Если коротко, то ДА!
Но как всегда есть нюансы,
поэтому давайте разбираться. Пойдем издалека, сверху вниз - от федеральных
законов к подзаконным актам.
-----------------------------------------------------------------
Заглянем сначала в 187-ФЗ «О
безопасности КИИ».-----------------------------------------------------------------
См. ст. 1 (сфера действия ФЗ): «Настоящий ФЗ регулирует отношения в области обеспечения безопасности КИИ РФ в целях ее устойчивого функционирования при проведении в отношении ее компьютерных атак».
И далее по тексту закона
раскрываются различные аспекты обеспечения безопасности КИИ РФ, но при этом не
вводится какой-то отдельной категории информации ограниченного доступа (как это
было, например, с ПДн в 152-ФЗ) и не приводится ссылок на существующие
категории информации ограниченного доступа.
-----------------------------------------------------------------
Далее посмотрим в 149-ФЗ «Об
информации, информационных технологиях и о защите информации».-----------------------------------------------------------------
См. ст. 5: «Информация
в зависимости от категории доступа к ней подразделяется на общедоступную
информацию, а также на информацию, доступ к которой ограничен федеральными
законами (информация ограниченного доступа)».
Вывод 1:
информация, обрабатываемая в составе ЗОКИИ, в терминах 149-ФЗ является
общедоступной, если при этом она не является защищаемой по ФЗ информацией (ГТ,
ПДн) и ЗОКИИ не является ГИС. Это кажется непривычным, но по букве закона
получается так.
-----------------------------------------------------------------
Идем дальше, смотрим 184-ФЗ «О техническом регулировании».
См. ст. 2: «Оценка соответствия – это «прямое или
косвенное определение соблюдения требований, предъявляемых к объекту»;Идем дальше, смотрим 184-ФЗ «О техническом регулировании».
См.
п. 3, ст.7: «Оценка соответствия проводится в формах государственного контроля
(надзора), испытания, регистрации,
подтверждения соответствия, приемки и
ввода в эксплуатацию объекта, строительство которого закончено, и в иной
форме».
Понятия «испытания» и «приемка» как формы Оценки
соответствия далее в 184-ФЗ отдельно не раскрываются.См. п. 1, ст. 5: «В отношении … продукции, используемой в целях защиты сведений, … относимых к охраняемой в соответствии с законодательством РФ иной информации ограниченного доступа, … обязательными требованиями наряду с требованиями технических регламентов являются требования, установленные государственными заказчиками, ФОИВ, уполномоченными в области обеспечения безопасности....».
См. п. 4 ст. 5: «Особенности оценки соответствия продукции, указанной в п.1, ст.5, а также соответственно процессов ее проектирования, производства, строительства… устанавливаются Правительством РФ или уполномоченными им ФОИВ».
На этом моменте в Facebook недавно возникла дискуссия. Одна из сторон диалога стояла на том, что в соответствии с п.1 и 4 ст.5 информация в ЗОКИИ должна защищаться СЗИ, прошедшими оценку соответствия требованиям технических регламентов, которых на текущий момент нет, и поэтому единственным возможным вариантом остается использование сертифицированных СЗИ. Однако, как мы уже увидели на предыдущем шаге, информация в ЗОКИИ не относится к охраняемой в соответствии с законодательством РФ и поэтому на СЗИ, используемые для ее защиты не распространяется п.1 и 4 ст.5, 184-ФЗ, опять же с оговоркой, что эта информация не является, например, ГТ или ПДн и ЗОКИИ не является ГИС.
Вывод 2: 184-ФЗ говорит о том, что «испытания» и «приемка» являются одними из возможных форм проведения оценки соответствия, но далее в 184-ФЗ эти понятия никак не раскрываются и на СЗИ, используемые для защиты ЗОКИИ, требования по их соответствию техническим регламентам, не распространяются.
-----------------------------------------------------------------
Спускаемся на уровень ниже и переходим к приказам ФСТЭК, подзаконным 187-ФЗ.
Смотрим в 235-й приказ ФСТЭК «Об утверждении
требований к созданию систем безопасности ЗОКИИ РФ и обеспечению их
функционирования».
