суббота, 9 июня 2018 г.

Можно ли использовать несертифицированные СЗИ для защиты значимых объектов КИИ?



Если коротко, то ДА!

Но как всегда есть нюансы, поэтому давайте разбираться. Пойдем издалека, сверху вниз - от федеральных законов к подзаконным актам.

-----------------------------------------------------------------
Заглянем сначала в 187-ФЗ «О безопасности КИИ».

См. ст. 1 (сфера действия ФЗ): «Настоящий ФЗ регулирует отношения в области обеспечения безопасности КИИ РФ в целях ее устойчивого функционирования при проведении в отношении ее компьютерных атак».

И далее по тексту закона раскрываются различные аспекты обеспечения безопасности КИИ РФ, но при этом не вводится какой-то отдельной категории информации ограниченного доступа (как это было, например, с ПДн в 152-ФЗ) и не приводится ссылок на существующие категории информации ограниченного доступа.

-----------------------------------------------------------------
Далее посмотрим в 149-ФЗ «Об информации, информационных технологиях и о защите информации».

См. ст. 5: «Информация в зависимости от категории доступа к ней подразделяется на общедоступную информацию, а также на информацию, доступ к которой ограничен федеральными законами (информация ограниченного доступа)».
Вывод 1: информация, обрабатываемая в составе ЗОКИИ, в терминах 149-ФЗ является общедоступной, если при этом она не является защищаемой по ФЗ информацией (ГТ, ПДн) и ЗОКИИ не является ГИС. Это кажется непривычным, но по букве закона получается так.

-----------------------------------------------------------------

Идем дальше, смотрим 184-ФЗ «О техническом регулировании».
См. ст. 2: «Оценка соответствия – это «прямое или косвенное определение соблюдения требований, предъявляемых к объекту»;

См. п. 3, ст.7: «Оценка соответствия проводится в формах государственного контроля (надзора), испытания, регистрации, подтверждения соответствия, приемки и ввода в эксплуатацию объекта, строительство которого закончено, и в иной форме».
Понятия «испытания» и «приемка» как формы Оценки соответствия далее в 184-ФЗ отдельно не раскрываются.

См. п. 1, ст. 5: «В отношении … продукции, используемой в целях защиты сведений, … относимых к охраняемой в соответствии с законодательством РФ иной информации ограниченного доступа, … обязательными требованиями наряду с требованиями технических регламентов являются требования, установленные государственными заказчиками, ФОИВ, уполномоченными в области обеспечения безопасности....».

См. п. 4 ст. 5: «Особенности оценки соответствия продукции, указанной в п.1, ст.5, а также соответственно процессов ее проектирования, производства, строительства… устанавливаются Правительством РФ или уполномоченными им ФОИВ».

На этом моменте в Facebook недавно возникла дискуссия. Одна из сторон диалога стояла на том, что в соответствии с п.1 и 4 ст.5 информация в ЗОКИИ должна защищаться СЗИ, прошедшими оценку соответствия требованиям технических регламентов, которых на текущий момент нет, и поэтому единственным возможным вариантом остается использование сертифицированных СЗИ. Однако, как мы уже увидели на предыдущем шаге, информация в ЗОКИИ не относится к охраняемой в соответствии с законодательством РФ и поэтому на СЗИ, используемые для ее защиты не распространяется п.1 и 4 ст.5, 184-ФЗ, опять же с оговоркой, что эта информация не является, например, ГТ или ПДн и ЗОКИИ не является ГИС.

Вывод 2: 184-ФЗ говорит о том, что «испытания» и «приемка» являются одними из возможных форм проведения оценки соответствия, но далее в 184-ФЗ эти понятия никак не раскрываются и на СЗИ, используемые для защиты ЗОКИИ, требования по их соответствию техническим регламентам, не распространяются.

-----------------------------------------------------------------

Спускаемся на уровень ниже и переходим к приказам ФСТЭК, подзаконным 187-ФЗ.

