Comments 7
Ваш посыл, как интегратора понять можно — больше Клиентов.
Но раскрывать вопрос нужно и с другой стороны. Приведенная в конце статьи таблица в большинстве своём относится к определенным структурам, которые подчиняются требования Регуляторов. Конечно Регуляторы придумывают всё больше «нормативки», но все равно такой процент организаций остается мал.
А как состоят дела с обычными коммерческими организациями? При рассмотрении судебной практики окажется, что таких дел окажется очень мало. Если посмотреть на суммы, которые выплачивали компании, то это совершенно несопоставимо с ценами сертифицированных средств защиты, услугами аудиторов/консалтеров/интеграторов и прочих «создателей мукулатуры», а также сопровождением этих не очень работоспособных средств.
Да и что греха таить, большинство сертифицированных средств защиты не повышает уровень защищенности (ну м.б. кроме СКЗИ), а только заполняет «галочки» в нормативных документах Регуляторов, которые в большинстве своём отстают от реальных угроз.
Поэтому вопрос реальной необходимости остаётся открытым.
Но раскрывать вопрос нужно и с другой стороны. Приведенная в конце статьи таблица в большинстве своём относится к определенным структурам, которые подчиняются требования Регуляторов. Конечно Регуляторы придумывают всё больше «нормативки», но все равно такой процент организаций остается мал.
А как состоят дела с обычными коммерческими организациями? При рассмотрении судебной практики окажется, что таких дел окажется очень мало. Если посмотреть на суммы, которые выплачивали компании, то это совершенно несопоставимо с ценами сертифицированных средств защиты, услугами аудиторов/консалтеров/интеграторов и прочих «создателей мукулатуры», а также сопровождением этих не очень работоспособных средств.
Да и что греха таить, большинство сертифицированных средств защиты не повышает уровень защищенности (ну м.б. кроме СКЗИ), а только заполняет «галочки» в нормативных документах Регуляторов, которые в большинстве своём отстают от реальных угроз.
Поэтому вопрос реальной необходимости остаётся открытым.
Цель статьи — понять, какие действующие документы (из довольно внушительного списка НПА) требуют использования сертифицированных решений, а какие нет. Тем самым немного упростив задачу организациям, освободив их от необходимости самостоятельно изучать многостраничные тексты. Оценивать эффективность сертифицированных СЗИ не предполагалось, поэтому в статье и отсутствуют оценочные суждения.
Тем не менее, сам вопрос выбора действительно работающих и эффективных СЗИ важен и должен быть рассмотрен при реализации системы защиты в любой компании.
Тем не менее, сам вопрос выбора действительно работающих и эффективных СЗИ важен и должен быть рассмотрен при реализации системы защиты в любой компании.
Спасибо, интересно. В каком случае, при использовании сигнатуры, не нужен сертифицированный сзи? я думал, что сигнатура однозначно требует православный сзи.
ПС я не иб, но иногда приходится вникать
Отсутствие необходимости использования сертифицированного ФСБ МЭ, на самом деле, достаточно часто встречается в практике. Например, в случае когда СКАД Сигнатура функционирует на отдельном рабочем месте, не подключенном к сетям связи общего пользования, и каналы передачи информации от/на криптосредство не выходят за пределы контролируемой зоны.
Однако даже этот момент можно назвать весьма "тонким" с учетом присутствующей неоднозначности трактовок, приведенных в эксплуатационной документации, а также периодически меняющегося мнения регуляторов на этот счёт
Приветствую, понравилась ваш подход, но хотел бы уточнить в большей степени практическую значимость по ряду вопросов (скорее всего примитивных, но необходимых для личного понимания) — где хотелось бы услышать ваше мнение/ответы:
- что насчет применимости УК РФ по ЗИ субьекта, обьекта КИИ РФ на базе вашего примера, в плане ответственности в случае возникновения инцидента — если рекомендательные документы, без обязующих к выполнению НПА, были не рассмотрены организацией или были приняты на "свое усмотрение" ответственным лицом? Вопрос составлен при условии того, что "новизна" и "изменчивость" КИИ идут от 2018 года, где хотелось бы понимать практическую значимость, которую вы видите, а желательно прочитать ваши мысли в формате: как обезопасить ответственной лицо, даже в ситуации "общего" характера — при условии вашего опыта ;)
- как можно минимизировать риски по БП для отдела ИБ не "ставя палки в колеса" бизнесу, в данном примере, если есть обязательные СЗИ и есть рекомендуемые в плане применимости на базе ДОУ (включаемые с категорированием информации по видам тайн, не рассматривая ГТ — как вы и указывали), включая уже упомянутую вами ИСПДн? Я понимаю, что все зависит от уровня ущерба по оценке возникновения риска — которые рассматриваются в отдельных ИС, включаемых в циклы процессной деятельности организации, но вопрос стоит вокруг изменений и нормативной базы в плане СЗИ в нынешних условиях применимости НКЦКИ ГосСОПКА, включая формат типизации на базе ПИБО, которая строится от модели нарушителя, атак и угроз.