См. п.18: «Для обеспечения безопасности ЗОКИИ должны
применяться сертифицированные СЗИ или СЗИ, прошедшие оценку соответствия в
форме испытаний или приемки в соответствии с 184-ФЗ
«О техническом регулировании». Сертифицированные СЗИ применяются в случаях,
установленных законодательством РФ, а также в случае принятия решения субъектом
КИИ. В иных случаях применяются СЗИ, прошедшие оценку соответствия в форме
испытаний или приемки, которые проводятся субъектами КИИ самостоятельно или с
привлечением организаций, имеющих в соответствии с законодательством РФ
лицензии на деятельность в области защиты информации».
См. п.25: «ОРД по безопасности ЗОКИИ должны
определять: ..., порядок проведения испытаний или приемки СЗИ, …».
Вывод 3: Для
защиты ЗОКИИ можно использовать несертифицированные СЗИ (кроме отдельных
случаев, когда, например, ЗОКИИ является ГИСом), проведя для них испытания и
приемку либо своими силами, либо с привлечением лицензиатов. При этом субъект
КИИ должен разработать ОРД по безопасности ЗОКИИ и прописать в ней порядок
проведения испытаний или (хотя на мой взгляд тут уместнее поставить союз «и»)
приемки СЗИ.-----------------------------------------------------------------
Далее смотрим в 239-й приказ ФСТЭК «Об утверждении
требований к обеспечению безопасности ЗОКИИ РФ», в котором раскрывается тема
проведения испытаний и приемки, а также приводятся требования к СЗИ, если они
являются сертифицированными. При этом часть информации пересекается с 235-м
приказом.
См. п. 12.7: В ходе приемочных испытаний ЗОКИИ и его
подсистемы безопасности должен быть проведен комплекс организационных и технических
мероприятий (испытаний), в результате которых подтверждается соответствие ЗОКИИ
и его подсистемы безопасности настоящим Требованиям, а также требованиям ТЗ на
создание значимого объекта и (или) ТЗ (ЧТЗ) на создание подсистемы безопасности
ЗОКИИ.Приемочные испытания ЗОКИИ и его подсистемы безопасности проводятся в соответствии с ПиМИ. Результаты приемочных испытаний ЗОКИИ и его подсистемы безопасности с выводом о ее соответствии установленным требованиям включаются в акт приемки ЗОКИИ в эксплуатацию.
В случае если ЗОКИИ является ГИС, в иных случаях, установленных законодательством РФ, а также в случае принятия решения субъектом КИИ, оценка значимого объекта и его подсистемы безопасности проводится в форме аттестации ЗОКИИ в соответствии с 17-м приказом ФСТЭК.
Ввод в действие ЗОКИИ и его подсистемы безопасности
осуществляется при положительном заключении (выводе) в акте приемки (или в
аттестате соответствия) о соответствии ЗОКИИ установленным требованиям по обеспечению
безопасности.
См. п. 28: Для обеспечения безопасности ЗОКИИ должны
применяться СЗИ, прошедшие оценку на соответствие требованиям по безопасности в
формах обязательной сертификации, испытаний или приемки.
СЗИ, прошедшие оценку соответствия в форме
обязательной сертификации, применяются в случаях, установленных
законодательством РФ, а также в случае принятия решения субъектом КИИ.
В иных случаях применяются СЗИ, прошедшие оценку
соответствия в форме испытаний или приемки, которые проводятся субъектами КИИ
самостоятельно или с привлечением организаций, имеющих в соответствии с
законодательством РФ лицензии на деятельность в области защиты информации.
Испытания (приемка) СЗИ проводятся отдельно или в
составе ЗОКИИ в соответствии с программой и методиками испытаний (приемки),
утверждаемыми субъектом КИИ.
См. п. 29: В случае использования в ЗОКИИ
сертифицированных на соответствие требованиям по безопасности информации СЗИ …
в ЗОКИИ различных категорий применяются СЗИ и СВТ соответствующих классов.При этом в значимых объектах 1 и 2 категорий значимости применяются СЗИ, прошедшие проверку не ниже чем по 4 уровню контроля отсутствия НДВ.