Смотрим в 235-й приказ ФСТЭК «Об утверждении требований к созданию систем безопасности ЗОКИИ РФ и обеспечению их функционирования».
См. п.18: «Для обеспечения безопасности ЗОКИИ должны применяться сертифицированные СЗИ или СЗИ, прошедшие оценку соответствия в форме испытаний или приемки в соответствии с 184-ФЗ «О техническом регулировании». Сертифицированные СЗИ применяются в случаях, установленных законодательством РФ, а также в случае принятия решения субъектом КИИ. В иных случаях применяются СЗИ, прошедшие оценку соответствия в форме испытаний или приемки, которые проводятся субъектами КИИ самостоятельно или с привлечением организаций, имеющих в соответствии с законодательством РФ лицензии на деятельность в области защиты информации».

См. п.25: «ОРД по безопасности ЗОКИИ должны определять: ..., порядок проведения испытаний или приемки СЗИ, …».
Вывод 3: Для защиты ЗОКИИ можно использовать несертифицированные СЗИ (кроме отдельных случаев, когда, например, ЗОКИИ является ГИСом), проведя для них испытания и приемку либо своими силами, либо с привлечением лицензиатов. При этом субъект КИИ должен разработать ОРД по безопасности ЗОКИИ и прописать в ней порядок проведения испытаний или (хотя на мой взгляд тут уместнее поставить союз «и») приемки СЗИ.

-----------------------------------------------------------------

Далее смотрим в 239-й приказ ФСТЭК «Об утверждении требований к обеспечению безопасности ЗОКИИ РФ», в котором раскрывается тема проведения испытаний и приемки, а также приводятся требования к СЗИ, если они являются сертифицированными. При этом часть информации пересекается с 235-м приказом.
См. п. 12.7: В ходе приемочных испытаний ЗОКИИ и его подсистемы безопасности должен быть проведен комплекс организационных и технических мероприятий (испытаний), в результате которых подтверждается соответствие ЗОКИИ и его подсистемы безопасности настоящим Требованиям, а также требованиям ТЗ на создание значимого объекта и (или) ТЗ (ЧТЗ) на создание подсистемы безопасности ЗОКИИ.

Приемочные испытания ЗОКИИ и его подсистемы безопасности проводятся в соответствии с ПиМИ. Результаты приемочных испытаний ЗОКИИ и его подсистемы безопасности с выводом о ее соответствии установленным требованиям включаются в акт приемки ЗОКИИ в эксплуатацию.

В случае если ЗОКИИ является ГИС, в иных случаях, установленных законодательством РФ, а также в случае принятия решения субъектом КИИ, оценка значимого объекта и его подсистемы безопасности проводится в форме аттестации ЗОКИИ в соответствии с 17-м приказом ФСТЭК.

Ввод в действие ЗОКИИ и его подсистемы безопасности осуществляется при положительном заключении (выводе) в акте приемки (или в аттестате соответствия) о соответствии ЗОКИИ установленным требованиям по обеспечению безопасности.
См. п. 28: Для обеспечения безопасности ЗОКИИ должны применяться СЗИ, прошедшие оценку на соответствие требованиям по безопасности в формах обязательной сертификации, испытаний или приемки.

СЗИ, прошедшие оценку соответствия в форме обязательной сертификации, применяются в случаях, установленных законодательством РФ, а также в случае принятия решения субъектом КИИ.
В иных случаях применяются СЗИ, прошедшие оценку соответствия в форме испытаний или приемки, которые проводятся субъектами КИИ самостоятельно или с привлечением организаций, имеющих в соответствии с законодательством РФ лицензии на деятельность в области защиты информации.

Испытания (приемка) СЗИ проводятся отдельно или в составе ЗОКИИ в соответствии с программой и методиками испытаний (приемки), утверждаемыми субъектом КИИ.
См. п. 29: В случае использования в ЗОКИИ сертифицированных на соответствие требованиям по безопасности информации СЗИ … в ЗОКИИ различных категорий применяются СЗИ и СВТ соответствующих классов.

При этом в значимых объектах 1 и 2 категорий значимости применяются СЗИ, прошедшие проверку не ниже чем по 4 уровню контроля отсутствия НДВ.

