Обзор подготовлен

версия для печати
ФФСБ и ФСТЭК: Давление регуляторов растет

ФСБ и ФСТЭК: Давление регуляторов растет

Давление правительства РФ на государственные и частные компании, эксплуатирующие информационные системы, предназначенные для обработки информации ограниченного распространения, продолжает нарастать. В самом факте такого давления ничего негативного нет. Более того – можно лишь приветствовать усиление роли государства в регулировании непростых аспектов обеспечения собственной же информационной безопасности.

Следует всегда помнить об очень простой вещи: основой могущества правового государства, развивающегося по законам рыночной экономики, является динамично растущий и эффективный частный бизнес и крупные государственные корпорации, защищенные от всех возможных угроз, в том числе и в информационной сфере. Обеспечение условий для честной конкурентной борьбы на внутреннем рынке является важнейшим условием развития. Одной из составляющих деятельности государства в этой области является регулирование деятельности государственных и частных компаний в области информационной безопасности. Государство просто обязано принимать все возможные меры к тому, чтобы в стремлении обезопасить себя от угроз ИБ, операторы информационных систем могли выбирать наиболее эффективные и экономичные методы и средства защиты.

Не может не вызывать сожаления тот факт, что компетентным органам уже второй десяток лет не хватает ресурсов для однозначного решения такого важнейшего аспекта проблемы защиты информационных систем от внешних угроз, как антивирусная защита. Речь идет, прежде всего, о том, какие требования предъявляются к средствам антивирусной защиты, предназначенным для использования в государственных ИС, и какие требования к антивирусным продуктам подлежат включению в тендерную документацию.

ФСБ – всему голова?

ФСБ России относится к применению средств антивирусной защиты как к проблеме защиты информации, составляющей государственную тайну вообще, и как к проблеме защиты высших органов государственной власти и объектов России за рубежом, составляющих сферу компетенции ФСБ России, в частности.

Согласно проводимой ФСБ на подведомственных и подконтрольных объектах политике, все применяемые средства защиты информации должны быть сертифицированы. Требования по сертификации изложены в руководящих документах, имеющих гриф секретности, и не могут служить предметом рассмотрения в настоящей статье.

Когда речь заходит о необходимости сертификации средств антивирусной защиты в системе ФСБ России, вспоминают об использовании некого алгоритма шифрования при передаче обновлений. Однако в руководящих документах самой ФСБ, имеющихся в открытом доступе, не сказано на этот счет ровным счетом ничего конкретного.

Более того, в них мы находим основание утверждать, что деятельность, связанная с использованием алгоритмов шифрования электронной цифровой подписи (ЭЦП), применяемых в средствах антивирусной защиты, не является предметом лицензирования со стороны ФСБ.

Тем не менее, используя закрытость вопроса защиты информации, составляющей государственную тайну, ФСБ России принимает на добровольную сертификацию средства антивирусной защиты и выдает на них сертификаты соответствия требованиям, предъявляемым к средствам криптографической защиты конфиденциальной информации до государственной тайны включительно.

Чем занята ФСТЭК России?

В соответствии с руководящими и нормативно-методическими документами ФСТЭК России средства антивирусной защиты (САВЗ) относятся к средствам защиты информации (антивирусного контроля) и должны иметь сертификат ФСТЭК, если используются в автоматизированных системах (АС), предназначенных для обработки информации, подлежащей защите в соответствии с федеральным законодательством.

При этом АС (обязательное условие) должна быть аттестована в соответствии с РД ФСТЭК России. В ней должны быть выполнены требования к присвоенному ей классу АС согласно РД "Классификация АС и требования по защите информации". Последнее требование невозможно выполнить без специальных средств защиты информации от несанкционированного доступа (СЗИ НСД), а они в соответствии с РД должны быть сертифицированы в первую очередь.

Сертификаты ФСТЭК выдаются трех типов: на соответствие требованиям к средствам вычислительной техники определенного класса, требованиям по отсутствию не декларированных возможностей (НДВ) по требуемому уровню контроля и на соответствие техническим условиям (ТУ).

Понятие сертификации на соответствие требованиям к СВТ определенного класса применимо только к СЗИ НСД. Признается и никем не оспаривается принцип, согласно которому при обновлении программного обеспечения СЗИ НСД сертификат теряет свою силу. Применительно к САВЗ это означает, что, поскольку обновления антивирусных баз происходит регулярно, их сертификация на соответствие классу средств вычислительной техники (СВТ) по определению бессмысленна. Вот почему сертификация некоторых антивирусных продуктов на соответствие классу СВТ вызывает лишь понимающую улыбку представителей органов по сертификации и производителей других антивирусных программ.

Сертификат на соответствие требованиям по отсутствию НДВ при сертификации СЗИ НСД, как правило, получают с сертификатом первого типа в комплексе. Однако, поскольку само по себе антивирусное программное обеспечение не может служить СЗИ НСД, его сертификация по НДВ кажется привлекательной. Но ни в коем случае не достаточной для того, чтобы в АС, защищенной с помощью САВЗ, но без использования специальных сертифицированных СЗИ НСД, разрешить обработку конфиденциальной информации.

Сертификат на ТУ подтверждает, что САВЗ именно таковым и является. Его можно использовать везде, в том числе и там, где предусматривается обработка информации ограниченного распространения. А разрешение на такую обработку дается в том случае, если выполнены и остальные требования (применение СЗИ НСД, подходящих для данного класса, и др.).