Функции безопасности СЗИ должны обеспечивать выполнение настоящих Требований.
Вывод 4: Приемка подсистемы безопасности ЗОКИИ выполняется на основании испытаний, которые проводятся на соответствие ТЗ/ЧТЗ и в соответствии с ПиМИ. При этом в ТЗ/ЧТЗ прописываются требования 239-го приказа с учетом определенной категории и актуальных угроз безопасности информации, а в ПиМИ приводится описание заданий, выполнение которых в рамках приемочных испытаний должно продемонстрировать возможность как сертифицированных (в случае их использования), так и не сертифицированных СЗИ реализовать соответствующие требования ТЗ/ЧТЗ. В случае, если испытания пройдены успешно, составляется соответствующий акт приемки ЗОКИИ в эксплуатацию с выводом о его соответствии установленным требованиям.
Вывод 5: Если ЗОКИИ является ГИСом, то в качестве СЗИ должны использоваться только сертифицированные СЗИ, а оценка такого ЗОКИИ должна осуществляться в форме аттестации в соответствии с 17-м приказом ФСТЭК.
Вывод 6 (лайфхак): Если у Вас есть ЗОКИИ, не являющийся ГИСом и вы хотите защитить его сертифицированным СЗИ, которое не дотягивает по классу до соответствующей категории значимости или же между классом и категорией соответствие есть, но нет сертификата по НДВ (для ЗОКИИ 1 и 2 категории), то в этом случае, по крайней мере теоретически, можно использовать несертифицированные версии сертифицированного СЗИ (так, например, установка ПО СЗИ с несертифицированного CD-диска и/или отсутствие формуляра автоматически делает СЗИ в глазах регулятора несертифицированным).
-----------------------------------------------------------------
А теперь посмотрим на Проект приказа ФСБ «Об утверждении Требований к средствам, предназначенным для обнаружения, предупреждения и ликвидации последствий КА и реагирования на КИ», в котором приводятся требования к техническим средствам, из которых субъекты должны строить свои центры ГосСОПКА.
См. п. 18: Средства криптографической защиты обмена информацией, необходимой субъектам КИИ при обнаружении, предупреждении и (или) ликвидации последствий КА, должны быть сертифицированы в системе сертификации СЗИ.
Каких-то отдельных НПА ФСБ по криптозащите самих объектов КИИ нет, таких как, например, 378 приказ ФСБ по криптозащите ПДн.
Вывод 7: Для криптографической защиты информации при взаимодействии с НКЦКИ (в рамках ГосСОПКА) субъекты должны использовать сертифицированные ФСБ СКЗИ. Для криптозащиты информации в ЗОКИИ использование сертифицированных СКЗИ да и в целом криптозащита - не требуется.
-----------------------------------------------------------------
Вывод 8 (общий): Если ЗОКИИ не является ГИСом (ПДн умышленно не упоминаю, т.к. это отдельный разговор), и СЗИ не является СКЗИ, используемым для обмена информацией с НКЦКИ в рамках функционирования ГосСОПКА, то в этом случае можно использовать несертифицированные СЗИ. При этом субъекту стоит не забыть провести для них испытания и приемку по требованиям 239 приказа ФСТЭК перед вводом в действие ЗОКИИ, а в случае проверок быть готовым обосновать регулятору достаточность реализованных несертифицированными СЗИ мер для реализации соответствующих требований 239 приказа.
В целом же конечно для субъекта КИИ предпочтительнее использовать сертифицированные СЗИ, которые уже проверены соответствующими испытательными лабораториями и снимают с субъекта лишнюю головную боль при вводе в действие ЗОКИИ, а также при проверках регулятора.
Ну и в заключении можно предположить, что по мере насыщения рынка ИБ сертифицированными средствами защиты, способными эффективно реализовать требования 239-го приказа ФСТЭК, в законодательство по КИИ могут быть внесены соответствующие изменения, ограничивающие использование несертифицированных средств защиты. А пока рынок таких СЗИ созревает, регулятор допускает применение несертифицированных СЗИ, ибо защищать ЗОКИИ нужно уже сейчас!
