05.04.2017

ЦБ вводит обязательную сертификацию средств защиты информации

Хочу вернуться к недавно мной описанному проекту ГОСТа ЦБ с набором базовых защитных мер для финансовых организаций. На днях на сайте ТК122 появился практически финальный проект этого документа, который 13-го апреля будет обсуждаться в ЦБ и, возможно, будет вынесено на голосование его принятие.

По сравнению с предыдущей в новую версию проект проникло очень интересное дополнение, которое обязывает финансовые организации применять только сертифицированные в ФСТЭК средства защиты информации. И речь идет не о пресловутых СКЗИ, уровень сертификации которых установлен классом КС2 (знакомая по СТО БР конструкция), а именно о всех остальных средствах защиты - МСЭ, IPS, антивирусы, DLP, сканеры безопасности, средства контроля доступа, системы идентификации и аутентификации, а также множество других защитных средств, описанных в ГОСТе. Выглядит этот фрагмент таким вот образом:


Надо признать, что на прошлом заседании ПК1 ТК122 эта тема также озвучивалась, так как в первом проекте также было указано про сертифицированные средства защиты, но не про все, а только про СВТ, МСЭ, IDS и антивирусы (то, на что у ФСТЭК были соответствующие РД).


На совещании была достигнута договоренность (мне так казалось, так как это требование многие банки - участники ПК1 ТК122 посчитали избыточным), что жесткую формулировку про обязательную сертификацию уберут и заменят ее дипломатичной "оценкой соответствия в установленном порядке" - так, как это написано в документах ФСТЭК по персональным данным или по защите АСУ ТП. И ЦБ вроде принял это предложение. И вот нате вам, сюрприз :-(

На мой взгляд, сюрприз неприятный, так как заставит все финансовые организации, включая малые банки, микрофинансовые организации, страховые, ломбарды, брокеров, негосударственные пенсионные фонды, операторы платежных систем и другие, выбросить то, что ими применялось до сих пор (а в массе своей оно было несертифицированным, исключая СКЗИ и некоторые крупные кредитные организации) и искать продукты, которые будут не просто сертифицированы как МСЭ или IDS или еще что-то, а искать продукты, проверенные на отсутствие НДВ (у МСЭ - это требование с 5-го класса, у IDS - пока с 4-го). Много ли у нас таких продуктов на рынке? И если с МСЭ или IDS еще можно поискать, то вот что делать с другими типами средств защиты, упомянутыми в проекте ГОСТа, но которые даже на ТУ не сертифицировались, не говоря уже про отсутствие НДВ.

Не знаю, многие ли финансовые организации с радостью воспримут такое нововведение? И есть ли у них бюджеты на это? А время на реализацию еще не принятого и не выпущенного документа? Это же не одномоментно делается - особенно если сертификата на средство защиты нет и надо подавать их на сертификацию. А процесс этот непростой и небыстрый. Число испытательных лабораторий в России ограничено.

В целом, какое-то у меня пессимистичное отношение к данной новации. Никакого отношения к реальной защите наличие или отсутствие бумажки с голограммкой не имеет и уж коммерческие организации вольны сами принимать решения о том, какие средства защиты применять - на то они и занимаются предпринимательской деятельностью, то есть на свой страх и риск. Ну да финансовому регулятору виднее.

ЗЫ. И самое интересное, что в дорожной карте Банка России с переченем мер по повышению уровня защищенности финансовой системы Российской Федерации эта норма (по сертификации средств защиты) отсутствует :-(

3 коммент.:

Saches комментирует...

Ну, если по поводу использования сертифицированных СЗИ дискуссии велись давно,
то про необходимость контроля на НДВ для ПО АС речь зашла впервые.
Судя по сентябрьской версии проекта стандарта (интересно, что в текущей редакции), см. ЖЦ.8 -
Применение ПО АС, прошедшего проверку не ниже чем по 3 уровню контроля отсутствия недекларированных возможностей и анализ уязвимостей в объеме, предусмотренным оценочным уровнем ОУД 3 по ГОСТ Р ИСО/МЭК 15408-3, и (или) сертифицированного на соответствие требованиям по безопасности информации в соответствии с законодательством РФ.

Вопрос в т.ч. - кто это будет делать в случае внешней разработки, вендоры или банки?

Алексей Лукацкий комментирует...

Сейчас в ЖЦ.8 не так - нет НДВ, но ОУД4. А делать это будут и те и другие. Если вендор захочет остаться на рынке, то он. Если это нужно банку, а вендор не захочет - то банк. Но ОУД4 без вендора не реализовать

Dmitry Osipov комментирует...

Впору открывать свой бизнес по торговле бумажками с голограммой.