Код Безопасности

вторник, 2 июля 2013 г.

Нужно ли использовать сертифицированные СЗИ в ИСПДн?


После выхода приказа ФСТЭК №21 от 18 февраля 2013 года эксперты приступили к обсуждению вопроса – обязательно ли использовать сертифицированные средства защиты информации (СЗИ) при создании системы защиты ИСПДн. Операторы персональных данных замерли в ожидании их решения. Но к единой точки зрения эксперты не пришли, поэтому я попробую еще раз разобраться в этом вопросе.

К сожалению, при написании 21 приказа специалисты ФСТЭК и приглашенные эксперты использовали следующую формулировку, которая и вызывает вопросы:

«4. Меры по обеспечению безопасности персональных данных реализуются в том числе посредством применения в информационной системе средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия, в случаях, когда применение таких средств необходимо для нейтрализации актуальных угроз безопасности персональных данных.»

По этому пункту приказа, однозначно не следует, что любые средства защиты информации должны быть сертифицированы, причем понимать вопроса сразу два. Во-первых, можно понимать данный пункт как карт-бланш на использование любых СЗИ, в том числе и сертифицированных, во-вторых, многие специалисты настаивают на мнении, что процедура оценки соответствия – это не обязательно сертификация по требованиям безопасности информации.

Для однозначного ответа на первый вопрос о необходимости использования только СЗИ, прошедших процедуру оценки соответствия,  достаточно обратиться к постановлению Правительства РФ № 1119 от 1 ноября 2012 г. "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", в 13 пункте которого указано, что для обеспечения 4-го уровня защищенности ПДн необходимо выполнить следующее требование:

«г) использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз»

В остальные уровни защищенности ПДн это требования также входит. На основании этого пункта, обязательно применение СЗИ, прошедших процедуру оценки соответствия, для нейтрализации актуальных угроз. Неактуальные угрозы можно защищать любыми СЗИ, но неактуальные угрозы никто, как правило, не защищает.

Остается только вопрос о расшифровке термина "процедура оценки соответствия". Есть мнения, что оценкой соответствия может быть не только обязательная сертификация в системе сертификации ФСТЭК, но и декларирование соответствия (разработчиком СЗИ) или добровольная сертификация – в негосударственных системах сертификации.
Обратимся к истории, в отмененном постановлении Правительства РФ № 781 от 17 ноября 2007 г. было четкое указание, что оценка соответствия проводится с помощью экспертизы ФСТЭК или ФСБ. А вот в новом постановлении такого пункта уже нет, но сохраняет своё действие  постановление Правительства РФ № 330 от 15 мая 2010 г., выпущенное под грифом ДСП, которым было принято "Положение об особенностях оценки соответствия продукции (работ, услуг), используемой в целях защиты сведений, относимых к охраняемой в соответствии с законодательством Российской Федерации информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну, а также процессов её проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации и захоронения.", в соответствии с которым оценка соответствия проводится в форме обязательной сертификации.

Дополнительные разъяснения по данному вопросу даны в информационном сообщении ФСТЭК № 240/24/1701 от 4 мая 2012 года, в котором однозначно указана позиция регулятора – СЗИ, используемые для защиты персональных данных, подлежат обязательной сертификации в системе сертификаии ФСТЭК на соответствия требованиям, установленным ФСТЭК.
Это должно развеять все сомнения и дать однозначный ответ - процедура оценки соответствия - это только сертификация по требованиям безопасности информации

2 комментария:

  1. Вас не смущает, что 266-е Постановление распространяется ТОЛЬКО на средства защиты, предназначенные для эксплуатации в загранучреждениях?

    ОтветитьУдалить
  2. Мы тут - http://dlp-expert.ru/blog/5336/42558 - уже дискутируем по этому поводу.

    ОтветитьУдалить