Комментарии 27
Делаем вид, что впервые слышим про ПП-330?
Там явно дается комментарий, что оценка соответствия = сертификация. Если Подрядчик является лицензиатом ФСТЭК, он не в праве предлагать другие методы оценки соответствия. Если же Заказчик желает считать оценку соответствия чем-то иным, он может написать официальное письмо Подрядчику об этом. В таком случае после снятия грифа ДСП с ПП-330 ответственность за использования несертифицированных средств защиты лежит на Заказчике и Подрядчику не грозит отзыв лицензии.
Там явно дается комментарий, что оценка соответствия = сертификация. Если Подрядчик является лицензиатом ФСТЭК, он не в праве предлагать другие методы оценки соответствия. Если же Заказчик желает считать оценку соответствия чем-то иным, он может написать официальное письмо Подрядчику об этом. В таком случае после снятия грифа ДСП с ПП-330 ответственность за использования несертифицированных средств защиты лежит на Заказчике и Подрядчику не грозит отзыв лицензии.
Ни в коем. Все мои статьи написаны исключительно на открытых документах. Но ПП-330, насколько я помню до сих пор ДСП. Я-то доступ имею, но рядовые компании явно к такой информации доступа не имеют. Чтобы не повторять написанное — вот мнение Лукацкого lukatsky.blogspot.ru/2010/08/330.html
А я уже писал статью на эту тему.
Все сводится к тому что подрядчиков нужно гнать ссаными тряпками со своими сертифицированными устройствами.
И делать максимум самому. Это спасает от покупки перепакованного Debian с установленным крипто-про и наличием сертификата за аморальную цену.
Все сводится к тому что подрядчиков нужно гнать ссаными тряпками со своими сертифицированными устройствами.
И делать максимум самому. Это спасает от покупки перепакованного Debian с установленным крипто-про и наличием сертификата за аморальную цену.
Тема ПП 330 навязла в зубах уже. Скажем в lukatsky.blogspot.ru/2010/07/330.html Лукацкий утверждает, что оно только для госорганов. Есть интересное письмо ФСТЭК fstec.ru/component/attachments/download/350, но вспоминаем, что никто требования закона расширять не может… В общем дело грустное и печальное (http://anvolkov.blogspot.ru/2012/05/blog-post_21.html#.VTTfAMX-aCg)
Да все прозрачно вполне. ФСТЭК не противоречит закону. Сертификация является оценкой соответсвия. Все правильно. Но не только она.
Пока ПП 330 официально не зарегистрировано в минюсте — оно не имеет юридической силы для коммерческих контор.
Вроде непробиваемая стена аргументов, а эту тему все жуют, жуют… Тфу!
Пока ПП 330 официально не зарегистрировано в минюсте — оно не имеет юридической силы для коммерческих контор.
Вроде непробиваемая стена аргументов, а эту тему все жуют, жуют… Тфу!
Основная проблема нашего законодательства — куча кусочков, не складывающихся в единую и непротиворечивую систему. Постоянно присутствуют то неисполнимые требования, то вызывающие двойное толкование.
А больше всего добивает хор хвалебных голосов…
А больше всего добивает хор хвалебных голосов…
Вот последнее и является ключевым фактором. Когда начинаешь разбираться, хватает буквально пары вечеров. И все при желании раскладывается по полочкам. Иногда это несколько вечеров. А хор голосов нужно игнорировать, это лишний элемент при детальном анализе. Зато не скучно =)
+100500 :-)
Чтение любой нормативки должно быть обязанностью любого айтишника. Ибо к сожалению многие комментирующие привязывают свои комментарии к продуктам фирм, в которых они работают, или руководствуются своими взглядами. Например на необходимость полной свободы в сети. Поэтому «доверять можно только отдельным людям и по отдельным вопросам» (не мое)
Чтение любой нормативки должно быть обязанностью любого айтишника. Ибо к сожалению многие комментирующие привязывают свои комментарии к продуктам фирм, в которых они работают, или руководствуются своими взглядами. Например на необходимость полной свободы в сети. Поэтому «доверять можно только отдельным людям и по отдельным вопросам» (не мое)
И где вы такие грамотеи беретесь…
1.5. Обязательной сертификации подлежат средства, в том числе иностранного производства, предназначенные для защиты информации, составляющей государственную тайну, и другой информации с ограниченным доступом, а также средства, использующиеся в управлении экологически опасными объектами.