- что стоит делать, если СПО СЗИ/КСЗИ, которое было выбрано при перекрытии угроз на базе моделей и делегирования доступов нарушителей — дублирует действующий функционал друг друга с перекрытием и усложнением БП?
- можно ли упростить всю "процессию" при условии применения самостоятельного решения в плане автоматизации БП организации и свести все к моделям распределения уровней значимости системы, такого типа как MLS? В вашем примере приведены данные в формате
Что касается использования СКЗИ, для организаций реализующих 1-ый уровень защиты, необходимо использовать сертифицированные ФСБ России СКЗИ. Для остальных организаций действует правило, согласно которому все используемые СКЗИ российского производства также должны быть сертифицированными.
— если вы рассматриваете данный пример, тогда каким образом строится формат применимости СПО, относительно БДУ ФСТЭК России, включая покрытие на базе моделей нарушителя, атак и угроз? Речь скорее не про построение моделей, а в плане применимости СЗИ и ее «обязательности».
- как долго данный формат сертификации/аттестации может проходить на практике?
- есть ли у вас какая-то методология по введению в промышленную эксплуатацию?
если финансовая организация использует СКЗИ российского производителя, то оно должно иметь сертификат ФСБ России.
— что насчет обязательного импортозамещения продуктов на рынке ИБ, включая рассматривание модели нарушителя, в которой иностранный софт, а также лица — являются «угрозой»?
ПС: спасибо за статью, приятно было ее прочитать и задать вам вопросы ;)
Добрый день!
• что насчет применимости УК РФ по ЗИ субьекта, обьекта КИИ РФ на базе вашего примера, в плане ответственности в случае возникновения инцидента — если рекомендательные документы, без обязующих к выполнению НПА, были не рассмотрены организацией или были приняты на «свое усмотрение» ответственным лицом? Вопрос составлен при условии того, что «новизна» и «изменчивость» КИИ идут от 2018 года, где хотелось бы понимать практическую значимость, которую вы видите, а желательно прочитать ваши мысли в формате: как обезопасить ответственной лицо, даже в ситуации «общего» характера — при условии вашего опыта ;)
На текущий момент в УК РФ отсутствует ответственность за невыполнение требований каких-либо НПА в области защиты КИИ. Санкции могут быть применены, например, в случае нарушения правил эксплуатации объекта КИИ или системы защиты объекта КИИ (ч. 3 ст. 274.1 УК РФ).
Что касается «обезопасить ответственное лицо», то сложно сказать что-то более конкретное, чем «обеспечивайте защиту инфраструктуры, даже если объектам КИИ не присвоена категория значимости», все-таки подход к обеспечению защиты информации, выполнению требований НПА довольно сильно зависит от особенностей объекта защиты и его владельца.
• как можно минимизировать риски по БП для отдела ИБ не «ставя палки в колеса» бизнесу, в данном примере, если есть обязательные СЗИ и есть рекомендуемые в плане применимости на базе ДОУ (включаемые с категорированием информации по видам тайн, не рассматривая ГТ — как вы и указывали), включая уже упомянутую вами ИСПДн? Я понимаю, что все зависит от уровня ущерба по оценке возникновения риска — которые рассматриваются в отдельных ИС, включаемых в циклы процессной деятельности организации, но вопрос стоит вокруг изменений и нормативной базы в плане СЗИ в нынешних условиях применимости НКЦКИ ГосСОПКА, включая формат типизации на базе ПИБО, которая строится от модели нарушителя, атак и угроз.
«Палки в колеса» от сертифицированных СЗИ ненамного больше, чем от любых других. Так что вопрос скорее должен относиться к системе защиты как таковой. И решается он, как Вы правильно указали, с учетом оценки возможного ущерба.
• что стоит делать, если СПО СЗИ/КСЗИ, которое было выбрано при перекрытии угроз на базе моделей и делегирования доступов нарушителей — дублирует действующий функционал друг друга с перекрытием и усложнением БП?
