Аттестация информационных систем по принципу типовых сегментов. Мифы и реальность



    Доброго времени суток, Хабр! Сегодня мы хотели бы рассмотреть различные мифы, связанные с аттестацией объектов информатизации (ОИ) по требованиям безопасности информации по принципу типовых сегментов. А также разберемся, как все-таки правильно делать такую аттестацию.

    Мифов надо сказать относительно этого циркулирует немало и часто они противоречат друг другу. Например, есть мнение, что по принципу типовых сегментов можно аттестовать все ИСПДн страны (хотя для ИСПДн аттестация не обязательна), а с другой стороны — есть мнение, что аттестовывать информационные системы нужно только по старинке, а все эти ваши «типовые сегменты» от лукавого.

    Введение


    Аттестация объекта информатизации, пожалуй, один из самых зарегулированных и консервативных этапов построения системы защиты информации.

    Консервативность заключается в том, что аттестации подвергается конкретная система с конкретным перечнем технических средств, которые аккуратным образом переписаны в техническом паспорте на объект информатизации и в самом аттестате соответствия. Замена, например, сгоревшего компьютера из состава аттестованной информационной системы может повлечь за собой как минимум длительную переписку с организацией, проводившей аттестацию, а как максимум – дополнительные аттестационные испытания (то есть — затраты).

    Это не было большой проблемой, пока аттестации по требованиям безопасности информации подвергались либо отдельно стоящие компьютеры, обрабатывающие защищаемую информацию, либо небольшие выделенные локальные сети.

    Но прогресс не стоит на месте. Сейчас для государственных информационных систем 17-м приказом ФСТЭК определена обязательная их аттестация до ввода в эксплуатацию. А государственные информационные системы сегодня это не статичный компьютер или маленькая локалка, а большие динамически изменяемые системы, зачастую регионального или даже федерального масштаба.

    Так как же быть в этом случае? Аттестация обязательна, а аттестовывать статичную систему нельзя, так как там чуть ли не каждый день добавляются новые элементы, а старые убираются. На помощь приходят «типовые сегменты».

    Это понятие было введено 17-м приказом ФСТЭК и стандартом ГОСТ РО 0043-003-2012 «Защита информации. Аттестация объектов информатизации. Общие положения» в 2013 году. К сожалению, ГОСТ носит пометку «дсп», в отличие от приказа ФСТЭК, поэтому стандарт здесь цитировать не получится. Но от этого особо ничего и не потеряется, т. к. в приказе ФСТЭК правила распространения аттестата соответствия на типовые сегменты расписаны гораздо подробнее (раздел 17.3), а в стандарте этому посвящена пара коротких абзацев.

    Мифы вокруг аттестации по принципу типовых сегментов


    Вокруг типовых сегментов существует множество мифов. Здесь мы разберем те, с которыми сталкивались сами. Если у вас есть примеры похожих мифов или вопросы (вы не уверены – миф это или нет), добро пожаловать в комментарии.

    Миф №1. Одним аттестатом по принципу типовых сегментов можно аттестовать все информационные системы в РФ


    Теоретически напрямую нормативными документами это не запрещено, но на практике сделать это будет невозможно. Один из пунктов 17 приказа ФСТЭК по типовым сегментам гласит, что в типовых сегментах должно обеспечиваться выполнение организационно-распорядительной документации по защите информации. Так вот, большая проблема как раз в разработке такой документации, которая будет учитывать разные техпроцессы обработки информации, разную защищаемую информацию, разные требования регуляторов и т. д. В итоге, документация, разработанная для одной системы, будет неактуальна для другой.

    Миф №2. «Типовые сегменты» предусмотрены только для государственных информационных систем


    Это не так. Во-первых, сам 17 приказ ФСТЭК позволяет применять его положения при разработке систем защиты информации в любых других информационных системах. Во-вторых, в ГОСТ РО 0043-003-2012 применяется более широкое понятие «объекты информатизации» вместо «государственные информационные системы».

    Миф №3. Если нам выдадут аттестат, который можно распространять на типовые сегменты, то мы его можем распространять на что угодно


    Это не так, под спойлером полный текст пункта 17.3 приказа ФСТЭК №17 по типовым сегментам, далее мы рассмотрим случаи, когда выданный аттестат распространять нельзя. Здесь нам придется остановиться подробнее.