В остальных случаях сертификация носит добровольный характер (добровольная сертификация) и осуществляется по инициативе разработчика, изготовителя или потребителя средства защиты информации.
1.5. Обязательной сертификации подлежат средства, в том числе иностранного производства, предназначенные для защиты информации, составляющей государственную тайну, и другой информации с ограниченным доступом, а также средства, использующиеся в управлении экологически опасными объектами.
В остальных случаях сертификация носит добровольный характер (добровольная сертификация) и осуществляется по инициативе разработчика, изготовителя или потребителя средства защиты информации.
Ничуть не возражаю. Но не вижу где я утверждал, что не нужно сертифицировать продукты. Статья о двух вещах:
1. В разных документах прописаны разные требования
2. В соответствии с действующими документами использование сертифицированных продуктов не является безусловно обусловленным.
Сама по себе сертификация (как идея) штука нужная, но скажем для антивирусов смысла не имеет. В силу их особенностей обновления. А посему если можно не использовать сертифицированную версию — лучше не использовать
1. В разных документах прописаны разные требования
2. В соответствии с действующими документами использование сертифицированных продуктов не является безусловно обусловленным.
Сама по себе сертификация (как идея) штука нужная, но скажем для антивирусов смысла не имеет. В силу их особенностей обновления. А посему если можно не использовать сертифицированную версию — лучше не использовать
Нет, я всегда буду настаивать на том что сертификация в сфере безопасности — абсолютное зло. Почему? Потому что сертификация обновлений никогда не будет успевать за эксплуататорами дыр. А в последнее время разрыв между публикацией и началом чеса сокращается. Как ни старайся, быстрее двух недель не сертифицировать. Это я уже проходил и не раз. Так что лесом!
Единственное где это пока может хоть как-то работать — ГОСТ шифрование. Исключительно потому что это самый распространенный продукт (крипто-про) и потому что ФСБ сильнее зажало гайки. А так я бы пользовался патченным OpenSSL.
Единственное где это пока может хоть как-то работать — ГОСТ шифрование. Исключительно потому что это самый распространенный продукт (крипто-про) и потому что ФСБ сильнее зажало гайки. А так я бы пользовался патченным OpenSSL.
сертификация может быть полезна для использования в замкнутых сетях (госорганы, критичные структуры и тд) зарубежных продуктов — особенно там, где есть проблема с доставкой обновлений.
Мы не можем отказаться от продуктов того же Микрософт, но проверить их на закладки — дело правильное
Мы не можем отказаться от продуктов того же Микрософт, но проверить их на закладки — дело правильное
Каким образом и как сертификация закрытого блоба частной конторой может быть полезна в госсетях? Сертификация закытых продуктов не подразумевает полной проверки на отсутствие НДВ. Вы говорите какую-то оторванную от реальности… ээм… «информацию».
В реальности — да. К сожалению. Именно поэтому я выше написал, что сама идея сертификации на НДВ — привлекательна. Но зная как в реальности проходит сертификация… У меня иногда возникает подозрение, что сертифицируемые продукты не запускаются в ходе сертификации даже для проформы.
Проблема и сертификации и ИБ в целом на уровне государства — отсутствие специалистов и неумение отстроить процедуры. Все это заменяет выпуск документов. Которые в силу того же отсутствия специалистов получаются корявыми. А исправлять их — низзя. Можно только вносить мелкие правки, не меняющие суть :-(
Типичный пример — высокохвалимые профиля. В реальности с выходом профилей и переходом на сертификацию по ним проблем заказчиков еще возрасло — а качество защит — нет.
