Комментарии 6
ФСТЭК (раз уже он влез в регулирование товарно-денежных отношений) запретил проводить аттестацию через тендеры — только прямые договора! Думаю, все недовольные 44-ым скажут спасибо за такое послаблениеНе уверен, что суд согласится с таким толкованием. Т.к. если тут коллизия норм в законе и подзаконном акте — то действует норма, установленная в законе. Либо есть способ удовлетворить обоим требованиям…
Первое, что обескураживает это вступление в силу нового Положения уже с 1 сентября этого года. Это прям совсем не очень, так как документ ломает через колено многие техпроцессы, связанные с аттестацией как на стороне лицензиатов, так и на стороне операторов систем.
Больше всего печалит пункт 15б. Для государственных информационных систем (ГИС) в соответствии с 676 постановлением правительства необходимо согласовывать модель угроз (МУ) и техническое задание на создание системы защиты информации (ТЗ) со ФСТЭК. Раньше не было явного требования получать согласование до аттестации, теперь есть. Раньше для проведения аттестации достаточно было наличия этих разработанных документов и утвержденных со стороны оператора системы. Их согласование могло проводиться параллельно с аттестацией. Проблема тут в том что:
— ФСТЭК может согласовывать документы месяцами;
— мы ни разу не видели в ответе от ФСТЭК на согласование МУ и ТЗ слова «согласовано», обычно они пишут «документы в целом соответствуют требованиям, но… {замечания}». Тут вопрос — когда считать документы согласованными? Вот получили первый ответ, исправили замечания, на этом всё? Или исправляем замечания, отправляем по новой, ждем второй ответ?
— по опыту согласования десятков МУ и ТЗ — мы ни разу не получали замечания, которые могли бы в корне повлиять на систему защиты (например, актуальные угрозы признаны неактуальными или не учтены необходимые меры защиты), в основном косметика и спорные моменты, не влияющие в целом на проект системы защиты информации.
Как сейчас это будет организовываться — не понятно, потому что даже сделать финт ушами — закрыть договор -> дождаться согласования -> выдать аттестат задним числом до окончания даты договора, не получится, потому что по новому Положению дата аттестата должна быть позже даты письма от ФСТЭК с согласованием.
п. 9 — добавили, что срок аттестации, устанавливаемый Владельцем, не может быть больше 4 месяцев
Мне тоже не понятно чего ФСТЭК лезет в отношения заказчика и лицензиата. Действительно бывают проекты, когда аттестовывается распределенная система с разъездами по всему Дальнему Востоку (в том числе в труднодоступные районы), там сроки были и 8 и 12 месяцев.
С другой стороны, 4 месяца это только срок аттестации. Проектирование, аудит, разработка документов в этот срок не входит. Посмотрим как это будет работать.
п. 31 — для того, чтобы разные органы по аттестации и Владельцы ОИ не называли результаты периодического контроля по разному ФСТЭК определил точное название документа: Протокол контроля защиты, оформляемый по результатам периодического контроля уровня защиты (п. 31).
С этим протоколами тоже много вопросов помимо названия. Написано, что протоколы нужно направлять раз в два года, но раз в два года нужно направлять именно протоколы. То есть больше одного. Тогда сколько? Еще я ожидал в приложениях увидеть форму такого протокола, но нет. Ведь можно на одной страничкие написать: «Протокол. Комиссия проверила систему защиты, она функционирует, все хорошо. Подписи членов комиссии». Может нужно что-то более подробное? Аналог аттестационных испытаний? Отчет сканера уязвимостей? Пентест?
Чисто с концептуальной точки зрения требование понятное. Мы сами часто сталкивались с ситуацией, когда после получения аттестата, оператор сносил к чертям средства защиты. Теперь должен отчитываться периодически, но не хватает конкретики по форме таких проверок.
п.5. Словосочетание «орган по аттестации». Лицензиат не может себя им считать, если нет аттестата аккредитации органа по аттестации (список аккредитованных органов — здесь).
Тут вы не правы от слова «совсем». Аттестат аккредитации органа по аттестации выдавался только для работ по гостайне (но и его уже упразднили). Собственно по вашей ссылке список именно таких лицензиатов. Мы имеем лицензию и по ГТ и по ТЗКИ, поищите в приведенном вами списке «информационный центр», там мы фигурируем с лицензией номер 3435 — это именно лицензия по гостайне. Номер нашей лицензии по ТЗКИ — 0918 и его в этом перечне нет. Поэтому в данном случае «орган по аттестации» это просто принимаемое в документе сокращение для лицензиатов по ТЗКИ и применяемое далее по тексту документа.
