Анализ нового проекта приказа ФСТЭК России по защите информации в АСУ на критически важных объектах
Как я обещала ранее, сегодня проведу небольшой анализ проекта приказа ФСТЭК России «Об утверждении Требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды».
1. Давайте разберем, для кого предназначен этот приказ, и для каких автоматизированных систем устанавливаются данные требования по защите информации.
В п.1 проекта документа указано, что данные требования по защите информации устанавливаются для автоматизированных систем управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды. Для удобства буду называть такой вид автоматизированных систем «критически важными информационными системами» и введу сокращение КВИС. Примеры КВИС: автоматизированные системы управления на АЭС, ГЭС и т.д.
Согласно п.4 рассматриваемого документа: «Настоящие Требования предназначены для лиц, обеспечивающих задание требований к защите информации в автоматизированных системах управления (далее – заказчик), лиц, обеспечивающих эксплуатацию автоматизированных систем управления (далее – оператор), а также лиц, привлекаемых в соответствии с законодательством Российской Федерации к проведению работ по созданию (проектированию) автоматизированных систем управления и (или) их систем защиты (далее – разработчик (проектировщик))».
2. В проекте приказа в явном виде прописано, что вопросы связанные с применением криптографических средств защиты информации настоящим документом не регламентируются, и при необходимости использования таких средств нам следует руководствоваться методическими документами ФСБ России, которая является основным регулятором в данной сфере.
3. Выделяют следующие объекты защиты в КВИС:
— «информация (данные) о производственном и (или) технологическом процессе, управляемом (контролируемом) объекте (в том числе данные о параметрах (состоянии) управляемого (контролируемого) объекта или процесса, входная (выходная) информация, команды управления, контрольно-измерительная информация)». Следует отметить, что вопросы связанные с защитой информации, составляющей государственную тайну в настоящих требованиях не рассматриваются и регулируются в соответствии с законодательством РФ о гос. тайне;
— «программно-технический комплекс, включающий технические средства (в том числе автоматизированные рабочие места, серверы управления, телекоммуникационное оборудование, каналы связи, программируемые логические контроллеры, системы локальной автоматики, исполнительные устройства), общесистемное, прикладное (специальное) программное обеспечение, а также средства защиты информации».
4. В п. 11 анализируемого проекта документа в явном виде прописано, что для проведения работ по защите информации в КВИС должны привлекаться организации, которые имеют лицензию на деятельность по технической защите конфиденциальной информации, или же заказчик/оператор/разработчик КВИС может самостоятельно проводить данный вид работ.
Также всем противникам использования сертифицированных средств защиты информации в информационных системах персональных данных следует знать, что согласно п. 12 настоящего документа для защиты информации в КВИС необходимо применять только сертифицированные средства защиты информации, не зависимо от того, какие угрозы безопасности информации актуальны для КВИС, а какие нет.
5. Теперь поговорим немного о классификации КВИС. «Классификация автоматизированной системы управления проводится заказчиком или оператором в зависимости от уровня значимости автоматизированной системы управления и обрабатываемой в ней информации. Устанавливаются три класса защищенности автоматизированной системы управления, определяющие уровни защищенности автоматизированной системы управления. Самый низкий класс – третий, самый высокий – первый». Ну и стандартная вещь для всех новых приказов ФСТЭК, что требования к системе защиты КВИС определяются в зависимости от класса защищенности КВИС и угроз безопасности информации, включенных в модель угроз безопасности информации.
6. Отдельно стоит отметить, что аттестация КВИС на соответствие требованиям защиты информации, в отличие от Государственных Информационных Систем (см. 17 приказ ФСТЭК), не является обязательной и проводится только по желанию Заказчика.
7. Теперь посмотрим, что же нового появилось в составе мер защиты информации для КВИС. Состав мер в новом документе идентичен объединенным наборам мер из 17 и 21 приказов ФСТЭК, однако добавилось и новое. Например, в каждой группе мер добавилась так называемая «нулевая мера», которая сводится для всех групп мер к «разработке правил и процедур (политик) __вставить название группы мер__». Добавились также 6 новых групп мер:
— XIV. Обеспечение безопасной разработки прикладного (специального) программного обеспечения разработчиком (ОБР);
— XV. Управление обновлениями программного обеспечения (ОПО);
— XVI. Планирование мероприятий по обеспечению защиты информации (ПЛН);
— XVII. Обеспечение действий в нештатных (непредвиденных) ситуациях (ДНС);
— XVIII. Информирование и обучение пользователей (ИПО);
— XIX.Анализ угроз безопасности информации и рисков от их реализации (УБИ).