    Текст из приказа ФСТЭК №17
    Допускается аттестация информационной системы на основе результатов аттестационных испытаний выделенного набора сегментов информационной системы, реализующих полную технологию обработки информации.

    В этом случае распространение аттестата соответствия на другие сегменты информационной системы осуществляется при условии их соответствия сегментам информационной системы, прошедшим аттестационные испытания.

    Сегмент считается соответствующим сегменту информационной системы, в отношении которого были проведены аттестационные испытания, если для указанных сегментов установлены одинаковые классы защищенности, угрозы безопасности информации, реализованы одинаковые проектные решения по информационной системе и ее системе защиты информации.

    Соответствие сегмента, на который распространяется аттестат соответствия, сегменту информационной системы, в отношении которого были проведены аттестационные испытания, подтверждается в ходе приемочных испытаний информационной системы или сегментов информационной системы.

    В сегментах информационной системы, на которые распространяется аттестат соответствия, оператором обеспечивается соблюдение эксплуатационной документации на систему защиты информации информационной системы и организационно-распорядительных документов по защите информации.

    Особенности аттестации информационной системы на основе результатов аттестационных испытаний выделенного набора ее сегментов, а также условия и порядок распространения аттестата соответствия на другие сегменты информационной системы определяются в программе и методиках аттестационных испытаний, заключении и аттестате соответствия.


    Далее мы будем брать конкретные примеры ошибок, и приводить только подходящие цитаты из этого нормативного акта в качестве обоснования, почему так делать нельзя.



    Пример №1


    Аттестована только серверная часть, но хочется распространить аттестат на автоматизированные рабочие места (АРМ). Можно ли так делать?



    Нет! Допускается аттестация информационной системы на основе результатов аттестационных испытаний выделенного набора сегментов информационной системы, реализующих полную технологию обработки информации.

    Передача информации по каналам связи это тоже технология обработки. Плюс в данном примере не аттестован ни один АРМ, поэтому распространить аттестат на другой типовой АРМ мы не можем.

    Пример №2


    Здесь мы учли предыдущую ошибку и включили в аттестат каналы передачи данных и типовое АРМ. Вдруг у нас возникла необходимость организовать большому начальнику ноутбук с подключением в аттестованную систему (по защищенным каналам, конечно же). Можем ли мы распространить аттестат соответствия на этот ноутбук?

    Нет! Сегмент считается соответствующим сегменту информационной системы, в отношении которого были проведены аттестационные испытания, если для указанных сегментов установлены одинаковые классы защищенности, угрозы безопасности информации…

    Здесь для мобильных технических средств появляются новые угрозы безопасности информации, которые не актуальны для стационарных АРМ и скорее всего не учтены в модели угроз на аттестованную систему.

    Пример №3


    Хорошо, мы учли этот косяк и добавили в модель угроз «на вырост», угрозы для мобильных устройств. Теперь можно распространить аттестат на ноутбук большого босса?



    Нет! Сегмент считается соответствующим сегменту информационной системы, в отношении которого были проведены аттестационные испытания

    Несмотря на то, что мобильное средство было описано в проектной документации на систему защиты информации и в модели угроз были учтены угрозы, связанные с мобильными техническими средствами, в отношении такого средства не были проведены аттестационные испытания.

    Пример №4


    Как все сложно-то! А вот такая ситуация: есть лечебное учреждение, там есть две информационные системы – с сотрудниками и медицинская информационная система (МИС) с пациентами. Можем ли мы сэкономить, аттестовать информационную систему с сотрудниками и распространить этот аттестат на МИС?



    Нет! Сегмент считается соответствующим сегменту информационной системы, в отношении которого были проведены аттестационные испытания, если для указанных сегментов установлены одинаковые классы защищенности… одинаковые проектные решения по информационной системе.



    Хоть и кажется, что тут все сложно, на самом деле нужно просто заранее при подготовке к построению системы защиты продумать возможные варианты типовых сегментов. Но на самом деле, если все учесть (а требований не так уже и много), то и с распространением аттестата проблем не будет.

