Наконец-то это произошло.
ФСТЭК России опубликовал документ , чего мало кто хотел, но раз оно опубликовано, то оно нужно хоть какой-то федеральной службе.
Хотел дать эпиграф к статье: начал выбирать из самых известных цитат из «Алисы в стране чудес», но не смог выбрать — подошла любая.
Тихие правки между Дискуссией и Министерством юстиции
Изменений по сравнению с прошлым изданием почти нет - в основном редакционные изменения: добавлено что-то ненужное, что-то логичное удалено.Например, было несколько орфографических ошибок - но ничего страшного, я думаю - дело в качестве специй.
Некоторые действительно интересные вещи:
- пункт 6, а) - исключено первое слово «системы» после слова «информация» в словосочетании « информационные системы, автоматизированные системы управления, информационно-телекоммуникационные (далее - системы), информационно-телекоммуникационные сети (далее - информационные (автоматизированные) системы ".
Теперь по всему тексту Приказа можно предположить, что под аббревиатурой "информационные (автоматизированные) системы" подразумеваются не ИС, АСУ и ИТСУ, а (поскольку русский язык для всех один) информационные системы управления, автоматизированные системы управления и информационно-телекоммуникационные сети.
- пункт 8 - Убрано требование к экспертам органа по сертификации об их обязанности обеспечивать качество и объективность результатов сертификационных испытаний.
- п.
9 - добавлено, что срок сертификации, установленный Заказчиком, не может составлять более 4 месяцев.
Интересно, как теперь контракты будут выполняться без этапов (чтобы государство не платило вперед) с полным циклом работ по созданию защищенной ГИС, который может занять год? Другой вопрос, каким образом Минюст утвердил требование ФНСЭК к частным юридическим лицам, решившим сертифицировать свои ИСПДнки, т.е.
чтобы ФНС влезла в товарно-денежные отношения частных лиц? Но это нормально, всякое может случиться.
Но вот как будет работать 44-ФЗ: ведь победитель заранее не известен, а срок работы Заказчик уже должен указать в техническом задании, как того требует ФСТЭК, «согласованном с органом по сертификации».
Читатель может подумать, что ФСТЭК предлагает организовать заговор для выполнения пункта 9, но я думаю, что это не так - просто ФСТЭК (поскольку она уже ввязалась в регулирование товарно-денежной отношения) запретил сертификацию через тендеры - только прямые соглашения! Думаю все недовольные 44-м будут вам благодарны за такую снисходительность
- Пункт 31 - чтобы разные органы по сертификации и владельцы ОТ не называли результаты периодического контроля по разным ФНСЭК определил точное наименование документа: Протокол контроль защиты , составленный по результатам периодических контроль уровня защиты (пункт 31).
Кстати, если ФНСЭК приостановила действие сертификата, то для его продления (п.
38) нужно отправить определенные протоколы мониторинга уровня безопасности в соответствии с п.
32. Стоп, а п.
32 в Приказ вообще не включен.
Вероятно, там указано, чем Протокол контроля уровня безопасности отличается от Протоколов контроля уровня безопасности, но сейчас это выяснить невозможно (есть печать Минюста).
В целом шансов законно продлить сертификат мало.
Судя по количеству правок и их сути, то ли публика не приняла участия в обсуждении, то ли не захотела это слышать.
Остальные странности
Те моменты, которые еще были в проекте документа, не были удалены/переработаны/скорректированы/.из Приказа:
- п.
3. ФСТЭК сообщает, что любое частное юридическое лицо, которое « установлено требование по оценке соответствия систем информационной безопасности этих объектов требованиям информационной безопасности в форме сертификации "должен сдавать в ФСТЭКу, сдавать дополнительную отчетность, тратить деньги раз в 2 года на контроль и т.п.
(непонятно, однако, как в рамках контрольных мероприятий можно это узнать, в том числе и в ФСТ? Ку, что у частной организации есть приказ именно с такой формулировкой?) Так что частные юридические лица об этом, наверное, даже не узнают, как это делалось раньше по ФЗ-152" оценка эффективности реализованных мер .
", так и будет
- пункт 5. Словосочетание «орган по сертификации».
Лицензиат не может считать себя таковым при отсутствии аттестата аккредитации органа по сертификации (список аккредитованных органов - Здесь ).
