Как стать автором
Обновить

Комментарии 30

Все эти сертификации защищают только от одного типа злоумышленников — проверяющих из госорганов.

От всех остальных должна защищать грамотно построенная архитектура. Жаль что такой большой игрок как КРОК вместо того, что бы показывать как делать правильную архитектуру впаривает как важно сертифицироваться.
Вы правы в части того, что прежде всего необходимо думать об архитектуре защиты. Элементы архитектуры в посте приводятся:
1) механизмы разграничения ресурсов и прав доступа самой облачной платформы;
2) средства периметровой защиты облака;
3) средства защиты, предлагаемые клиентам облака в виде ИБ-сервисов;
4) средства защиты, разворачиваемые на виртуальных машинах внутри облака.
Кроме того, любая, даже сверхзащищённая система не подойдёт для бизнеса (в части обработки и защиты персональных данных), если ее механизмы защиты не будут сертифицированы. То есть толку от неё не будет, пока не будет бумаг, подтверждающих для контролирующих органов, что она реально работает. Это требование регуляторов.
Если сертифицированное оборудование\софт выполняет свою прямую задачу (защиту) ничуть не лучше своих аналогов, то его преимущества сводятся к защите от регуляторов. Каким бы ценным не был этот плюс для некоторых игроков — это свойство не имеет ровным счетом ничего общего с защитой данных.
Требование сертификации диктуется экономическими мотивами и иногда желанием подсадить бэкдор.

Судя по заголовку топика можно ожидать что речь пойдет про защиту данных от злоумшленников, а не про защиту бизнеса от нападок проверяющих.
Вы начинаете не с той стороны. Чтобы система защиты ПДн обеспечивала действительно необходимый уровень защиты для БИЗНЕСА нужно полностью отказаться от РД ФСТЭК и разработать совершенно другие документы. Эти документы создавались для защиты совершенно других систем, далеких от бизнеса, которые попытались почти без изменений переложить на защиту и бизнеса и гос.
Вот после этого можно ожидать статей, в которых «речь пойдет про защиту данных от злоумшленников», а в суровые будни имеем то, что имеем. Без бумажки мы…
Подождите. разработать документы? Я-то, дурак, думал, что разрабатывают софт. Ан, нет, оказывается только разработка документов позволяет защитить пользователя от сертифицированного взломщика…
Давайте определимся, кто такой сертифицированный взломщик?
Давайте так же определимся, что мы все-таки защищаем — пользователя, как Вы пишите или таки персональные данные этого пользователя?
Какими средствами Вы хотите защищать пользователся? Софтом?
Так вот, чтобы такой каши в голове не возникало, прежде, чем разрабатывать софт, профессионалы разрабатывают кучу технических документов, чтобы для начала определить хотябы функции защиты, а потом место применения этого софта.
Определяемся: сертифицированный взломщик — взломщик, который отказывается взламывать сертифицированные системы защиты информации, у которых хорошо разработаны документы.
И где этот сертифицированный взломщик определен в РД ФСТЭК? О чем Вы?
У сертифицированных взломщиков свои методы сертификации взломщиков.

Проблема состоит только в том, что большинство тех, кто шарится в интернете, сертифицированными взломщиками не является, а значит, сертификат у СЗИ на них не подействует.

Вот беда-то…
Вот бред-то
Скажите, вот у нас два решения. Допустим, их собирали одним компилятором из одного и того же сырца. Одно из них прошло Сертификацию И Имеет Подтверждение От Регулирующих Органов, а второе просто работает.

И в чём между ними разница?
У Вас столько вопросов из-за того, что Вы слабо понимаете процесс сертификации СЗИ.
Из того примера, что привели Вы — один файл будет иметь бумажку-сертификат, а второй нет.
Потому, что по РД сертификацию должен проходить экземпляр или серия и все, что не входит в серию является не сертифицированным.
Я как раз очень хорошо понимаю суть процесса сертификации.

Вопрос в том, что между ними не будет никакой разницы, кроме наличия бумажки. То есть напыщенные индюки, рассуждающие о безопасности, конечно, это разницу видят — ведь один из них Сертифицирован и значит является Сертифицированным Решением, а второй несертифицирован, и значит, является несертифицированным решением.