В целом проект приказа производит приятное впечатление, очевидных ляпов, вроде отсутствия п.5 как в 21 приказе ФСТЭК, здесь нет, все прописано достаточно четко и понятно.
С текстом проекта приказа можно ознакомиться тут.
Есть несколько комментариев относительно вашего анализа:
1) Непонятен 1 абзац пункта 4 по поводу отличий от 21 приказа. По 21 приказу также могут привлекаться только организации, имеющие лицензию на деятельность по ТЗКИ.
Кроме того, в проекте не прописано, что при самостоятельной организации работ «заказчик/оператор/разработчик КВИС может иметь такую лицензию». Насколько я понимаю, для данной категории (заказчик/оператор/разработчик) лицензия не носит обязательный характер.
2) Несогласен с утверждением, что в КВИС необходимо применять только сертифицированные средства защиты информации. В проекте говорится о СЗИ, прошедших оценку соответствия в соответствии с законодательством Российской Федерации о техническом регулировании.
Также на одной из последних конференции, прошедшей в феврале этого года, начальник управления ФСТЭК Лютиков отметил тот факт, что в проекте заложена возможность применения СЗИ, прошедших оценку соответствия в любой из форм в соответствии с ФЗ-184. Т.е. это не только сертификация.
С 1) согласна, пересмотрела 21 приказ, там в п.2. второго абзаца действительно есть про лицензию на ТЗКИ. Спасибо, исправлю недочет.
К вопросу 2):
«Статья 20. Формы подтверждения соответствия (184-ФЗ)
1. Подтверждение соответствия на территории Российской Федерации может носить добровольный или обязательный характер.
2. Добровольное подтверждение соответствия осуществляется в форме добровольной сертификации.
3. Обязательное подтверждение соответствия осуществляется в формах:
— принятия декларации о соответствии (далее — декларирование соответствия);
— обязательной сертификации».
То есть так или иначе СЗИ должно пройти либо процедуру добровольной сертификации, либо процедуру декларирования соответствия/обязательной сертификации. Как итог: СЗИ после прохождения процедуры оценки соответствия получает сертификат соответствия. Я же не писала, что СЗИ должно быть обязательно сертифицировано по линии ФСТЭК/МО/ФСБ.
Анастасия, давайте посмотрим еще раз 184-ФЗ.
В пункте 3 статье 7 (2 абзац) говорится следующее:
«Оценка соответствия проводится в формах государственного контроля (надзора), испытания, регистрации, подтверждения соответствия, приемки и ввода в эксплуатацию объекта, строительство которого закончено, и в иной форме.»
А статья 20 нам уже рассказывает про формы подтверждения соответствия. Соответственно подтверждение соответствия является одним из вариантов оценки соответствия.
Таким образом оценку соответствия можно выполнить самостоятельно, например в форме приемки и ввода в эксплуатацию объекта, создав приказ О вводе в эксплуатацию технических средств защиты (по крайней мере применительно к ИСПДн такая схема работала).
Если у Вас есть возможность и доступ, то рекомендую Вам ознакомиться с положением (ДСП) утвержденным ПП №330 от 15 мая 2010 г. «Об особенностях оценки соответствия продукции (работ, услуг), используемой в целях защиты сведений, относимых к охраняемой в соответствии с законодательством РФ информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну, а также процессов ее проектирования (включая изыскании), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации и захоронения, об особенностях аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по подтверждению соответствия указанной продукции (работ, услуг)».
Если нет, то вот Вам ссылка на его небольшой анализ http://lukatsky.blogspot.ru/2010/07/330.html.
Могу Вам подтвердить, что там действительно есть пункт про то, что оценка соответствия СЗИ осуществляется в формах обязательной сертификации =).
Однако это положение ПОКА распространяется только на ПДн и гос. информ. ресурсы. Моё мнение, что после утверждения данного приказа ФСТЭК и введения понятия АСУ для критически важных объектов, конфиденциальная информация на таких объектах будет защищаться также только средствами, которые прошли процедуру оценки с учетом этого положения, утвержденного ПП №330. Или выпустят новое положение, раз уж ИСПДн защищают только сертифицированными средствами, то и АСУ на КВО вряд ли разрешат защищать чем попало.
