Сегодня мы будем препарировать очередной закрытый ГОСТ, раскрывающий самую сакральную процедуру в мире отечественной информационной безопасности - аттестацию.
name='more'> Давайте вначале разберемся, что вообще в нашей стране можно аттестовать по требованиям ИБ:- аттестуют у нас выделенные помещения (ВП), в которых обсуждается государственная тайна;
- аттестуют защищаемые помещения - помещения, в которых обрабатывается речевая конфиденциальная информация;
- аттестуют автоматизированные системы. Аттестовать такие системы могут по старой классификации (1В, 1Г, 2А...), могут по требованиям к защите персональных данных (УЗ1- УЗ4), могут по требованиям к защите ГИС (К1-К4). Аттестация обязательна для государственных организаций и желательна для коммерческих;
- еще аттестуют копиры и системы аудио(видео) трансляции, но это редкость.
Все это вместе называют объектами информатизации (ОИ) и ГОСТ рассказывает про процедуру аттестации применительно к каждому из них.
Проводить аттестацию могут только те организации, которые имеют лицензию ФСТЭК по ТЗКИ и/или аккредитованны в качестве органа по аттестации (для гостайны). Поэтому стандарт рассчитан в большей степени на лицензиатов
Начинается стандарт с того, что дает простое и понятное объяснение того, чем же все-таки отличаются автоматизированные системы от информационных:
Далее документ устанавливает требования к программе и методикам проведения аттестационных испытаний. 20 из 30 страниц стандарта посвящено шаблонам ПиМ для разных ОИ. Классно!
Введение жестких требований к составу и содержанию аттестационных испытаний поможет выявить тех халявщиков, которые любят устраивать из аттестации профанацию. Главное только вовремя остановиться и не перегнуть палку...
В документе присутствует так же замечательный кроссворд!
По счастливой случайности большую часть полей можно заполнить продукцией одной фирмы , которая по невероятному совпадению является одним из авторов стандарта.
Остановимся теперь подробней на методике аттестации автоматизированных систем.
Нельзя не похвалить разработчиков за детальное описание всей процедуры аттестации, которое раньше передавалось из уст в уста от преподавателя к инженеру, от инженера к технику, а теперь же высечено в камне.
Однако у меня вызвали целую бурю эмоций следующие абзацы в документе:
Стандарт по информационной безопасности 2013 года учит проверять механизмы защиты операционной системы с помощью.... загрузочной дискетки MS DOS!!!
Отдельные проверки не могут не порадовать простотой и доступностью, достойной персонажей из анекдотов про ПТУ.
Проверки совсем не учитывают уязвимости программного обеспечения: нет требований к патчам и обновлениям, нет требований к использованию свежих версий ПО. Проверяется только наличие антивируса и актуальность вирусных баз. Сама проверка на вирусы не предусмотрена.
Вообщем в новый документ перекочевали все те нормы, которые сегодня заслуженно считаются атавизмами ИБ - ПЭМИН, мандатный доступ, бумажные журналы учета, запрет обновлений ПО и так далее. Почитав новый ГОСТ, молодое поколение специалистов по ИБ может достаточно четко представить себе как защищали информацию в 90х годах прошлого тысячелетия.
К сожалению, закрытый характер стандарта не позволит большей части организаций проконтролировать работы лицензиата по аттестации, что во многом лишает стандарт смысла. Отсутствие прозрачности в процедуре аттестации лишает её рыночной привлекательности и делает уделом госзакупок. ФСТЭК самоустраняется от защиты информации в коммерческом секторе экономики страны и навязывает всем игрокам методы защиты информации, которые работают в своем изолированном от реальных потребностей бизнеса мире.
Целая индустрия разработчиков клепает СЗИ, о которых кроме того, что они сертифицированы, больше сказать то и нечего. Целое поколение интеграторов смело выдает аттестат о соответствии требованиям по "информационной безопасности" на кишащую вирусами информационную систему. Это нужно менять. Документы по защите информации должны быть максимально открытыми и доступными, а требования и методики должны обсуждаться с профессиональным сообществом, чтобы все "дискеты с MS DOS" вычищались из них еще на этапе зародыша.
Что еще почитать?
- ДСПшный ГОСТ 0043-003-2012 по аттестации объектов информатизации
- ГОСТ РО 0043-001-2010. Ключевые системы. Термины и определения