    Миф №4. Типовые сегменты необходимо описывать в проектной документации на систему защиты, начиная с модели угроз


    Такого требования нет. Хотя это напрямую и не запрещено, такой подход в будущем может повлечь некоторые проблемы. Что нам говорит об этом 17-й приказ ФСТЭК:

    Особенности аттестации информационной системы на основе результатов аттестационных испытаний выделенного набора ее сегментов, а также условия и порядок распространения аттестата соответствия на другие сегменты информационной системы определяются в программе и методиках аттестационных испытаний, заключении и аттестате соответствия.

    То есть мы вправе упоминать типовые сегменты только на этапе аттестации. В этом случае ваши сегменты будут типовыми по умолчанию, если выполнены условия раздела 17.3 приказа ФСТЭК №17. Но мы встречали случаи, когда типовые сегменты пытались описать уже на этапе моделирования угроз, чуть ли не указывая серийные номера оборудования таких сегментов. Проблема такого подхода в том, что если произойдет замена оборудования или что-то поменяется в технологиях обработки (например, появится среда виртуализации), то сегменты, на которые аттестат уже распространен могут стать, скажем так, нелегитимно типовыми. И в таком случае может понадобиться проводить не «дополнительные аттестационные испытания», а полностью весь комплекс испытаний проводить по новой.

    В общем, наш совет – не упоминать типовые сегменты в проектной документации совсем. Ведь по действующему законодательству типовым будет любой сегмент, удовлетворяющий установленным условиям.

    ВАЖНО! Если вы оператор информационной системы и планируете аттестацию информационной системы с возможностью распространять аттестат на типовые сегменты, обязательно обговорите с вашим аттестующим органом, чтобы такая возможность была отражена в аттестационных документах, как этого требует 17 приказ ФСТЭК!

    Миф №5. ФСТЭК не понимает «типовые сегменты» и если мы так аттестуемся, нас накажут


    Такой миф звучит очень странно, учитывая, что типовые сегменты подробнее всего описаны в нормативной документации именно от ФСТЭК. Эту мысль чаще всего можно услышать от безопасников так называемой «старой школы».

    В общем, кроме как «это не правда» нам здесь сказать нечего. Даже наоборот – регулятор всячески продвигает такой порядок аттестации информационных систем и совсем недавно мы даже столкнулись с претензией от ФСТЭК, что огромная информационная система регионального масштаба аттестовывалась НЕ по принципу типовых сегментов. Там пришлось объяснять, что в том конкретном случае это было не оптимально.

    Миф №6. Типовые сегменты работают только когда аттестованная часть и сегменты являются собственностью одной организации


    Это неправда. Прямо об этом в законодательстве не говорится, а все что не запрещено, то разрешено. Но, конечно же, определенные отличия, когда аттестованная часть и типовые сегменты собственность одной организации, и когда типовые сегменты принадлежат сторонним юридическим лицам, есть.

    В случаях, когда все принадлежит одной организации, эта организация может самостоятельно провести мероприятия по защите информации на типовом сегменте, назначить комиссию и распространить аттестат на типовой сегмент.

    В случаях, когда есть центральный оператор государственной информационной системы (например, региональный Информационно-технологический центр) и сегменты у других юридических лиц (как пример – региональная система документооборота государственных учреждений), то тут все немного сложнее. Сложность заключается в том, что по закону за защиту информации в государственных информационных системах отвечает оператор этих ГИС. Поэтому для того, чтобы очередная проверка не нагрела оператора за то, что где-то в школе за 400 км от регионального центра не выполняются мероприятия по защите информации, ему необходимо хотя бы на этапе подключения типового сегмента максимально задокументировать этот процесс. В первую очередь создается регламент подключения к информационной системе, где оператор четко и ясно описывает требования по защите информации, которые нужно выполнить на подключаемом сегменте. Сюда входит обычно назначение ответственных, утверждение внутренних документов по защите информации (особо замороченные операторы могут даже разработать и предоставлять типовой комплект), закупка, установка и настройка необходимых средств защиты информации, анализ уязвимостей и т. д. Далее, организация, желающая подключиться, выполняет все требования и оговоренным в регламенте образом подтверждает это.