Функции безопасности СЗИ должны обеспечивать выполнение настоящих Требований.

Вывод 4: Приемка подсистемы безопасности ЗОКИИ выполняется на основании испытаний, которые проводятся на соответствие ТЗ/ЧТЗ и в соответствии с ПиМИ. При этом в ТЗ/ЧТЗ прописываются требования 239-го приказа с учетом определенной категории и актуальных угроз безопасности информации, а в ПиМИ приводится описание заданий, выполнение которых в рамках приемочных испытаний должно продемонстрировать возможность как сертифицированных (в случае их использования), так и не сертифицированных СЗИ реализовать соответствующие требования ТЗ/ЧТЗ. В случае, если испытания пройдены успешно, составляется соответствующий акт приемки  ЗОКИИ в эксплуатацию с выводом о его соответствии установленным требованиям.

Вывод 5: Если ЗОКИИ является ГИСом, то в качестве СЗИ должны использоваться только сертифицированные СЗИ, а оценка такого ЗОКИИ должна осуществляться в форме аттестации в соответствии с 17-м приказом ФСТЭК.

Вывод 6 (лайфхак): Если у Вас есть ЗОКИИ, не являющийся ГИСом и вы хотите защитить его сертифицированным СЗИ, которое не дотягивает по классу до соответствующей категории значимости или же между классом и категорией соответствие есть, но нет сертификата по НДВ (для ЗОКИИ 1 и 2 категории), то в этом случае, по крайней мере теоретически, можно использовать несертифицированные версии сертифицированного СЗИ (так, например, установка ПО СЗИ с несертифицированного CD-диска и/или отсутствие формуляра автоматически делает СЗИ в глазах регулятора несертифицированным).

-----------------------------------------------------------------

А теперь посмотрим на Проект приказа ФСБ «Об утверждении Требований к средствам, предназначенным для обнаружения, предупреждения и ликвидации последствий КА и реагирования на КИ», в котором приводятся требования к техническим средствам, из которых субъекты должны строить свои центры ГосСОПКА.

См. п. 18: Средства криптографической защиты обмена информацией, необходимой субъектам КИИ при обнаружении, предупреждении и (или) ликвидации последствий КА, должны быть сертифицированы в системе сертификации СЗИ.

Каких-то отдельных НПА ФСБ по криптозащите самих объектов КИИ нет, таких как, например, 378 приказ ФСБ по криптозащите ПДн.

Вывод 7: Для криптографической защиты информации при взаимодействии с НКЦКИ (в рамках ГосСОПКА) субъекты должны использовать сертифицированные ФСБ СКЗИ. Для криптозащиты информации в ЗОКИИ использование сертифицированных СКЗИ да и в целом криптозащита - не требуется.

-----------------------------------------------------------------

Вывод 8 (общий): Если ЗОКИИ не является ГИСом (ПДн умышленно не упоминаю, т.к. это отдельный разговор), и СЗИ не является СКЗИ, используемым для обмена информацией с НКЦКИ в рамках функционирования ГосСОПКА, то в этом случае можно использовать несертифицированные СЗИ. При этом субъекту стоит не забыть провести для них испытания и приемку по требованиям 239 приказа ФСТЭК перед вводом в действие ЗОКИИ, а в случае проверок быть готовым обосновать регулятору достаточность реализованных несертифицированными СЗИ мер для реализации соответствующих требований 239 приказа. 

В целом же конечно для субъекта КИИ предпочтительнее использовать сертифицированные СЗИ, которые уже проверены соответствующими испытательными лабораториями и снимают с субъекта лишнюю головную боль при вводе в действие ЗОКИИ, а также при проверках регулятора.

Ну и в заключении можно предположить, что по мере насыщения рынка ИБ сертифицированными средствами защиты, способными эффективно реализовать требования 239-го приказа ФСТЭК, в законодательство по КИИ могут быть внесены соответствующие изменения, ограничивающие использование несертифицированных средств защиты. А пока рынок таких СЗИ созревает, регулятор допускает применение несертифицированных СЗИ, ибо защищать ЗОКИИ нужно уже сейчас!