По сути у нас единственный более-менее нормальный пакет документов — это СТО БР РФ. И до той поры, пока в России/Украине/Белоруссии не появится влиятельная организация, которая сможет развивать стандарты — ничего не поменяется. В том же ФСТЕКе все понимают, но ничего поменять не могут
Проблема и сертификации и ИБ в целом на уровне государства — отсутствие специалистов и неумение отстроить процедуры. Все это заменяет выпуск документов. Которые в силу того же отсутствия специалистов получаются корявыми. А исправлять их — низзя. Можно только вносить мелкие правки, не меняющие суть :-(
Типичный пример — высокохвалимые профиля. В реальности с выходом профилей и переходом на сертификацию по ним проблем заказчиков еще возрасло — а качество защит — нет.
По сути у нас единственный более-менее нормальный пакет документов — это СТО БР РФ. И до той поры, пока в России/Украине/Белоруссии не появится влиятельная организация, которая сможет развивать стандарты — ничего не поменяется. В том же ФСТЕКе все понимают, но ничего поменять не могут
Я помню вашу статью :)
habrahabr.ru/post/200894
Шаблоны документов у вас получились? Интересен ваш опыт бумажного щита для СПО.
habrahabr.ru/post/200894
Шаблоны документов у вас получились? Интересен ваш опыт бумажного щита для СПО.
Вот еще тема для размышления в свете 21 приказа ФСБ. Сейчас все крупные конторы географически разнесены. Многие обрабатывают перс данные в виде базы в головном офисе. Все используют vpn.
А все ли используют сертифицированные скзи с гостом для построения шифрованных каналов?:)
А все ли используют сертифицированные скзи с гостом для построения шифрованных каналов?:)
Статья 13.12. Нарушение правил защиты информации
2. Использование несертифицированных информационных систем, баз и банков данных, а также несертифицированных средств защиты информации, если они подлежат обязательной сертификации (за исключением средств защиты информации, составляющей государственную тайну), — влечет наложение административного штрафа на юридических лиц до двадцати пяти тысяч рублей с конфискацией несертифицированных средств защиты информации.
Я надеюсь, вы готовы нести ответственность за свои «антимифы» и компенсируете убыток тем организациям, которые вам поверят, в случае чего.
2. Использование несертифицированных информационных систем, баз и банков данных, а также несертифицированных средств защиты информации, если они подлежат обязательной сертификации (за исключением средств защиты информации, составляющей государственную тайну), — влечет наложение административного штрафа на юридических лиц до двадцати пяти тысяч рублей с конфискацией несертифицированных средств защиты информации.
Я надеюсь, вы готовы нести ответственность за свои «антимифы» и компенсируете убыток тем организациям, которые вам поверят, в случае чего.
Как я понимаю, ключевая фраза здесь «если они подлежат обязательной сертификации».