    С другой стороны все описанные сложности это примерный план действий, который уже мы изобретали совместно с одним из таких операторов. Если оператор распределенной ГИС не боится нести ответственность за то, что не докажет факт исполнения требований по защите информации на удаленном сегменте хотя бы на этапе подключения, то он может пойти и по упрощенному пути (насколько «упрощенному» так же решать этому оператору).

    К сожалению, некоторые операторы так и делают, потому что искренне верят в следующий миф.

    Миф №7. За распространение аттестата на сегменты, не соответствующие требованиям несет ответственность аттестующий орган


    Нам, как аттестующему органу, очень важно понимать границы нашей ответственности. Поскольку четко на вопрос «кто несет ответственность за распространение аттестата на несоответствующие требованиям сегменты» закон не отвечает, мы написали письмо во ФСТЭК.

    ФСТЭК ответил, что аттестующий орган несет ответственность только за качество непосредственно аттестационных испытаний. За корректность распространения аттестата на типовые сегменты несет ответственность организация-оператор информационной системы.

    Миф №8. Типовые сегменты нам ничего не дадут. Все равно придется привлекать лицензиата и платить ему деньги


    Это не так. Как минимум в случаях, когда в штате оператора информационной системы есть специалисты, способные провести все, описанные выше, мероприятия.

    С другой стороны, мы часто сталкиваемся с тем, что нас просят помочь и с подключением типовых сегментов. Все равно в таких сегментах как минимум нужно проработать внутреннюю документацию, установить и правильно настроить средства защиты информации. Плюс, многие операторы информационных систем больше доверяют заключениям о соответствии типового сегмента, написанного сторонней организацией, чем отчету самого заявителя на подключение к системе.

    Но даже в этом случае типовые сегменты позволяют оператору сэкономить деньги, так как на присоединяемые элементы как минимум не нужно разрабатывать отдельную модель угроз и проектную документацию на систему защиты информации. Также нет необходимости проводить полноценные аттестационные испытания.

    Миф №9. В типовых сегментах должны использоваться только одинаковые технические средства (например, компьютеры с одинаковой материнской платой, одинаковым процессором, одинаковой оперативной памятью, вплоть до типа, производителя и модели)


    Этот вопрос тоже явно не прописан в законодательстве. На интуитивном уровне понятно, что полное соответствия железа аттестованного и подключаемого сегмента не требуется, иначе всей этой затее грош цена. А когда нам нужно уточнить подобный вопрос, что мы делаем? Правильно – пишем письмо регулятору. ФСТЭК ожидаемо ответил, что в типовых сегментах не должны использоваться одинаковые (один производитель, одна модель и т. д.) технические решения.

    Для того чтобы сегмент считался соответствующим аттестованному, нужно, чтобы для него был установлен такой же класс защищенности, определены такие же угрозы безопасности информации и реализованы одинаковые проектные решения по самой системе и по системе защиты информации. Как собственно и написано в 17 приказе.

    Миф №10. Для каждого присоединяемого типового сегмента нужно делать свою модель угроз


    Нет. В типовом сегменте должны быть актуальны такие же угрозы, как и в аттестованной части информационной системы. Соответственно – модель угроз одна на всю систему. Если в аттестованной информационной системе происходят какие-либо значительные технологические изменения, которые могут повлечь появление новых угроз безопасности информации, необходимо пересматривать общую модель угроз и, при необходимости, проводить дополнительные аттестационные испытания системы в целом.

    Миф №11. Данные присоединяемых типовых сегментов не нужно отражать в техническом паспорте на информационную систему


    По этому вопросу мы также спросили ФСТЭК. Ответ такой — данные новых сегментов нужно вносить в технический паспорт. Но вносить ли новые данные в общий техпаспорт на систему или сделать отдельный документ для сегмента – решать оператору. На наш взгляд на типовой сегмент удобнее делать отдельный технический паспорт.