пп.3,5,6. То, что органы госвласти могут сами себе проводить аттестацию — это прекрасно, но непонятно, лицензиаты — могут сами себе тоже сделать? или им надо обязательно договариваться с другими лицензиатами, чтобы те сделали им работы по аттестации?
Раньше лицензиаты могли себя аттестовывать и это не вызывало никаких вопросов у ФСТЭК. Сейчас получается по новому Положению не могут, потому что орган по аттестации должен быть не зависим от владельца аттестуемого объекта… Смотря на то же Положение, где госы могут аттестовывать сами себя своим подразделением по ИБ. Получаются какие-то двойные стандартики. Так и представляю себе подразделение по ИБ какого-нибудь регионального министерства, независимо и непредвзято аттестующее свои же системы и непримиримо настаивающее на выполнении ИТ-службой, пользователями и самим министром всех требований ИБ.
п.11. Технический паспорт на ОИ — это хорошо. Теперь обязательно будет нужна инвентаризация ОИ. Особенно хорошо для владельцев К1 ГИС, с 20-50к АРМ, распределённых по РФ
Не знаю с какого вы региона, но на ДВ так всегда было. Не прямо, но косвенно наличие техпаспорта было обязательно при атетстации, потому что в ходе испытаний нужно провести «анализ полноты исходных данных и проверку их соответствия реальным условиям размещения, монтажа и эксплуатации ГИС». По факту такими исходными данными и был техпаспорт. При сегментном подходе у нас тоже никто обязанность подготовки техпаспорта не снимал. Просто обязанности по подготовке техпаспорта на сегмент ложилась на оператора сегмента. В итоге если это огромная ГИС на тысячи АРМ, при любом подходе все эти АРМ должны были быть внесены в техпаспорты.
п.21. Лицензиат должен как-то «оценивать качество» работ. Интересно, на это нужна отдельная ПМИ? Как сделать оценку: в процентах? в соответствии с научным подходом по зубодробительной формуле? в звёздах (5 из 5)? в рублях? в хорошо/плохо? подойти пнуть ногой, сказать «ну так, вроде, норм, чё»? просто лайкнуть?
Можно брать пример со ФСТЭК: «В целом соответствует требованиям по ЗИ, но...» =)
п.27. Лицензиат в течение 5 дней направляет копии аттестата и других документов во ФСТЭК. 5 дней! 5 дней, Карл! No comments.
Я думаю тут речь именно о том, чтобы в течение 5 дней отправить, а не чтобы через 5 дней после выдачи аттестата у ФСТЭК лежало на столе. Но будем конечно еще уточнять этот момент.
Как интересно частные Заказчики отнесутся к тому, что их контрагент в нарушение соглашения о соблюдении конфиденциальности всю эту красоту отправит во ФСТЭК? Ну это ладно, ну в суд подадут, ну плохая карма будет у лицензиатов.
Никакие внутренние документы, договоры и прочие NDA не могут противоречить законодательству. Так же как вы можете сколько угодно в своем внутреннем положении о коммерческой тайне (КТ) писать, что зарплата сотрудников является КТ, но вы не привлечете к ответственности сотрудника, который разгласит такую информацию, потому что по закону о КТ, такие сведения не могут быть отнесены к КТ.
Но, а что делать, если аттестацию заказала ФСБ? ФСО? ФСТЭКу любопытно, чем там защищаются смежные службы?
17 приказ:
Настоящие Требования не распространяются на государственные информационные системы Администрации Президента Российской Федерации, Совета Безопасности Российской Федерации, Федерального Собрания Российской Федерации, Правительства Российской Федерации, Конституционного Суда Российской Федерации, Верховного Суда Российской Федерации и Федеральной службы безопасности Российской Федерации.
Сегментный подход этот Порядок убивает что-ли? Т.е. этот порядок противоречит 17му приказу и ГОСТу на аттестацию?
Не в полной мере соответствует, но я не вижу прямых противоречий. Вот в 17 приказе написано, что порядок распространения аттестата на сегменты должен быть прописан в аттестационных документах. В шаблоне аттестата в приложении к Положению такого нет. Добавляем сами — PROFIT.
