированными СЗИ мер для реализации соответствующих требований 239 приказа. 

В целом же конечно для субъекта КИИ предпочтительнее использовать сертифицированные СЗИ, которые уже проверены соответствующими испытательными лабораториями и снимают с субъекта лишнюю головную боль при вводе в действие ЗОКИИ, а также при проверках регулятора.

Ну и в заключении можно предположить, что по мере насыщения рынка ИБ сертифицированными средствами защиты, способными эффективно реализовать требования 239-го приказа ФСТЭК, в законодательство по КИИ могут быть внесены соответствующие изменения, ограничивающие использование несертифицированных средств защиты. А пока рынок таких СЗИ созревает, регулятор допускает применение несертифицированных СЗИ, ибо защищать ЗОКИИ нужно уже сейчас!

суббота, 2 июня 2018 г.

Объект КИИ или не объект? Еще один извечный вопрос!



В прошлом посте мы рассмотрели одно из двух ключевых понятий законодательства о КИИ – понятие субъекта КИИ. В этом же остановимся на не менее важном понятии – объекте КИИ, от правильного понимания которого как дальше увидим будет зависеть вся дальнейшая стратегия реализации требований 187-ФЗ.
Начнем, как и в прошлый раз с определений.
По 187-ФЗ:
  • «Объекты КИИ - ИС, ИТС, АСУ ТП субъектов КИИ».
  • «Категорирование ОКИИ представляет собой установление соответствия ОКИИ критериям значимости и показателям их значений, присвоение ему одной из категорий значимости, проверку сведений о результатах ее присвоения».
По 127-ПП:
  • «Категорированию подлежат ОКИИ, которые обеспечивают управленческие, технологические, производственные, финансово-экономические и (или) иные процессы в рамках выполнения функций (полномочий) или осуществления видов деятельности субъектов КИИ».
И тут, возникает два ключевых вопроса:
  1. Все ли ИС, ИТС, АСУ ТП субъекта являются ОКИИ?
  2. Все ли ОКИИ подлежат категорированию?
Давайте разбираться.
Как видим, по определению из 187-ФЗ объектами КИИ являются все без исключения ИС, ИТС, АСУ ТП (далее обобщенно - ИС) субъекта КИИ, в том числе никак не влияющие на критические процессы субъекта КИИ, например, тестовые, игровые ИС и т.д.
При этом, с одной стороны, по 187-ФЗ, категорированию подлежат все ОКИИ, т.к. в законе ничего не сказано про критические процессы и их обеспечение категоризируемыми ОКИИ.
С другой стороны, в 127-ПП приведена конкретизация, согласно которой категорированию подлежат только те ОКИИ, которые обеспечивают критические процессы субъекта в рамках его основной деятельности.
По этому поводу есть два мнения и соответственно два подхода к категоризации, не противоречащие законодательству:
  1. Категоризировать нужно все ОКИИ согласно формулировке в 187-ФЗ
  2. Категоризировать нужно только те ОКИИ, которые обеспечивают критические процессы, согласно формулировке в 127-ПП
В первом случае в составе сведений по результатам категорирования во ФСТЭК передается информация обо всех ОКИИ (в том числе не особо интересных регулятору тестовых и игровых ИС).
Во втором случае во ФСТЭК передается информация только об объектах, обеспечивающих критические процессы. И тут возникает вопрос – а с остальными ОКИИ, которые не подлежали в этом случае категорированию что делать? Они вроде являются ОКИИ, но ФСТЭК о них ничего не знает и скорее всего никогда не узнает. При этом в ГосСОПКА информация о компьютерных инцидентах на этих ОКИИ должна передаваться, потому что по крайней мере в текущей редакции проектов приказов ФСБ объекты делятся только на значимые и не являющиеся значимыми и не делятся на подлежащие категорированию и не подлежащие категорированию.
На самом деле есть еще и третий вариант, который отходит от текущих формулировок в законе, но на мой личный взгляд является наиболее адекватным. По информации от одного из активных участников тематического чата "КИИ 187-ФЗ" - Айгиза Сафиуллина, данный вариант был озвучен представителями ФСТЭК по Поволжью и представителями ФСБ на прошедшей недавно конференции ITSF и рекомендован к исполнению субъектами КИИ. Он базируется на том, что объектами КИИ являются не все ИС, а только те, которые обеспечивают критические процессы. Все остальные ИС не являются ОКИИ и не интересуют ни ФСТЭК, ни ФСБ!
При таком подходе все встает на свои места и само законодательство начинает играть новыми логичными красками, в результате чего субъект имеет следующую стратегию дальнейшего поведения:
  • только ИС, обеспечивающие критические процессы субъекта (и только они) признаются ОКИИ
  • только из этих ИС составляется перечень ОКИИ, подлежащих категорированию
  • только эти ИС подлежат категорированию
  • только об этих ИС передается информация во ФСТЭК по результатам категорирования
  • только о компьютерных инцидентах на этих ИС передается информация в ГосСОПКА
  • только за компьютерные инциденты на этих ИС может светить до 10 лет лишения свободы по ст.274.1 УК РФ.
Все весьма логично и симпатично! Осталось только дождаться закрепления этого подхода в НПА в рамках готовящихся в ближайшее время изменений. Надеюсь так и будет.
Все три описанные выше варианта изображены на схеме ниже, предоставленной Айгизом Сафиуллиным.

P.S.: В следующем посте обсудим особенности категорирования ОКИИ.