Как вы могли понять из нашего материала, случаев, когда необходимо использовать именно сертифицированные СЗИ/СКЗИ не так и много, особенно если речь идет о коммерческих организациях. Поэтому вопрос дублирования функционала возникает скорее в качестве исключения, чем практики. В подобных случаях считаем необходимым отталкиваться от рисков, которые ставит перед собой организация.
• можно ли упростить всю «процессию» при условии применения самостоятельного решения в плане автоматизации БП организации и свести все к моделям распределения уровней значимости системы, такого типа как MLS? В вашем примере приведены данные в формате
Что касается использования СКЗИ, для организаций реализующих 1-ый уровень защиты, необходимо использовать сертифицированные ФСБ России СКЗИ. Для остальных организаций действует правило, согласно которому все используемые СКЗИ российского производства также должны быть сертифицированными.
— если вы рассматриваете данный пример, тогда каким образом строится формат применимости СПО, относительно БДУ ФСТЭК России, включая покрытие на базе моделей нарушителя, атак и угроз? Речь скорее не про построение моделей, а в плане применимости СЗИ и ее «обязательности».
БДУ в данном случае может использоваться исключительно в качестве базы знаний об угрозах и уязвимостях. Решение же об использовании тех или иных СЗИ принимается на основе факторов, к которым в том числе относятся: а) актуальные угрозы безопасности и их источники; б) требования по обеспечению ЗИ, устанавливаемые применимыми НПА.
• как долго данный формат сертификации/аттестации может проходить на практике?
О каком именно формате идет речь? Процессы сертификации и аттестации не являются взаимозаменяемыми, хотя бы с точки зрения объектов, в отношении которых они проводятся. Если имеется в виду процесс сертификации средства защиты информации, то его длительность зависит как минимум от требований, соответствие которым предполагается оценить – может составлять как несколько месяцев, так и год.
• есть ли у вас какая-то методология по введению в промышленную эксплуатацию?
Опять же не совсем понятно о вводе чего в эксплуатацию идет речь. Если речь про системы защиты, построенные с учетом требований НПА, то весь процесс описан в этих самых НПА, как и любой другой этап жизненного цикла таких систем. Если же имеются в виду средства защиты, то тут нужно отталкиваться прежде всего от реализуемого ими функционала: где-то достаточно установить ряд основных параметров и отключить учетные записи по умолчанию, где-то этот процесс сложнее. В любом случае, порядок ввода в эксплуатацию прописывается в эксплуатационной документации на само средство защиты.
• если финансовая организация использует СКЗИ российского производителя, то оно должно иметь сертификат ФСБ России.
— что насчет обязательного импортозамещения продуктов на рынке ИБ, включая рассматривание модели нарушителя, в которой иностранный софт, а также лица — являются «угрозой»?
Модель угроз разрабатывается владельцем объекта защиты с учетом особенностей этого самого объекта. И если в результате моделирования угроз будет определено, что угрозы с наличием НДВ в «преимущественно иностранных СЗИ» актуальны, то защищаться от них каким-либо образом придется. С другой стороны, если подобные угрозы не признаны актуальными по объективным причинам, то и строить систему защиты от них не имеет смысла. При этом стоит помнить, что особняком стоит вопрос об импортозамещении ПО, устанавливаемый отдельными НПА, например, для КИИ.
• что насчет применимости УК РФ по ЗИ субьекта, обьекта КИИ РФ на базе вашего примера, в плане ответственности в случае возникновения инцидента — если рекомендательные документы, без обязующих к выполнению НПА, были не рассмотрены организацией или были приняты на «свое усмотрение» ответственным лицом? Вопрос составлен при условии того, что «новизна» и «изменчивость» КИИ идут от 2018 года, где хотелось бы понимать практическую значимость, которую вы видите, а желательно прочитать ваши мысли в формате: как обезопасить ответственной лицо, даже в ситуации «общего» характера — при условии вашего опыта ;)
На текущий момент в УК РФ отсутствует ответственность за невыполнение требований каких-либо НПА в области защиты КИИ. Санкции могут быть применены, например, в случае нарушения правил эксплуатации объекта КИИ или системы защиты объекта КИИ (ч. 3 ст. 274.1 УК РФ).
Что касается «обезопасить ответственное лицо», то сложно сказать что-то более конкретное, чем «обеспечивайте защиту инфраструктуры, даже если объектам КИИ не присвоена категория значимости», все-таки подход к обеспечению защиты информации, выполнению требований НПА довольно сильно зависит от особенностей объекта защиты и его владельца.