Моя статья — не в коей мере не задумывалась, как не подлежащий пересмотру Коран или иной религиозный текст. Она возникла исключительно в силу огромного числа запросов от людей, совершенно не знающих чего они хотят или уже прошедших обработку словами «специалистов»
Проблема в том, что если в компанию уже было отрекламировано какое-либо знание, то выкорчевыванию оно практически не поддается. К нам приходит огромное количество запросов на сертифицированные продукты, но совершенный мизер звонящих и пишущих готов обсуждать варианты снижения стоимости решений. Фактически единственный раз, когда это пришлось делать — защита персданных морга. Без смеха, получил огромное удовольствие от общения со специалистом
Я готов с удовольствием дополнить и отредактировать свою статью в случае предоставления вами либо кем-то иным полной цепочки — начиная от требований закона и до реальных действий регуляторов на местах. К сожалению вырванные из контекста фразы можно толковать как угодно — как показал первый же ответ на ваш комментарий
Если в статье появятся для баланса иные варианты, которые компании смогут обратить себе не пользу — я думаю это будет полезно всем
Приношу извинения, ответ дан на предыдущий комментарий
Проблема в том, что если в компанию уже было отрекламировано какое-либо знание, то выкорчевыванию оно практически не поддается. К нам приходит огромное количество запросов на сертифицированные продукты, но совершенный мизер звонящих и пишущих готов обсуждать варианты снижения стоимости решений. Фактически единственный раз, когда это пришлось делать — защита персданных морга. Без смеха, получил огромное удовольствие от общения со специалистом
Я готов с удовольствием дополнить и отредактировать свою статью в случае предоставления вами либо кем-то иным полной цепочки — начиная от требований закона и до реальных действий регуляторов на местах. К сожалению вырванные из контекста фразы можно толковать как угодно — как показал первый же ответ на ваш комментарий
Если в статье появятся для баланса иные варианты, которые компании смогут обратить себе не пользу — я думаю это будет полезно всем
Приношу извинения, ответ дан на предыдущий комментарий
Теперь цель поста мне стала понятней. Вы — сотрудник компании, которая продает решения по защите персональных данных, и эти решения вы не можете/не хотите сертифицировать во ФСТЭК.
Продавая свое несертифицированное решение организациям (хотя бы даже и моргу), вы подставляете их под статью 13.12 КоАП, ибо органы надзора навряд ли примут во внимание «сомнительный статус ПП330». Для них статус ПП330 вполне конкретный, и ситуация с сертифицированными СЗИ ясна, как божий день.
На закуску, выдержка из рекомендаций региональных органов ФСТЭК. Название документа указывать не будут, ибо пропадет вся интрига и мы не дождемся 6 Мифа «Регуляторы при проверках прислушиваются к мнению блогеров с Хабра».
Продавая свое несертифицированное решение организациям (хотя бы даже и моргу), вы подставляете их под статью 13.12 КоАП, ибо органы надзора навряд ли примут во внимание «сомнительный статус ПП330». Для них статус ПП330 вполне конкретный, и ситуация с сертифицированными СЗИ ясна, как божий день.
На закуску, выдержка из рекомендаций региональных органов ФСТЭК. Название документа указывать не будут, ибо пропадет вся интрига и мы не дождемся 6 Мифа «Регуляторы при проверках прислушиваются к мнению блогеров с Хабра».
Ну это вы загнули. Да я сотрудник компании, но у нашей компании сертифицирована вся линейка продуктов по ФСТЭК, ФСБ, МО, 1С и тд. Не нужно конспирологии. Я четко описал цель статьи — специалисты принимающие решения при их принятии должны понимать, что они делают. И не более. В данной статье рекламы нет. Совсем
А проверяющие должны не прислушиваться к мнению с Хабра, а читать документы, составленные компанией — не забываем, что большинство проверок — документарные. По сути статья направлена на то, что бы эти документы не переписывались с некого источника, а составлялись с пониманием
А проверяющие должны не прислушиваться к мнению с Хабра, а читать документы, составленные компанией — не забываем, что большинство проверок — документарные. По сути статья направлена на то, что бы эти документы не переписывались с некого источника, а составлялись с пониманием
Если я правильно опознал источник, то это lib2.podelise.ru/docs/34163/index-11396.html.