А если начать копать глубже, выяснится, что эта бумажка полезна только при общении с госорганами и служит неким образом отпугивающим средством, не более.
Какой ответ Вы ожидали получить? Вы абсолютно правильно ответили на свой же вопрос. У кого-то были иллюзии, что бумажка защищает данные? ))
По тому, что мне тут отвечают — есть острое ощущение, что кто-то именно так и считает. Потому я и вынужден доводить сию композицию до катарсиса.
Читайте законы )
А, ну в ЭТОЙ области, сертификация, конечно, важна. Как и было сказано первым оратором в комментариях.
их собирали одним компилятором из одного и того же сырца

Сейчас буду занудствовать…

Стандарт C++ вводит понятие неопределенного поведения. Если в программе есть конструкции, поведение которых Стандарт обозначает как неопределенное, не дается вообще никаких гарантий. Соответственно, компилятор вправе, в том числе, реализовывать их по-разному при каждой перекомпиляции.

Не забывайте, что в компиляторах тоже бывают ошибки, так что компилятор может сам вести себя по-разному при перекомпиляции одних и тех же исходников.

Так что техническая возможность для разного поведения есть.
И разумеется, только Сертификация позволяет получить полное покрытие кода Сертификатами. После этого код становится Сертифицированным.
НЛО прилетело и опубликовало эту надпись здесь
«Само «облако» находится на территории РФ»
Вот здесь ошибка зашиты ИСПДн в облаке:)
Перевести серверы за пределы РФ и проблема решена.
Защита нескольких ИСПДн в рамках одного физического сервера для нашего любимого ФСТЕКа это неразрешимая задача, а вы еще хотите и в облаке. Это же в начале надо им объяснить, что такое облако, а потом показать сертификат соответствия механизмов разграничении доступа между категоризированной информацией. И потом, в ПДн явного указания нет, но в РД ФСТЕК есть ссылки про изоляцию категоризированной информации на отдельных серверах
По ряду данных, готовятся требования по защите облачных технологий.
Неужели ФСТЭК что-то пообещал и дело ушло дальше «Как напишите МУ, так и защищайте» :)
Перевести серверы за пределы РФ и проблема решена

Для этого нужно иметь разрешение субъекта персональных данных на трансграничную передачу персональных данных. Его может не быть, если об этом не позаботились заранее.
Покажите мне пример ИСПДн, где в тексте электронного соглашения нет упоминания о трансграничной передаче?
А распространяются ли требования закона на на системы расположенные за пределами РФ?
Спасибо за статью, не обращайте внимания на агрессивно настроенных)
У меня два вопроса:
Вы пишете, что размещать ИСПДн в облаке можно при соблюдении требований регуляторов, но никаких требований к облакам у регуляторов сейчас нет, насколько я знаю.

И второй, я так и не поняла, как аттестовывать ИСПДн, размещенную в облаке, понятно, что нужны сертифицированные СрЗИ, т.е. вы собираетесь сертифицировать все ваше облако или как это будет выглядеть? по частям? непонятно)
спасибо
А Вам спасибо за поддержку )! По пунктам:
1. ФСТЭК уже «задумалась» о создании таких требований, так что ждем… На текущий момент основным требованием является необходимость использования сертифицированных средств защиты (152-ФЗ, ст.19, п.2.3), на него мы и ориентируемся.
2. В посте как раз говорится, что аттестовать ИСПДн в публичном облаке не представляется возможным. В нашем публичном облаке мы предлагаем заказчикам сервисы безопасности на базе сертифицированных средств защиты.
ох, сомневаюсь, что ФСТЭК в каком-то обозримом будущем такие документы издаст:)
Про требования сертификации понятно, но выходит, что ИСПДн на базе того, что вы предлагаете «сервисы безопасности на базе сертифицированных средств защиты» — аттестовать нельзя, так?
На данный момент, да. К тому же, коммерческим организациям нет необходимости выполнять аттестацию ИСПДн.
Зарегистрируйтесь на Хабре , чтобы оставить комментарий