• как можно минимизировать риски по БП для отдела ИБ не «ставя палки в колеса» бизнесу, в данном примере, если есть обязательные СЗИ и есть рекомендуемые в плане применимости на базе ДОУ (включаемые с категорированием информации по видам тайн, не рассматривая ГТ — как вы и указывали), включая уже упомянутую вами ИСПДн? Я понимаю, что все зависит от уровня ущерба по оценке возникновения риска — которые рассматриваются в отдельных ИС, включаемых в циклы процессной деятельности организации, но вопрос стоит вокруг изменений и нормативной базы в плане СЗИ в нынешних условиях применимости НКЦКИ ГосСОПКА, включая формат типизации на базе ПИБО, которая строится от модели нарушителя, атак и угроз.
«Палки в колеса» от сертифицированных СЗИ ненамного больше, чем от любых других. Так что вопрос скорее должен относиться к системе защиты как таковой. И решается он, как Вы правильно указали, с учетом оценки возможного ущерба.
• что стоит делать, если СПО СЗИ/КСЗИ, которое было выбрано при перекрытии угроз на базе моделей и делегирования доступов нарушителей — дублирует действующий функционал друг друга с перекрытием и усложнением БП?
Как вы могли понять из нашего материала, случаев, когда необходимо использовать именно сертифицированные СЗИ/СКЗИ не так и много, особенно если речь идет о коммерческих организациях. Поэтому вопрос дублирования функционала возникает скорее в качестве исключения, чем практики. В подобных случаях считаем необходимым отталкиваться от рисков, которые ставит перед собой организация.
• можно ли упростить всю «процессию» при условии применения самостоятельного решения в плане автоматизации БП организации и свести все к моделям распределения уровней значимости системы, такого типа как MLS? В вашем примере приведены данные в формате
Что касается использования СКЗИ, для организаций реализующих 1-ый уровень защиты, необходимо использовать сертифицированные ФСБ России СКЗИ. Для остальных организаций действует правило, согласно которому все используемые СКЗИ российского производства также должны быть сертифицированными.
— если вы рассматриваете данный пример, тогда каким образом строится формат применимости СПО, относительно БДУ ФСТЭК России, включая покрытие на базе моделей нарушителя, атак и угроз? Речь скорее не про построение моделей, а в плане применимости СЗИ и ее «обязательности».
БДУ в данном случае может использоваться исключительно в качестве базы знаний об угрозах и уязвимостях. Решение же об использовании тех или иных СЗИ принимается на основе факторов, к которым в том числе относятся: а) актуальные угрозы безопасности и их источники; б) требования по обеспечению ЗИ, устанавливаемые применимыми НПА.
• как долго данный формат сертификации/аттестации может проходить на практике?
О каком именно формате идет речь? Процессы сертификации и аттестации не являются взаимозаменяемыми, хотя бы с точки зрения объектов, в отношении которых они проводятся. Если имеется в виду процесс сертификации средства защиты информации, то его длительность зависит как минимум от требований, соответствие которым предполагается оценить – может составлять как несколько месяцев, так и год.
• есть ли у вас какая-то методология по введению в промышленную эксплуатацию?
Опять же не совсем понятно о вводе чего в эксплуатацию идет речь. Если речь про системы защиты, построенные с учетом требований НПА, то весь процесс описан в этих самых НПА, как и любой другой этап жизненного цикла таких систем. Если же имеются в виду средства защиты, то тут нужно отталкиваться прежде всего от реализуемого ими функционала: где-то достаточно установить ряд основных параметров и отключить учетные записи по умолчанию, где-то этот процесс сложнее. В любом случае, порядок ввода в эксплуатацию прописывается в эксплуатационной документации на само средство защиты.
• если финансовая организация использует СКЗИ российского производителя, то оно должно иметь сертификат ФСБ России.
— что насчет обязательного импортозамещения продуктов на рынке ИБ, включая рассматривание модели нарушителя, в которой иностранный софт, а также лица — являются «угрозой»?
Модель угроз разрабатывается владельцем объекта защиты с учетом особенностей этого самого объекта. И если в результате моделирования угроз будет определено, что угрозы с наличием НДВ в «преимущественно иностранных СЗИ» актуальны, то защищаться от них каким-либо образом придется. С другой стороны, если подобные угрозы не признаны актуальными по объективным причинам, то и строить систему защиты от них не имеет смысла. При этом стоит помнить, что особняком стоит вопрос об импортозамещении ПО, устанавливаемый отдельными НПА, например, для КИИ.
Sign up to leave a comment.
Сертифицированные vs несертифицированные средства защиты информации: требования регулятора или реальная необходимость?