В Ордене эта фраза представляет собой просто аббревиатуру, введённую в текст. Но как заполнить Сертификат, если туда нужно вписать наименование органа по сертификации? Если лицензиат войдет туда без аттестата аккредитации, что скажет ФНС через 5 дней при проверке такого аттестата?
- пункты 3,5,6. То, что государственные органы могут проводить сертификацию для себя – это прекрасно, но непонятно, смогут ли лицензиаты сделать то же самое для себя? или им придется вести переговоры с другими лицензиатами, чтобы они выполнили за них работу по сертификации?
- п.
11. Технический паспорт Олимпийских игр хорош.
Теперь обязательно возникнет необходимость в инвентаризации оборудования.
Особенно это хорошо для владельцев К1 ГИС, имеющих 20-50 тысяч АРМ, распределённых по всей территории РФ.
Одно это уже в сотни раз дороже самой аттестации (если проводить ее по сегментному подходу, определенному в ГОСТе и в 17-м Приказе), потому что владельцы ГИС сами ее проводить не будут. При этом в рамках сертификационных испытаний в ПМИ необходимо обеспечить (см.
п.
13.2), а затем провести (п.
15, а) экспертизу ОП.
Видимо - дополнительно.
- пункт 15 ч, т.е.
Нет необходимости проверять правовые и физические меры защиты, даже если их применение требуется по приказу ФНСЭК или по решению Заказчика.
- пункт 15 ж.
При получении лицензии на ТЗКИ (пункт Г2- сертификационные испытания и аттестация помещений со средствами (системами), подлежащими защите , не путать с G3 - сертификационные испытания и сертификация защищаемых помещений ) ФСТЭК требует от заявителя приобретения комплекса оборудования (начиная с генераторов шумовых сигналов) для проведения измерений с помощью ТКУИ.
Но теперь в соответствии с Порядком оценки эффективности средств ЗИ по ТКУИ для помещения со средствами (системами), подлежащими защите лицензиат не может проводить.
Зачем требовать закупку оборудования, которое невозможно использовать?
- пункт 18 ч.
Еще одна хорошая новость.
Лицензиат может вместо заключения о возможности/невозможности выдачи сертификата сделать вывод о необходимости доработки системы защиты информации ОИ (и затем, как положено, провести ее по отдельному договору).
- пункт 21. Лицензиат должен каким-то образом «оценить качество» произведения.
Интересно, нужен ли для этого отдельный PMI? Как сделать оценку: в процентах? в соответствии с научным подходом к формуле дробления зубов? в звездах (5 из 5)? в рублях? в хорошем/плохом? подойти и пнуть его, сказать «ну вроде нормально, и что»? как?
- Пункт 27. Лицензиат направляет копии сертификата и иных документов в ФНСЭК в течение 5 дней.
5 дней! 5 дней, Карл! Без комментариев.
Как интересно отреагируют частные заказчики на то, что их контрагент в нарушение соглашения о конфиденциальности отправляет всю эту красоту в ФНСЭК? Ну ничего страшного, ну пойдут в суд, ну у лицензиатов будет плохая карма.
Но что делать, если аттестацию заказало ФСБ? ФСО? ПСТ? Интересно, как там защищены сопутствующие сервисы?
- пункт 33. 1) Здесь, я думаю, только о мероприятиях, которые обозначены в ПП-676 как развитие (модернизация), если на это выделены отдельные средства.
Нет необходимости проводить дополнительный AI при смене адреса сервера обновлений антивируса на его зеркало.
2) Кстати о дополнительном ИИ.
Их исключили из 17-го приказа? Нужен ли им отдельный PMI? Они проводятся за отдельные деньги? 3) Убивает ли сегментный подход этот Орден? Те.
противоречит ли данная процедура 17-му приказу и ГОСТу по сертификации?
Теги: #информационная безопасность #сертификация информационных объектов
-
Luna - Умный Наматрасник
19 Oct, 24 -
Интернет В Провинции: Есть Ли Перспективы?
19 Oct, 24 -
Заповеди Ит-Аутсорсера/Поставщика Услуг
19 Oct, 24 -
5 Смертных Грехов Разработчиков Игр
19 Oct, 24
