Краткое вступление
Печально известный 152 ФЗ вызвал много головной боли у нашего брата — сисадмина. Даже на бумаге российское законодательство в области ИБ вызывает много вопросов, а уж когда дело доходит до решения каких-то задач на практике… Тут все становится совсем печально.
Данную статью я лично рассматриваю как маленький лучик света в этом огромном темном царстве нормативных актов, РД и прочих страшных слов, до конца не ясных простому технарю. Читать, на мой взгляд, имеет смысл как техническим специалистам, дабы донести до руководства полезную информацию, так и для порядочных руководителей, заботящихся об экономии средств и знающих реальную цену всевозможных бумажек.
Знакомая тема? Тогда добро пожаловать под кат.
Даешь сертификацию на каждый продукт!
Спасибо merced2001, он дал дельное замечание по статье.
Сразу отмечу что эта статья не рассматривает тонкие моменты сертификации шифрования и не распространяется на государственные и муниципальные информационные системы. Статья является вводной и призвана дать читателю пищу для размышлений, которые, возможно, выведут его к осмыслению данной темы. Итак, теперь с чистой совестью можно продолжить.
С самого начала идея сертификатов была вполне понятна: для того чтобы хоть как-то гарантировать соблюдение технических условий или конкретных требований регуляторов, нужно было проходить
Вышло ПП 1119. Что изменилось?
Фактически, госорганы, активно пропагандирующие полное покрытие инфраструктуры сертифицированной продукцией, стали угрозой номер один. А раз существует такая угроза — нужно ее нейтрализовать или сводить ущерб к минимуму.
Тут нужно отметить что нормы ПП 1119 немного смягчили и развязали руки обычным предприятиям, которые ФСТЭК и ФСБ красиво именуют «Операторы персональных данных».
Первый способ противостояния этим госорганизациям, кстати, самый чистый, законный и наименее затратный — это обезличивание и понижение уровня защищенности тех самых персональных данных. Тут постарались и математики, придумавшие алгоритмы перемешивания этих данных в базе, и аудиторы, предлагающие, например, заменить в 1С поле «инвалидность» на «льгота», тем самым уходя от биометрических данных.
Косвенно это даже дополнительно приводит инфраструктуру в порядок, что, конечно радует.
Но это лишь вершина, самое «мясо» — обоснование использования сертифицированной продукции. Как я уже говорил, в нашем законодательстве есть такая формулировка как «процедура оценки соответствия» для ФЗ 152 и ПП 1119 ФСТЭК радостно рапортовал о том что, дескать, это ни что иное как сертификация. Но, на самом деле это не так. Юридически они правы, сертификация действительно является процедурой оценки соответствия, но это лишь ее подмножество.
Если обратиться к ФЗ 184, то он гласит:
Оценка соответствия — прямое или косвенное определение соблюдения требований, предъявляемых к объекту;
Оценка соответствия проводится в формах государственного контроля (надзора), аккредитации, испытания, регистрации, подтверждения соответствия, приемки и ввода в эксплуатацию объекта, строительство которого закончено, и в иной форме.
Так что, приемка и ввод в эксплуатацию, при условии что в них проработаны методики для ИБ, вполне являются процедурой оценки соответствия. А так как их все проходят в любом случае, почему бы не использовать существующие инструменты максимально эффективно!
Такой подход дает вполне ощутимые плюсы:
Использование именно тех продуктов, которые наиболее вам подходят, а не выбор из того малого количества сертифицированных продуктов.
Отсутствие привязки к конкретному поставщику, ведь всегда можно перейти на что-то новое, просто прогнав стандартную процедуру.
Это развязывает всем руки для обоснования использования свободного программного обеспечения и тех продуктов которые способны эффективно решить поставленную задачу, а не просто махать как флагом бумажкой с печатью. Особенно СПО актуального последнее время, после заявлений Сноудена.
Кстати, пища для размышлений, бывший руководитель по обеспечению приватности в Microsoft теперь доверяет только свободному ПО.
В следующей статье я расскажу о том как можно использовать СПО для обеспечения ИБ на предприятии, опираясь на новые нормы нашего законодательства. Возможно даже с шаблонами документов, если будет время.