Какого же типа сертификат ФСТЭК России должны иметь средства антивирусной защиты, предназначенные для использования в информационных системах, предназначенных для обработки конфиденциальной информации? Именно по этому вопросу наиболее часто и широко расходятся во мнениях и специалисты, и представители самой ФСТЭК России. Представляется чрезвычайно важным получить, наконец, от органа, возглавляющего Государственную систему защиты информации, однозначный ответ.

Для специалистов в этой сфере нами вынесены в отдельные приложения к данному анализу документы, регламентирующие вопросы защиты информации вообще и  правовые основы требований ФСБ и ФСТЭК России. Возможно, кто-то сможет там найти ответы на поставленные выше вопросы?

Единство и борьба противоположностей: о руководящей роли ФСТЭК  и ФСБ России

Итак, что же можно, основываясь на разборе законодательства, сказать о существующих требованиях по использованию средств антивирусной защиты в государственных информационных системах?

 В соответствии с ФЗ "Об информации, информационных технологиях и о защите информации" информация, содержащаяся и обрабатываемая в государственных информационных системах должна защищаться в соответствии с требованиями, устанавливаемыми ФСБ России и ФСТЭК России.

В правовых актах, изданных в разное время обоими этими федеральными органами исполнительной власти, содержится требование применения для указанных целей сертифицированных средств защиты.

В правовых актах и ФСБ России, и ФСТЭК России есть указания на то, что средства антивирусной защиты (антивирусные программы) относятся к средствам защиты информации и подлежат сертификации. При этом каждым из этих органов создана собственная система сертификации: № РОСС RU.0003.01БИ00 (ФСБ) и № РОСС RU.0001.01БИ00 (ФСТЭК).

Соответствующими актами  определена главенствующая роль ФСТЭК России в вопросах организации технической защиты конфиденциальной информации в федеральных органах исполнительной власти на территории Российской Федерации.

Соответственно своей руководящей роли ФСТЭК России разработала и приняла ряд правовых актов, предъявляющих общие и специфические требования по технической защите конфиденциальной информации.

Исключительной компетенцией ФСБ России является регулирование вопросов защиты информации ограниченного распространения не криптографическими методами. При этом никакие документы федерального уровня не содержат упоминания о необходимости защищать от неправомерного воздействия передаваемые по открытым каналам связи обновления антивирусных баз.

В соответствии с требованиями правовых актов в области защиты информации федеральные органы исполнительной власти при создании информационных систем обязаны обеспечить достижение необходимого уровня защиты и выполнить требования контролирующих органов.

Достигнуть указанных целей можно выполнением следующих задач. Во-первых, организовав разрешительную систему доступа на объекты информатизации, а также к информационным системам и информационным ресурсам. Во-вторых, создав систему защиты информации, в том числе с применением сертифицированных технических средств защиты информации от утечки по техническим каналам. И, наконец, получив разрешение на обработку конфиденциальной информации (аттестация объектов информатизации по требованиям безопасности информации).

Вершиной данного процесса, критерием успешности решения всего вышеперечисленного комплекса задач по созданию системы защиты является получение аттестата соответствия требованиям по безопасности информации.

В соответствии с законодательством и на основании конкретных правовых актов, характеристика которых дана в приложениях, право выдачи Аттестатов соответствия требованиям по ИБ принадлежит ФСТЭК России (аккредитованным органам).

Никакие другие федеральные органы исполнительной власти не вправе вмешиваться в этот процесс (за исключением случаев, входящих в сферу компетенции ФСБ, - при создании систем защиты информации в высших органах государственной власти и на объектах Российской Федерации за рубежом). Никакие требования и рекомендации никаких других органов по сертификации не могут повлиять на решения органов по аттестации, если они не противоречат требованиям ФСТЭК России.

Таким образом, главной конечной задачей для любого процесса создания системы защиты информации (СЗИ) в государственных информационных системах является получение аттестата соответствия требованиям по безопасности информации в системе сертификации средств защиты информации ФСТЭК России № РОСС RU.0001.01БИ00.

Николай Конопкин

Виктор Солёнов
Герб

Виктор Солёнов:

В госструктурах необходимо применять только сертифицированные решения

На вопросы CNews Analytics, касающиеся особенностей использования ИТ и ИБ в госструктурах, отвечает Виктор Солёнов, кандидат технических наук, заместитель начальника Управления проектов развития и информационных технологий Росрегистрации.

CNews: На ваш взгляд, есть ли принципиальная разница в подходах к обеспечению ИБ в госструктурах и в бизнесе?

Виктор Солёнов: В основном принципиальной разницы в подходах к обеспечению защиты информации в госструктурах и в бизнесе нет, однако надо отметить, что для государственных структур есть некоторые особенности. Это - необходимость защиты открытой и доступной всем информации от ее искажения.

Данному направлению пока уделяется мало внимания. Действующие руководящие документы по ИБ ориентированы в основном на защиту информации, подходящую под категории "персональные данные", "конфиденциальная" и т.д.

В качестве примера можно привести широкое внедрение на современном этапе электронных порталов по предоставлению различных услуг: начиная от информирования граждан, выдачи информации из баз данных и вплоть до выполнения юридически значимых действий.

Полный текст интервью

Техноблог | Форумы | ТВ | Архив
Toolbar | КПК-версия | Подписка на новости  | RSS