Все это уже отменено. Если я не прав — просьба указать источник
Методические рекомендации разработаны на основании:
Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;
Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденного постановлением Правительства Российской Федерации от 17 ноября 2007 г. № 781;
Порядка проведения классификации информационных систем персональных данных, утвержденного приказом ФСТЭК России, ФСБ России и Мининформсвязи России от 13 февраля 2008 г. № 55/86/20;
Все это уже отменено. Если я не прав — просьба указать источник
полная цитата:
Кодекс Российской Федерации об административных правонарушениях
Раздел II. ОСОБЕННАЯ ЧАСТЬ
Глава 13. АДМИНИСТРАТИВНЫЕ ПРАВОНАРУШЕНИЯ В ОБЛАСТИ СВЯЗИ И ИНФОРМАЦИИ
Статья 13.12. Нарушение правил защиты информации
2. Использование несертифицированных информационных систем, баз и банков данных, а также несертифицированных средств защиты информации, если они подлежат обязательной сертификации (за исключением средств защиты информации, составляющей государственную тайну), — влечет…
4. Использование несертифицированных средств, предназначенных для защиты информации, составляющей государственную тайну, — влечет…
Итого:
— за использование несертифицированных баз и банков данных (если они подлежат обязательной сертификации) — штраф. Кто либо с таким сталкивался?
— «если они подлежат обязательной сертификации» — как я показал выше такое требование отсутствует (ПП-330 в силу его сомнительного статуса не рассматриваем)
— а вот пункт 4 используется в полный рост — оговорок нет и для защиты гостайны все покупают сертифицированные средства
Кодекс Российской Федерации об административных правонарушениях
Раздел II. ОСОБЕННАЯ ЧАСТЬ
Глава 13. АДМИНИСТРАТИВНЫЕ ПРАВОНАРУШЕНИЯ В ОБЛАСТИ СВЯЗИ И ИНФОРМАЦИИ
Статья 13.12. Нарушение правил защиты информации
2. Использование несертифицированных информационных систем, баз и банков данных, а также несертифицированных средств защиты информации, если они подлежат обязательной сертификации (за исключением средств защиты информации, составляющей государственную тайну), — влечет…
4. Использование несертифицированных средств, предназначенных для защиты информации, составляющей государственную тайну, — влечет…
Итого:
— за использование несертифицированных баз и банков данных (если они подлежат обязательной сертификации) — штраф. Кто либо с таким сталкивался?
— «если они подлежат обязательной сертификации» — как я показал выше такое требование отсутствует (ПП-330 в силу его сомнительного статуса не рассматриваем)
— а вот пункт 4 используется в полный рост — оговорок нет и для защиты гостайны все покупают сертифицированные средства
Что-то мне подсказывает, что вслед за статьей «Требуют ли акты по 152-ФЗ обязательного использования сертифицированных продуктов», нужно делать подборку актов, где такие требования точно есть. За ссылку на ПП 982 спасибо, в моей коллекции его нет. Посмотрю
Как я говорил выше — наше правовое поле не представляет собой единого и непротиворечивого пространства. В данной статье я рассмотрел только требования по защите ПДн — и то без приказов ФСБ. А скажем ситуация по защите банков (СТО БР РФ), компаний, защищающих критичную инфраструктуру, предприятий хранящих гостайну — совсем иная. Скажем в СТР-К требования иные:
Поэтому для каждого типа защищаемой информации нужно рассматривать свою последовательность требований. Увы
Как я говорил выше — наше правовое поле не представляет собой единого и непротиворечивого пространства. В данной статье я рассмотрел только требования по защите ПДн — и то без приказов ФСБ. А скажем ситуация по защите банков (СТО БР РФ), компаний, защищающих критичную инфраструктуру, предприятий хранящих гостайну — совсем иная. Скажем в СТР-К требования иные:
Для управления, контроля защищенности ЛВС и управления системных ресурсов в ЛВС, включая управление средствами защиты информации, обрабатываемой (хранимой, передаваемой) в ЛВС, должны использоваться соответствующие сертифицированные по требованиям безопасности информации средства защиты
Средства защиты информации, применяемые в информационных системах, в установленном порядке проходят процедуру оценки соответствия
Поэтому для каждого типа защищаемой информации нужно рассматривать свою последовательность требований. Увы
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Как поймать то, чего нет. Часть пятая: Миф о необходимости сертифицированного ПО