Comments 7
Но раскрывать вопрос нужно и с другой стороны. Приведенная в конце статьи таблица в большинстве своём относится к определенным структурам, которые подчиняются требования Регуляторов. Конечно Регуляторы придумывают всё больше «нормативки», но все равно такой процент организаций остается мал.
А как состоят дела с обычными коммерческими организациями? При рассмотрении судебной практики окажется, что таких дел окажется очень мало. Если посмотреть на суммы, которые выплачивали компании, то это совершенно несопоставимо с ценами сертифицированных средств защиты, услугами аудиторов/консалтеров/интеграторов и прочих «создателей мукулатуры», а также сопровождением этих не очень работоспособных средств.
Да и что греха таить, большинство сертифицированных средств защиты не повышает уровень защищенности (ну м.б. кроме СКЗИ), а только заполняет «галочки» в нормативных документах Регуляторов, которые в большинстве своём отстают от реальных угроз.
Поэтому вопрос реальной необходимости остаётся открытым.
Тем не менее, сам вопрос выбора действительно работающих и эффективных СЗИ важен и должен быть рассмотрен при реализации системы защиты в любой компании.
Спасибо, интересно. В каком случае, при использовании сигнатуры, не нужен сертифицированный сзи? я думал, что сигнатура однозначно требует православный сзи.
ПС я не иб, но иногда приходится вникать
Отсутствие необходимости использования сертифицированного ФСБ МЭ, на самом деле, достаточно часто встречается в практике. Например, в случае когда СКАД Сигнатура функционирует на отдельном рабочем месте, не подключенном к сетям связи общего пользования, и каналы передачи информации от/на криптосредство не выходят за пределы контролируемой зоны.
Однако даже этот момент можно назвать весьма "тонким" с учетом присутствующей неоднозначности трактовок, приведенных в эксплуатационной документации, а также периодически меняющегося мнения регуляторов на этот счёт
Приветствую, понравилась ваш подход, но хотел бы уточнить в большей степени практическую значимость по ряду вопросов (скорее всего примитивных, но необходимых для личного понимания) — где хотелось бы услышать ваше мнение/ответы:
- что насчет применимости УК РФ по ЗИ субьекта, обьекта КИИ РФ на базе вашего примера, в плане ответственности в случае возникновения инцидента — если рекомендательные документы, без обязующих к выполнению НПА, были не рассмотрены организацией или были приняты на "свое усмотрение" ответственным лицом? Вопрос составлен при условии того, что "новизна" и "изменчивость" КИИ идут от 2018 года, где хотелось бы понимать практическую значимость, которую вы видите, а желательно прочитать ваши мысли в формате: как обезопасить ответственной лицо, даже в ситуации "общего" характера — при условии вашего опыта ;)
- как можно минимизировать риски по БП для отдела ИБ не "ставя палки в колеса" бизнесу, в данном примере, если есть обязательные СЗИ и есть рекомендуемые в плане применимости на базе ДОУ (включаемые с категорированием информации по видам тайн, не рассматривая ГТ — как вы и указывали), включая уже упомянутую вами ИСПДн? Я понимаю, что все зависит от уровня ущерба по оценке возникновения риска — которые рассматриваются в отдельных ИС, включаемых в циклы процессной деятельности организации, но вопрос стоит вокруг изменений и нормативной базы в плане СЗИ в нынешних условиях применимости НКЦКИ ГосСОПКА, включая формат типизации на базе ПИБО, которая строится от модели нарушителя, атак и угроз.
- что стоит делать, если СПО СЗИ/КСЗИ, которое было выбрано при перекрытии угроз на базе моделей и делегирования доступов нарушителей — дублирует действующий функционал друг друга с перекрытием и усложнением БП?
- можно ли упростить всю "процессию" при условии применения самостоятельного решения в плане автоматизации БП организации и свести все к моделям распределения уровней значимости системы, такого типа как MLS? В вашем примере приведены данные в формате
Что касается использования СКЗИ, для организаций реализующих 1-ый уровень защиты, необходимо использовать сертифицированные ФСБ России СКЗИ. Для остальных организаций действует правило, согласно которому все используемые СКЗИ российского производства также должны быть сертифицированными.
— если вы рассматриваете данный пример, тогда каким образом строится формат применимости СПО, относительно БДУ ФСТЭК России, включая покрытие на базе моделей нарушителя, атак и угроз? Речь скорее не про построение моделей, а в плане применимости СЗИ и ее «обязательности».
- как долго данный формат сертификации/аттестации может проходить на практике?
- есть ли у вас какая-то методология по введению в промышленную эксплуатацию?
если финансовая организация использует СКЗИ российского производителя, то оно должно иметь сертификат ФСБ России.
— что насчет обязательного импортозамещения продуктов на рынке ИБ, включая рассматривание модели нарушителя, в которой иностранный софт, а также лица — являются «угрозой»?
ПС: спасибо за статью, приятно было ее прочитать и задать вам вопросы ;)
• что насчет применимости УК РФ по ЗИ субьекта, обьекта КИИ РФ на базе вашего примера, в плане ответственности в случае возникновения инцидента — если рекомендательные документы, без обязующих к выполнению НПА, были не рассмотрены организацией или были приняты на «свое усмотрение» ответственным лицом? Вопрос составлен при условии того, что «новизна» и «изменчивость» КИИ идут от 2018 года, где хотелось бы понимать практическую значимость, которую вы видите, а желательно прочитать ваши мысли в формате: как обезопасить ответственной лицо, даже в ситуации «общего» характера — при условии вашего опыта ;)
На текущий момент в УК РФ отсутствует ответственность за невыполнение требований каких-либо НПА в области защиты КИИ. Санкции могут быть применены, например, в случае нарушения правил эксплуатации объекта КИИ или системы защиты объекта КИИ (ч. 3 ст. 274.1 УК РФ).