Таким образом, Ваша схема оценки соответствия в форме приемки и ввода в эксплуатацию объекта, создав приказ «О вводе в эксплуатацию технических средств защиты» к ИСПДн не применима.
П.С. признаю, что с оценкой соответствия и подтверждением соответствия я «затупила». Посмотрим, что будет после утверждения приказа. Пока я буду придерживаться мнения про то, что у СЗИ для КВИС должен быть сертификат соответствия, обещаю исправить данное утверждение, если это будет не так=)!
Как итог: СЗИ после прохождения процедуры оценки соответствия получает сертификат соответствия. Я же не писала, что СЗИ должно быть обязательно сертифицировано по линии ФСТЭК/МО/ФСБ.
Простите и кто выдаст сертификат соответствия?
Например, ЗАО «НПО «Эшелон» аккредитовано в качестве испытательных лабораторий как в системах обязательной сертификации Минобороны России, ФСБ России, ФСТЭК России, так и в системе добровольной сертификации «АйТи-Сертифика».
Если почитать ФЗ-184, то согласно п. 2, статьи 21:
«2. Система добровольной сертификации может быть создана юридическим лицом и (или) индивидуальным предпринимателем или несколькими юридическими лицами и (или) индивидуальными предпринимателями.
Лицо или лица, создавшие систему добровольной сертификации, устанавливают перечень объектов, подлежащих сертификации, и их характеристик, на соответствие которым осуществляется добровольная сертификация, правила выполнения предусмотренных данной системой добровольной сертификации работ и порядок их оплаты, определяют участников данной системы добровольной сертификации. Системой добровольной сертификации может предусматриваться применение знака соответствия».
Так что если к СЗИ для КВИС никто не пропишет обязательную сертификацию, то кто мешает всем противникам этой обязательной сертификации создать свою систему добровольной сертификации с упрощенными процедурами оценки соответствия и выдавать всем СЗИ сертификаты;).
Мне важно только одно: «26. Технические меры защиты информации реализуются посредством применения средств защиты информации, имеющих необходимые функции безопасности» (проект нового приказа ФСТЭК). Как вы мне любым другим методом оценки соответствия (установленным тех. регламентом), помимо испытаний или подтверждения соответствия, докажите, что СЗИ будет иметь все необходимые функции по безопасности?
Я знаком с ПП №330. Там действительно написано, что оценка соответствия СЗИ осуществляется в формах обязательной сертификации. Только есть одно обстоятельство: данный документ является закрытым (имеет пометку ДСП). А в соответствии с ФЗ-294 О защите прав ЮЛ и ИП при осуществлении госконтроля (надзора) и муниципального контроля (п.3 статья 3) данный правовой акт должен быть открытым, поэтому он не может применяться (это только одно из мнений по данной теме, которое официально не подтверждено и не опрогвергнуто).
Небольшое пояснение: я говорю про частные организации, в госучреждениях СЗИ должны быть сертифицированы.
Я с вами согласен, что стоит дождаться утверждения приказа и дальнейшей правоприменительной практики. Тем более, что разумнее было в отрасли КВИС ввести какой-нибудь обязательный контроль СЗИ и не пускать все на «русский авось».
Более того ст. 4 ФЗ 152:
«2. На основании и во исполнение федеральных законов государственные органы, Банк России, органы местного самоуправления в пределах своих полномочий могут принимать нормативные правовые акты, нормативные акты, правовые акты (далее — нормативные правовые акты) по отдельным вопросам, касающимся обработки персональных данных. Такие акты не могут содержать положения, ограничивающие права субъектов персональных данных, устанавливающие не предусмотренные федеральными законами ограничения деятельности операторов или возлагающие на операторов не предусмотренные федеральными законами обязанности, и подлежат официальному опубликованию». А как мы знаем, официальное опубликование должно проводиться путем помещения текста документа в общедоступном издании, которое должно свободно распространяться среди населения по неограниченной подписке. То есть положение по ПП№330 не прошло процедуру официального опубликования и предназначается для организаций, осуществляющих деятельность по ТЗКИ.