P. S. Еще несколько моментов по положению, которые вызывают вопросы.
Те самые разделы, когда орган по аттестации не выдает аттестат, а заказчик с этим не согласен. Обе стороны высылают во ФСТЭК обоснования своей позиции, а ФСТЭК по этим документам определяет кто из них прав, кто виноват. Что-то мне подсказывает, что выражение «бумага все стерпит» появилось не на пустом месте.
Те самые отчеты, которые надо каждые 2 года слать во ФСТЭК. Что с ними для уже аттестованных объектов. Понятно, что их нужно слать, но с какого момента начинается отсчет этих 2 лет? С момента выдачи аттестата? С момента вступления в силу Положения? Третий вариант?
— ФСТЭК может согласовывать документы месяцами;
А ещё в некоторых регионах местные власти требуют согласования с ними моделей и ТЗ. Что тоже может длиться месяцами, т.к. никаких регламентов они на себя не делают, сроков себе не устанавливают
— мы ни разу не видели в ответе от ФСТЭК на согласование МУ и ТЗ слова «согласовано», обычно они пишут «документы в целом соответствуют требованиям, но… {замечания}». Тут вопрос — когда считать документы согласованными? Вот получили первый ответ, исправили замечания, на этом всё? Или исправляем замечания, отправляем по новой, ждем второй ответ?
У нас были и согласованные на титуле МУ, и согласованные письмом. Стандартная фраза "считать согласованной"
— по опыту согласования десятков МУ и ТЗ — мы ни разу не получали замечания, которые могли бы в корне повлиять на систему защиты (например, актуальные угрозы признаны неактуальными или не учтены необходимые меры защиты), в основном косметика и спорные моменты, не влияющие в целом на проект системы защиты информации.
Были и замечания к актуальности угроз, особенно при согласовании с другой службой
Как сейчас это будет организовываться — не понятно, потому что даже сделать финт ушами — закрыть договор -> дождаться согласования -> выдать аттестат задним числом до окончания даты договора, не получится, потому что по новому Положению дата аттестата должна быть позже даты письма от ФСТЭК с согласованием.
А ещё потому, что надо аттестат уже отправить в течение 5 дней
С другой стороны, 4 месяца это только срок аттестации. Проектирование, аудит, разработка документов в этот срок не входит. Посмотрим как это будет работать.
Если есть этапность - да, Вы можете прописать в календарном плане: этап Аттестация - 4 месяца. А если этапности нет - аттестация - задача, а этап единственный?
Тут вы не правы от слова «совсем». Аттестат аккредитации органа по аттестации выдавался только для работ по гостайне (но и его уже упразднили). Собственно по вашей ссылке список именно таких лицензиатов.
Давно не в гостайне. Сейчас уточнил, действительно ФСТЭК уходит от аккредитации органов по аттестации (наверное, Росаккредитация сильно удивляется что за орган такой). Тем хуже. Получается "орган по аттестации" теперь вообще непонятно нечто - это сокращение в пределах документа, а ещё список лицензиатов по ГТ. Т.е. ОА - они как бы есть, но официально нет ни одного, получается, документа ФСТЭК, который бы определил, кто такие ОА.
Могли бы хотя бы ввести ОА - в виде термина. А так, если некая абстрактная незамужняя женщина скажет, что у неё есть Малый Улучшенный Жёлудь (далее - муж), это не значит, что все органы госвласти, включая ЗАГС будут подтверждать, что мол да, у неё есть муж.
И вообще, непонятно, что за странность использовать именно это словосочетание. Уже много лет все используют слово "лицензиат", все привыкли, органы - в ГТ, здесь - лицензиаты. Наверное, была проведена поисковая НИР, психологическо-маркетинговой-технической направленности, в результате которой определено, что подменой техницизма "лицензиат" этом словосочетанием и введением в оборот в профессиональной среде в области защиты конфы повысит обороноспособность страны, защищённость всех ФГИС/ГИС/МИС и прочих ИС.
Не знаю с какого вы региона, но на ДВ так всегда было. Не прямо, но косвенно наличие техпаспорта было обязательно при атетстации, потому что в ходе испытаний нужно провести «анализ полноты исходных данных и проверку их соответствия реальным условиям размещения, монтажа и эксплуатации ГИС».
С центрального. Не было до Порядка ни одного документа ФСТЭК с 2013 года, который бы требовал разрабатывать этот анахронизм. Его могли требовать по контракту Заказчики. Но и то были варианты.
При сегментном подходе у нас тоже никто обязанность подготовки техпаспорта не снимал. Просто обязанности по подготовке техпаспорта на сегмент ложилась на оператора сегмента.