    На этом все. Если у вас остались вопросы по теме – добро пожаловать в комментарии. Надеемся, что наша публикация будет полезна и облегчит жизнь операторам аттестованных информационных систем.
    Информационный центр
    148,96
    Компания
    Поделиться публикацией

    Комментарии 17

      +2
      Спасибо за труд!
        0
        Не соглашусь с нашим мнением по Мифу №4 и Мифу №11, вы правы говоря, что аттестация с использованием типовых сегментов упоминается в 17 приказе только на этапе аттестации, но проблема вашего подхода в целом (и примеров которые вы привели по Мифу 4), в том что вы все-таки пытаетесь жестко зафиксировать состояние сегмента (указать в МУ и проектной документации серийные номера, зафиксировать оборудование и делаете тех паспорт), а это все как раз пережитки так называемой «старой школы».
          +1
          В 4 мифе как раз и написано, что так делать не нужно, в модели угроз и проектных документах не указываются конкретные технические средства с серийными номерами. Описывается общая структура, используемые технологии и тд. Необходимость же техпаспорта в целом для системы, в которой планируются аттестационные испытания обусловлена перечнем работ в ходе этих самых испытаний, который приводится в ГОСТ. Одна из таких проверок — анализ полноты исходных данных, проверка их соответствия реальным условиям размещения, монтажа и эксплуатации автоматизированной системы, определение состава использованных для обработки, хранения и передачи информации основных технических средств и систем.
            +1
            Перечень работ о которых вы говорите (программа аттестационных испытаний), как и анализ полноты исходных данных… (методика) разрабатываются органом по аттестации (организацией) и представляют собой документ, который называется программа и методики аттестационных испытаний и между прочим этот документ согласовывается с Заказчиком. Так вот, коллеги, ввиду того, что в ГОСТ на которые вы ссылаетесь технический паспорт указан только в качестве примера (рекомендации) и заказчик вам может отказать в согласовании ПМИ, в котором отражена необходимость проверки тех паспорта, еще раз подчеркиваю, необязательность и даже бессмысленность тех паспорта для ГИС.
              +2
              В статье мы ссылаемся на ГОСТ РО 0043-003-2012 «Защита информации. Аттестация объектов информатизации. Программа и методики аттестационных испытаний», а есть еще «Защита информации. Аттестация объектов информатизации. Общие положения». Там побольше и поинтереснее про ПМИ. Можно тоже сказать что это все рекомендации. Заказчик конечно может не согласовать ПМИ, но если аргументы будут так себе, то аттестующий орган может обратиться во ФСТЭК. Точно так же аттестующий орган может не выдать аттестат, если заказчик не выполнил все требования. Документ, в котором зафиксировано состояние системы может называться не «Технический паспорт», а как угодно по-другому, но сути это меняет. В любом случае для аттестуемой системы должен быть техпаспорт или его аналог просто потому, что аттестационные испытания проводятся в отношении чего-то конкретного, а не чего-то абстрактного.
                0
                Извиняюсь, перепутал ГОСТы местами
                  0

                  Я прекрасно понимаю на какие ГОСТ вы ссылаетесь, а вот писать их полное название в силу ограничительной пометки на этих документах, я бы не стал )))
                  Заказчик тоже может так же обратиться во ФСТЭК, если аргументы лицензиата будут так себе.
                  "Технический паспорт" в такой формулировке, как документ фикструющий некие ключевые параметры ГИС имеет место быть, но этими параметрами далеко не обязательно должны быть перечень железа с серийными номерами. Мы все таки защищаем информацию и пытаемся фиксировать состояние и параметры системы с точки зрения обработки информации ибо если заменить один арм на другой, но выполняющий точно такие же функции, то это ни как не отразится на ГИС. А вот если появится новый процесс обработки информации, новый сегмент, то это уже совсем другая история.

                    +2
                    С упоминанием ГОСТ нет никаких проблем. Сам ФСТЭК их упоминает в открытом документе здесь.
                    С заменой компьютера вы не правы. Если вы замените компьютер с последними обновлениями ОС и СЗИ на компьютер с критичными уязвимости и без антивируса, то это серьезно повлияет на безопасность информации. Система защищена настолько насколько защищен самый слабый ее узел. Плюс если администраторы ГИС не знают, что у них в системе творится это тоже тревожный звоночек. Ну и в упомянутом ГОСТ есть форма аттестата, приложением к которому по сути является техпаспорт. ФСТЭК говорит, что эта часть аттестата обязательна. Такие дела.
                      0

                      А можете привести пример такого техпаспорта на типовой сегмент? Что он все же в себя включает?