Но с другой стороны разумно полагать что ответственный за обеспечение безопасности персональных данных или такое подразделение должны быть ознакомлены со всеми нормативными документами в части обеспечения защиты ПДн, в том числе и с грифом ДСП. На мой взгляд, тут всё зависит от проверяющих специалистов, если им не понравится тот факт, что вы используете СЗИ не прошедшие обязательную сертификацию, то можно с помощью юристов через суд доказать то, что вы и не обязаны это делать, так как положение (ПП-330) имеет гриф ДСП и официально не опубликовано. Но вот нужны ли такие проблемы, когда проще сделать всё так, как хочется ФСТЭК и РКН, показать список ОРД, заверенные ксерокопии сертификатов соответствия на СЗИ и радоваться успешно оконченной проверке?
Вы правы, легче всего использовать сертифицированные СЗИ. Но иногда это может быть очень затратно для организации, а бюджет практически всегда ограничен. Поэтому я придерживаюсь мнения, что необходимо принимать во внимание возможности организации при реализации системы защиты.
Стоит еще отметить тот факт, что организация может самостоятельно выполнить работы по технической защите информации «для своих нужд» и ее для этого нет необходимости получать лицензию ТЗКИ (по этому поводу есь информационное письмо ФСТЭК от 30 мая 2012 г. N 240/22/2222 по вопросу необходимости получения лицензии ТЗКИ). Поэтому он в силу отсутствия такой лицензии просто не может быть знаком с закрытым документом.
Вот что еще нашла:
http://fstec.ru/component/attachments/download/350
Это ссылка на Информационное сообщение ФСТЭК России от 04.05.2012 N 240/24/1701 «О работах в области оценки соответствия продукции (работ, услуг), используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа».
Там на странице 2 есть абзац 3 и 4 про это ПП№330 и про то, что обязательно использовать сертифицированные СЗИ для защиты ПДн. И это открытый источник, указывающий на официальную позицию ФСТЭК в части защиты ПДн.
И есть еще Постановление Правительства РФ от 03.02.2012 N 79 «О лицензировании деятельности по технической защите конфиденциальной информации», пункт 6:
«д) использование для обработки конфиденциальной информации автоматизированных систем и средств защиты такой информации, прошедших процедуру оценки соответствия (аттестованных и (или) сертифицированных по требованиям безопасности информации) в соответствии с «законодательством» Российской Федерации«. И при этом не указано для внутренней обработки и защиты информации необходимо использовать СЗИ или и для проектов тоже (установил у Заказчика несертифицированное СЗИ и лишился лицензии). Согласна, что это абсурд, но трактовать наш закон можно по-разному.
Я абсолютно не против того, чтобы небольшие организации самостоятельно организовывали защиту своих ИСПДн любыми СЗИ, доказывали свою правоту РКН и ФСТЭК, но позиция регулирующих органов в вопросах защиты и ИСПДн, и ГИС, и КВИС в будущем — понятна и вряд ли скоро изменится.
В своем информационном сообщении ФСТЭК опять же ссылается на ПП№330, на основе которого говорит об обязательной сертификации. Если ПП№330 сделают открытым, то вопрос будет снят.
А ПП№79 предназначено для лицензиатов (требования описаны по отношению именно к лицензиату), а организация, выполняя комплекс работ по ЗИ ПДн самостоятельно, может и не являться таким лицензиатом.
В любом случае, верно отмечено, что «трактовать наш закон можно по-разному», поэтому обе точки зрения являются рабочими.
Подытоживая эту интересную дискуссию, могу сказать, что всетаки четкого ответа по этому вопросу в настоящее время нет, и решение об использовании сертифицированного или несертифицированного СЗИ может быть индивидуальным для каждой частной организации в зависимости от готовности отстаивать свою позицию перед регуляторами.
Про ПП№79 я и имела в виду организации, которые предоставляют услуги по ТЗКИ, и в одной из трактовок этого постановления могут лишится лицензии, при установке несертифицированных СЗИ Заказчику.
Действительно жаль, что только по ГИС есть четкое законодательное обоснование об использовании СЗИ, прошедших обязательную сертификацию, а в остальных случаях нам вместо работы, приходится искать пробелы, недочеты и «несостыковки» в законодательных актах, а также гадать, чем лучше защищать ПДн, а в скором времени и КВИС. Теперь точно буду ждать с огромным интересом утвержденную версию данного проекта приказа!
Спасибо за комментарии!