Что касается «обезопасить ответственное лицо», то сложно сказать что-то более конкретное, чем «обеспечивайте защиту инфраструктуры, даже если объектам КИИ не присвоена категория значимости», все-таки подход к обеспечению защиты информации, выполнению требований НПА довольно сильно зависит от особенностей объекта защиты и его владельца.
• как можно минимизировать риски по БП для отдела ИБ не «ставя палки в колеса» бизнесу, в данном примере, если есть обязательные СЗИ и есть рекомендуемые в плане применимости на базе ДОУ (включаемые с категорированием информации по видам тайн, не рассматривая ГТ — как вы и указывали), включая уже упомянутую вами ИСПДн? Я понимаю, что все зависит от уровня ущерба по оценке возникновения риска — которые рассматриваются в отдельных ИС, включаемых в циклы процессной деятельности организации, но вопрос стоит вокруг изменений и нормативной базы в плане СЗИ в нынешних условиях применимости НКЦКИ ГосСОПКА, включая формат типизации на базе ПИБО, которая строится от модели нарушителя, атак и угроз.
«Палки в колеса» от сертифицированных СЗИ ненамного больше, чем от любых других. Так что вопрос скорее должен относиться к системе защиты как таковой. И решается он, как Вы правильно указали, с учетом оценки возможного ущерба.
• что стоит делать, если СПО СЗИ/КСЗИ, которое было выбрано при перекрытии угроз на базе моделей и делегирования доступов нарушителей — дублирует действующий функционал друг друга с перекрытием и усложнением БП?
Как вы могли понять из нашего материала, случаев, когда необходимо использовать именно сертифицированные СЗИ/СКЗИ не так и много, особенно если речь идет о коммерческих организациях. Поэтому вопрос дублирования функционала возникает скорее в качестве исключения, чем практики. В подобных случаях считаем необходимым отталкиваться от рисков, которые ставит перед собой организация.
• можно ли упростить всю «процессию» при условии применения самостоятельного решения в плане автоматизации БП организации и свести все к моделям распределения уровней значимости системы, такого типа как MLS? В вашем примере приведены данные в формате
Что касается использования СКЗИ, для организаций реализующих 1-ый уровень защиты, необходимо использовать сертифицированные ФСБ России СКЗИ. Для остальных организаций действует правило, согласно которому все используемые СКЗИ российского производства также должны быть сертифицированными.
— если вы рассматриваете данный пример, тогда каким образом строится формат применимости СПО, относительно БДУ ФСТЭК России, включая покрытие на базе моделей нарушителя, атак и угроз? Речь скорее не про построение моделей, а в плане применимости СЗИ и ее «обязательности».
БДУ в данном случае может использоваться исключительно в качестве базы знаний об угрозах и уязвимостях. Решение же об использовании тех или иных СЗИ принимается на основе факторов, к которым в том числе относятся: а) актуальные угрозы безопасности и их источники; б) требования по обеспечению ЗИ, устанавливаемые применимыми НПА.
• как долго данный формат сертификации/аттестации может проходить на практике?
О каком именно формате идет речь? Процессы сертификации и аттестации не являются взаимозаменяемыми, хотя бы с точки зрения объектов, в отношении которых они проводятся. Если имеется в виду процесс сертификации средства защиты информации, то его длительность зависит как минимум от требований, соответствие которым предполагается оценить – может составлять как несколько месяцев, так и год.
• есть ли у вас какая-то методология по введению в промышленную эксплуатацию?
Опять же не совсем понятно о вводе чего в эксплуатацию идет речь. Если речь про системы защиты, построенные с учетом требований НПА, то весь процесс описан в этих самых НПА, как и любой другой этап жизненного цикла таких систем. Если же имеются в виду средства защиты, то тут нужно отталкиваться прежде всего от реализуемого ими функционала: где-то достаточно установить ряд основных параметров и отключить учетные записи по умолчанию, где-то этот процесс сложнее. В любом случае, порядок ввода в эксплуатацию прописывается в эксплуатационной документации на само средство защиты.
• если финансовая организация использует СКЗИ российского производителя, то оно должно иметь сертификат ФСБ России.
— что насчет обязательного импортозамещения продуктов на рынке ИБ, включая рассматривание модели нарушителя, в которой иностранный софт, а также лица — являются «угрозой»?
Модель угроз разрабатывается владельцем объекта защиты с учетом особенностей этого самого объекта. И если в результате моделирования угроз будет определено, что угрозы с наличием НДВ в «преимущественно иностранных СЗИ» актуальны, то защищаться от них каким-либо образом придется. С другой стороны, если подобные угрозы не признаны актуальными по объективным причинам, то и строить систему защиты от них не имеет смысла. При этом стоит помнить, что особняком стоит вопрос об импортозамещении ПО, устанавливаемый отдельными НПА, например, для КИИ.
Сертифицированные vs несертифицированные средства защиты информации: требования регулятора или реальная необходимость?