                        +1
                        Да по сути тоже самое, что и обычный техпаспорт:
                        1. Наименование объекта
                        2. Расположение объекта
                        3. Классификация объекта
                        4. Сведения о вводе объекта в эксплуатацию
                        5. Состав технических средств
                        6. Состав программного обеспечения
                        7. Состав средств защиты информации
                        8. Схемы расположения технических средств относительно границ контролируемой зоны.
              +2
              Дополню еще коллегу — проблема «старой школы» не в том, что они все фиксируют, а в игнорировании новой нормативной документации, в которой могут быть существенно расширены возможности в такой консервативной сфере (в плане законодательства) как ИБ.
                0
                Соглашусь, в том числе и в этом.
              0
              Спасибо за статью. Хотелось узнать ваше видение другого вопроса компетенции ФСТЭК России об «Обеспечении безопасности субъектов КИИ». Согласно постановлению №452 от 13.04.2019 необходимо утвердить перечень объектов КИИ и направить регулятору до 01.09.2019.
                0
                А что конкретно вас интересует?
                  0
                  Последовательность действий (так сказать алгоритм). Сроки. Какие наказания предусмотрены по данной теме.
                    +2
                    Алгоритм:
                    1. Определение, относится ли Ваша организация к субъектам КИИ (попадает ли под определение из 187 ФЗ);
                    2. В случае если попадает, то утверждается Приказ о создании комиссии по категорированию (состав и рекомендации по данному вопросу вынесены в п.11 и подпунктах к нему в ПП № 127);
                    3. Комиссия определяет перечень объектов КИИ, которые принадлежат Вашей организации и утверждает его (рекомендованная форма утверждения представлена в Информационном сообщении ФСТЭК № 240/25/3752 от 24 августа 2018 г);
                    После утверждения данный перечень в течении 10 рабочих дней должен быть направлен на согласование во ФСТЭК в печатном и электронном виде (п. 15 ПП № 127);
                    4. Далее комиссия формирует Акт категорирования (форма представлена в Приказе ФСТЭК России № 236 от 22 декабря 2017). Акт возможен как для каждого объекта отдельно, так и единый (с правками, которые были внесены ПП № 452).
                    Данный акт также необходимо отправить в течении 10 рабочих дней на согласование во ФСТЭК с момента его утверждения.
                    5. Дальнейшие работы по созданию системы защиты, приемочным испытаниям и прочим действиям, предусмотренным Приказом ФСТЭК России № 239 от 25 декабря 2017 года, необходимо будет проводить исходя из определенной комиссией категорией значимости.

                    Собственно, временной промежуток между утверждением перечня объектов и утверждением акта(ов) категорирования не указан, но из ПП № 452 можно сделать вывод, что данные работы должны быть проведены не позднее (как Вы писали выше) 01 сентября этого года, иначе могут последовать предписания и наказания за невыполнение.

                    Касательно наказаний по КИИ актуальны пока 2 варианта:
                    1. Статья 19.4 КоАП РФ — «Неповиновение законному распоряжению должностного лица органа, осуществляющего государственный надзор (контроль), должностного лица организации, уполномоченной в соответствии с федеральными законами на осуществление государственного надзора, должностного лица органа, осуществляющего муниципальный контроль», в случае если Вам ФСТЭК выписал предписание, а Вы его не выполнили;
                    2. Статья 274.1 УК РФ «Неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации», но данная статья больше подходит именно для нарушителей, которые пытаются как-то взломать или нанести вред значимому объекту КИИ.

                    На данный момент также рассматривается проект внесения изменений в КоАП касательно объектов КИИ, ознакомится можно по ссылке: regulation.gov.ru/projects?fbclid=IwAR14PGFrJOD8I4agi2sUC976AsII_VAqsE8yZxkHTJvmy5cJxppbq5kYEbw#npa=89944
                      +1
                      Спасибо за ответ. По поводу наказания, если ваша КИИ будет «значительной» и вдруг в ходе определённых действий «накроется медным тазом» со всеми вытекающими, то можно и ответить по статье халатность. Опять же это, при самом плохом сценарии.
                      P.S.: на семинаре представители регулятора предупреждали.

              Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

              Самое читаемое