Pull to refresh

Защита информации и сертификация. Если нет разницы — зачем платить больше?

Information Security *Open source *
Sandbox

Краткое вступление


Печально известный 152 ФЗ вызвал много головной боли у нашего брата — сисадмина. Даже на бумаге российское законодательство в области ИБ вызывает много вопросов, а уж когда дело доходит до решения каких-то задач на практике… Тут все становится совсем печально.
Данную статью я лично рассматриваю как маленький лучик света в этом огромном темном царстве нормативных актов, РД и прочих страшных слов, до конца не ясных простому технарю. Читать, на мой взгляд, имеет смысл как техническим специалистам, дабы донести до руководства полезную информацию, так и для порядочных руководителей, заботящихся об экономии средств и знающих реальную цену всевозможных бумажек.
Знакомая тема? Тогда добро пожаловать под кат.


Даешь сертификацию на каждый продукт!


Спасибо merced2001, он дал дельное замечание по статье.
Сразу отмечу что эта статья не рассматривает тонкие моменты сертификации шифрования и не распространяется на государственные и муниципальные информационные системы. Статья является вводной и призвана дать читателю пищу для размышлений, которые, возможно, выведут его к осмыслению данной темы. Итак, теперь с чистой совестью можно продолжить.

С самого начала идея сертификатов была вполне понятна: для того чтобы хоть как-то гарантировать соблюдение технических условий или конкретных требований регуляторов, нужно было проходить обряд посвящения процедуру сертификации. Знающий человек тут же захочет меня поправить «Не сертификации, а оценки соответствия!» и будет прав, но об этом чуть позже. Действительно, в законе сказано что все средства защиты персональных данных должны проходить процедуру оценки соответствия. И как-то так незаметно нас всех убедили что это ни что иное как сертификация. Подразумевалось что все производители быстренько сертифицируют свои продукты и наступит счастье, мир и коммунизм. Но, как известно, дьявол всегда в деталях. Он не стал долго ждать и тут же выполз на поверхность. Для справки — сертифицировать продукт стоит около 1 500 000 — 2 000 000 наших рублей. По времени примерно год. И это все автоматически закладывается в стоимость продукта. При этом сертификацию производители рассматривают как инвестиции, что вполне логично. Самую же негативную роль в ценообразовании сыграло отсутствие конкуренции. Но и высокие цены — не самое страшное из всех зол. Суть в том что все обновления так же приходилось сертифицировать. Быстрее двух недель это сделать просто невозможно. Вот и представьте себе что у вас висит сервис с критической уязвимостью, готовый эксплойт уже появился в паблике, добрые люди уже включили его в базу Metasploit, а поставщик сертифицированного продукта только-только начал чесаться в этом направлении и решение выдаст не раньше чем через две недели (это в лучшем случае). Сможете ли вы спокойно спать? Я точно не смогу. Но закон есть закон, ничего не поделаешь. Вот и приходилось терпеть нашему брату море головной боли, иногда переходящей в другое место. Это я еще не упомянул о качестве наспех слепленных «СЗИ». И вот с этим приходилось как-то жить.

Вышло ПП 1119. Что изменилось?


Фактически, госорганы, активно пропагандирующие полное покрытие инфраструктуры сертифицированной продукцией, стали угрозой номер один. А раз существует такая угроза — нужно ее нейтрализовать или сводить ущерб к минимуму.
Тут нужно отметить что нормы ПП 1119 немного смягчили и развязали руки обычным предприятиям, которые ФСТЭК и ФСБ красиво именуют «Операторы персональных данных».
Первый способ противостояния этим госорганизациям, кстати, самый чистый, законный и наименее затратный — это обезличивание и понижение уровня защищенности тех самых персональных данных. Тут постарались и математики, придумавшие алгоритмы перемешивания этих данных в базе, и аудиторы, предлагающие, например, заменить в 1С поле «инвалидность» на «льгота», тем самым уходя от биометрических данных.
Косвенно это даже дополнительно приводит инфраструктуру в порядок, что, конечно радует.
Но это лишь вершина, самое «мясо» — обоснование использования сертифицированной продукции. Как я уже говорил, в нашем законодательстве есть такая формулировка как «процедура оценки соответствия» для ФЗ 152 и ПП 1119 ФСТЭК радостно рапортовал о том что, дескать, это ни что иное как сертификация. Но, на самом деле это не так. Юридически они правы, сертификация действительно является процедурой оценки соответствия, но это лишь ее подмножество.
Если обратиться к ФЗ 184, то он гласит:
Оценка соответствия — прямое или косвенное определение соблюдения требований, предъявляемых к объекту;
Оценка соответствия проводится в формах государственного контроля (надзора), аккредитации, испытания, регистрации, подтверждения соответствия, приемки и ввода в эксплуатацию объекта, строительство которого закончено, и в иной форме.

Так что, приемка и ввод в эксплуатацию, при условии что в них проработаны методики для ИБ, вполне являются процедурой оценки соответствия. А так как их все проходят в любом случае, почему бы не использовать существующие инструменты максимально эффективно!
Такой подход дает вполне ощутимые плюсы:
Использование именно тех продуктов, которые наиболее вам подходят, а не выбор из того малого количества сертифицированных продуктов.
Отсутствие привязки к конкретному поставщику, ведь всегда можно перейти на что-то новое, просто прогнав стандартную процедуру.
Это развязывает всем руки для обоснования использования свободного программного обеспечения и тех продуктов которые способны эффективно решить поставленную задачу, а не просто махать как флагом бумажкой с печатью. Особенно СПО актуального последнее время, после заявлений Сноудена.
Кстати, пища для размышлений, бывший руководитель по обеспечению приватности в Microsoft теперь доверяет только свободному ПО.

В следующей статье я расскажу о том как можно использовать СПО для обеспечения ИБ на предприятии, опираясь на новые нормы нашего законодательства. Возможно даже с шаблонами документов, если будет время.
Tags:
Hubs:
Total votes 10: ↑7 and ↓3 +4
Views 15K
Comments Comments 30