28.03.2017

Обзор долгожданного письма ФСТЭК по МСЭ и утвержденных поправок в 17-й приказ

Сегодня я хотел опубликовать немного другую заметку, но тут в ночи ФСТЭК разродилась парочкой новостей, которые я не могу не прокомментировать. Начну я с информационного письма ФСТЭК по межсетевым экранам, которое регулятор обещал выпустить еще в феврале, но что-то затянул до конца марта. Никаких сюрпризов по сравнению с ранее озвученным ФСТЭК на своей конференции и описанным мной я в письме не обнаружил:
  • Серийное производство уже сертифированных МСЭ продолжается в соответствии с выданными сертификатами, то есть производство и поставка сертифицированных по старым требованиям МСЭ допускается при наличии действующего сертификата.
  • В созданных в соответствии с 17/21/31-м приказом ИС/ИСПДн/АСУ ТП возможно применение МСЭ, сертифицированных по старым требованиям до окончания срока действия сертификата.
  • После принятия поправок в 17/21/31-е приказы ФСТЭК, в вновь создаваемых ИС/ИСПДн/АСУ ТП необходимо применять МСЭ, сертифицированные по новым требованиям. 
  • В ИС/ИСПДн/АСУ ТП, уже введенных в эксплуатацию к моменту принятия поправок в 17/21/31-й приказы ФСТЭК, возможно применение МСЭ, сертифицированных по старым требованиям.
  • Аттестация вновь создаваемых принятия поправок в 17/21/31-е приказы ФСТЭК ИС/ИСПДн/АСУ ТП проводится только при условии применения в них МСЭ, сертифицированных по новым требованиям.
  • Повторная аттестация ИС/ИСПДн/АСУ ТП, уже введенных в эксплуатацию к моменту принятия поправок в 17/21/31-й приказы ФСТЭК, возможна с применением МСЭ, сертифицированных по старым требованиям (при наличии действующего сертификата).
Вторая новость касается принятия 15-го февраля ФСТЭКом и регистрации 14-го марта в Минюсте приказа ФСТЭК № 27 о внесении изменений в 17-й приказ, о котором я уже писал. Какие изменения я увидел по сравнению с проектом? Их несколько:
  • В проекте требовалось, чтобы по результатам анализа уязвимостей было подтверждено отсутствие в ГИС уязвимостей из БДУ ФСТЭК. В финальной редакции добавили, что также возможно доказать невозможность использования этих уязвимостей при их наличии (хорошее дополнение).
  • В проекте говорилось о том, что не допускается выполнение одним лицом функций проектирования и внедрения системы защиты ГИС. В финальной версии зачем-то добавили слово" должностное", что привело к новым вопросам (на мой взгляд). В законодательстве термин "должностное лицо" применяется только к органам власти, а аттестацией у нас ханимаются преимущественно коммерческие компании, к которым термин "должностное лицо" не применяется (кроме КоАП и УК). Отсюда вопрос, что имели ввиду во ФСТЭК, когда добавляли "должностное"? Раньше ФСТЭК использовала фразу "руководитель, иное должностное лицо или уполномоченный представитель лицензиата", которая лучше отражала круг лиц, на которых распространялись требования ФСТЭК.
  • Убрали термин "тестирование на проникновение" и вообще сократили описание данного вида аттестационных испытаний. Кроме того, убрали обязательность данного вида испытаний для ГИС 1-го и 2-го классов.
  • А на русский язык-то не проверили до конца. Например, в п.17.6 предлагается такая формулировка "должны используются" вместо "должны использоваться" или "используются". Интересно, как правильно?
  • Целиком переписали п.25 (в проекте его не было) про учет потенциала нарушителя при выборе защитных мер.
Приказ вступил в силу в течение 10 дней с момента его регистрации в Минюсте, то есть он уже действует. Всем удачи в его выполнении...

UPDATE: Пропустил. Оказывается в финальной версии изменилась также таблица с базовыми защитными мерами. В частности изменения претерпели следующие меры - УПД.3 (управление потоками) и ЗСВ.10 (сегментирование виртуальных сред); теперь они включены в базовый набор, начиная с 3-го класса защищенности информационной системы.

7 коммент.:

Tomas комментирует...

Интересна судьба "Методических рекомендаций для ГИС", их нужно тоже поменять...

ЗВД комментирует...

Коллеги - интересно ваше мнение, можно ли аттестовать (впервые, а не повторно) ГИС, в которой в качестве межсетевого экрана применяется ViPNet Coordinator HW100C/HW1000. И у 3ьей и 4ой версии нет действительных сертификатов соответствия ФСТЭК России на МЭ, но есть ФСБшные:
1) Сертификат соответствия ФСБ России СФ/525-2667 удостоверяет, что что изделие «Программно-аппаратный комплекс ViPNet Coordinator HW 3» соответствует требованиям ФСБ России к устройствам типа межсетевые экраны 4 класса защищенности.
2) Сертификат соответствия ФСБ России № СФ/525-3007 от 12.12.2016 на соответствие изделия «Программно-аппаратный комплекс ViPNet Coordinator HW 4» требованиям ФСБ России к устройствам типа межсетевой экран 4 класса защищенности.

На мой взгляд положения 17го приказа это никак не нарушает:
"26. Технические меры защиты информации реализуются посредством применения средств защиты информации, в том числе программных (программно-аппаратных) средств, в которых они реализованы, имеющих необходимые функции безопасности. При этом:
в информационных системах 1 класса защищенности применяются средства защиты информации не ниже 4 класса, а также средства вычислительной техники не ниже 5 класса"

Алексей Лукацкий комментирует...

Наличие сертификата ФСБ не означает отсутствие необходимости получения сертификата ФСТЭК.

ЗВД комментирует...

Вспомнил про следующий абзац и загрустил:
"В информационных системах применяются средства защиты информации, сертифицированные на соответствие обязательным требованиям по безопасности информации, установленным ФСТЭК России"

Евгений комментирует...

ЗВД, в реестре СЗИ ФСТЭК есть сертификат на VipNet Coordinator HW 4 (№ 3692 от 26.01.2017): программно-аппаратный комплекс защиты информации «ViPNet Coordinator HW» - на соответствие Требованиям к МЭ (ИТ.МЭ.А4.ПЗ). Хотя на сайте ИнфоТекса об этом информации нет, только что ПАК на сертификации ФСТЭК.

Евгений комментирует...

HW1000 получили сертификаты, не понятно почему их до сих пор нет на сайте:
№3692 от 26.01.2017 НА HW1000 Q4 МЭ тип "А" соответствует в т.ч. "профиль защиты МЭ типа А четвертого класса защиты"

Георгий Баженов комментирует...

Недавно направляли письмо во ФСТЭК на счет аттестации, и невозможности внедрения СЗИ одними и теме же лицами, которые занимались проектированием - ответ получили такой, что одно юр. лицо может заниматься проектированием и внедрением, но это должны делать разные сотрудники юр. лица.