Не совсем понятно, сегментный подход определён в ГОСТ (п. 6.5.3) и в 17ом Приказе (п. 17.3). Там не встречается словосочетание "технический паспорт", а значит такой обязанности ни на Заказчика, ни на Лицензиата просто не установлено. Поэтому никто его делать и не был обязан.
*не понял, кто такой оператор сегмента ИС. При сегментном подходе или без него - оператор у ИС всегда один - это определено определением из 149-фз. Есть вариант, что региональная ГИС в названии имеет слово "Сегмент...", но это не сегмент ГИС, а ГИС "Сегмент ФГИС".
В итоге если это огромная ГИС на тысячи АРМ, при любом подходе все эти АРМ должны были быть внесены в техпаспорты.
Да весь цимус сегментного подхода: возможность для лицензиата - сократить сроки, а для Заказчика - уменьшить стоимость работ по аттестации. Уже после после получения аттестата и ввода ИС в действие, владелец может постепенно покупать средства защиты, устанавливать и настраивать их в соответствии с эталонными аттестованными сегментами, и вводить их в эксплуатацию путём приёмки, без участия лицензиата.
Можно брать пример со ФСТЭК: «В целом соответствует требованиям по ЗИ, но...» =)
Да. И потом получить в ответ. ФСТЭК рассмотрел ваше решение и может сообщить следующее. В целом проведённая Вами оценка качества соответствует требованиям по ЗИ, но...» =))
Я думаю тут речь именно о том, чтобы в течение 5 дней отправить, а не чтобы через 5 дней после выдачи аттестата у ФСТЭК лежало на столе. Но будем конечно еще уточнять этот момент.
Да обычно не до отправки во ФСТЭК. Есть контрактные обязательства со вполне конкретными штрафами
Никакие внутренние документы, договоры и прочие NDA не могут противоречить законодательству. Так же как вы можете сколько угодно в своем внутреннем положении о коммерческой тайне (КТ) писать, что зарплата сотрудников является КТ, но вы не привлечете к ответственности сотрудника, который разгласит такую информацию, потому что по закону о КТ, такие сведения не могут быть отнесены к КТ.
При чём тут зарплата работников международной? как её лицензиат разгласит, если отправит во ФСТЭК, если ему её никто и не сообщит? Да и кому нужно и так знают (налоговая и другие службы). С чего это филиал международной корпорации будет благосклонно смотреть на то, что лицензиат, который аттестанул его ИСПДн, слил сведения о его системе защиты в федеральную службу РФ, особенно, если штаб-квартира такой корпорации находится, например, в поясе UTC-05:00? Лицензиаты теперь тоже привлекаются в эти игры?
17 приказ: Настоящие Требования не распространяются на государственные информационные системы Администрации Президента Российской Федерации, Совета Безопасности Российской Федерации, Федерального Собрания Российской Федерации, Правительства Российской Федерации, Конституционного Суда Российской Федерации, Верховного Суда Российской Федерации и Федеральной службы безопасности Российской Федерации.
Хмм. Пояндексил, нашёл заявку подведа ФСБ на госуслугах Услуги по переаттестации действующих объектов информатизации и проведению работ по защите и аттестации автоматизированных систем Дальневосточного отдела ФГУП «ПИ» ФСБ России.
Тоже изучаю сейчас это положение, вопросов много возникает таких же о чем вы пишите выше.
Раньше лицензиаты могли себя аттестовывать и это не вызывало никаких вопросов у ФСТЭК. Сейчас получается по новому Положению не могут, потому что орган по аттестации должен быть не зависим от владельца аттестуемого объекта…
Но вот на счёт аттестации лицензиатами своих систем, не вижу ни каких ни прямых ни косвенных запретов в тексте документа. Если сможете, укажите пожалуйста пункт из которого данный запрет следует.
Те самые отчеты, которые надо каждые 2 года слать во ФСТЭК. Что с ними для уже аттестованных объектов. Понятно, что их нужно слать, но с какого момента начинается отсчет этих 2 лет? С момента выдачи аттестата? С момента вступления в силу Положения? Третий вариант?
Надеюсь что за прошедшие года слать не придеться, всё-таки это положение тогда ещё в силу не вступило, думаю отсчёт от его вступления в силу нужно начинать. А иначе у многих лицензиатов вся работа на близжайшее время превратиться в написание горы этих отчётов...
Положение по аттестации ФСТЭК России