29.10.2022 | 20 неоднозначных требований и проблем при аттестации ГИС |
Неопределённость — отсутствие или недостаток определения или информации о чём-либо. Вот уже более года в стране действует Приказ ФСТЭК России , изменивший правила аттестации информационных систем на соответствие требованиям в области кибербезопасности. Как показывает наш опыт проведения аттестационных работ, нередко различные положения документа вызывают у владельцев объектов информатизации сложности и вопросы. В статье я расскажу о неоднозначных или нераскрытых требованиях, с которыми мы сталкивались в нашей практике за последний год в качестве органа по аттестации, а также поделюсь видением разрешения спорных моментов. Многие из требований, о которых пойдёт речь, в рамках действующих нормативных правовых актов допускается толковать самостоятельно. Может показаться, что это даёт возможность гибко решать те или иные вопросы, однако, по нашему опыту, большинству организаций необходимы чёткие, пусть и не оптимальные, метрики. Надеюсь, что эта статья поможет компаниям раскрыть или выявить имеющиеся неопределённости, связанные с аттестацией информационных систем. Ведь правильно поставленный вопрос уже даёт половину ответа. 1. Допустимая выборка проверяемых объектовЛюбые проверки на системах проводятся в короткие «технологические окна», поэтому количество испытаний и выборка исследуемых объектов оказывают весомое влияние на продолжительность аттестационных работ. Между тем действующая нормативная база не регламентирует допустимую долю охвата проверяемых серверов. Представьте, что аттестации подлежит «большая» информационная система с архитектурой из сотни и более серверов. В этом случае при полном покрытии проверками всех серверов значительно увеличится длительность испытаний и трудозатраты. Как следствие, это приведёт к излишней стоимости работ при том же качестве получаемого результата. По нашему опыту, получить представление о степени выполнения той или иной меры защиты информации или об отсутствии её реализации можно уже после анализа «контрольной группы». Это можно сравнить с тем, как учёные-ихтиологи вычисляют количество рыбы во всём объёме водоёма: они считают количество рыбы, выловленной из части его объёма, и потом умножают полученный результат на весь объём. Решить проблему излишне долгих и дорогих работ поможет явное определение минимально допустимого процента охвата проверяемых серверов и рабочих станций. При этом для исключения новой недосказанности важно не оставлять открытым вопрос о необходимости сопоставлять количество имеющихся лицензий либо лицензируемых параметров с количеством защищаемых хостов, например, зафиксированных в техническом паспорте. 2. Сроки действия результатов инструментального сканированияСогласно требованиям регулятора, во время аттестации информационных систем необходимо проводить оценку результатов их инструментального сканирования на отсутствие уязвимостей. При этом законодательство не содержит явных требований к приемлемой давности результатов такого анализа. На практике это часто приводит к двум крайностям: либо организация проводит сканирование чуть ли не каждый день, чтобы предъявить на аттестацию «свежие» результаты, либо предъявляет результаты чуть ли не годовой давности. Разрубить гордиев узел помогло бы явное определение «срока годности» результатов сканирования — например, один месяц. Также полезным было бы дифференцировать его в зависимости от уровня, категории или класса объекта информатизации. Нередко организации сталкиваются и с другими сложностями при сканировании аттестуемых систем. Например, из-за отсутствия требования к допустимому режиму сканирования на практике компании подходят к таким проверкам по-разному. В одних случаях сканер может иметь доступ к целевым устройствам и операционным системам, в других случаях задаются настройки, не предусматривающие такого доступа. Ещё одна сложность связана с тем, что в порядке проведения аттестации явно не прописаны уровни уязвимостей, устранять которые необязательно. Между тем на практике для информационных систем разных уровней, классов и категорий можно определить различные уровни «не устраняемых» уязвимостей. Затруднения вызывает и отсутствие предельно допустимых сроков устранения обнаруженных уязвимостей. По нашему опыту, хорошей практикой может считаться такой вариант:
3. Вариативность состава информационной системыПеречень технических и программных средств информационных систем, согласно требованиям ФСТЭК России, необходимо зафиксировать в техническом паспорте и поддерживать в актуальном виде. Реализовать это требование единоразово под конкретные аттестационные испытания не сложно, а вот в условиях эксплуатации и динамично меняющегося состава информационной системы данные будут либо быстро устаревать, либо организации придётся нести высокие издержки на поддержание их актуальности и делать это фактически в режиме онлайн. Например, так происходит в случаях, когда в компании применяются технологии виртуализации и контейнеризации: при увеличении нагрузки системы оркестрации могут автоматически запускать необходимые виртуальные машины или контейнеры. Возможность «непостоянства» некоторых показателей информационных систем в техническом паспорте помогла бы компаниям избежать подобных сложностей. Например, к таким показателям, по нашему опыту, можно отнести количество виртуальных машин или контейнеров при условии соблюдения требований по их защите. В частности, эти объекты необходимо разворачивать из эталонного образа, включающего необходимые обновления безопасности, средства защиты и настройки. 4. Детализация проверокПри проведении аттестационных испытаний требуется проверять корректность и полноту реализации мер защиты информации. Однако глубина проводимых проверок, то есть степень их детализации и объём, сегодня не регламентирована. Это порождает неопределённость при проверках сертифицированных продуктов по кибербезопасности, которые компании используют для защиты аттестуемых систем. Качество реализации мер защиты в таких решениях проверяют и подтверждают аккредитованные испытательные лаборатории, и органы по аттестации фактически стоят перед дилеммой: нужно ли проводить повторные проверки? Необходимо ли лишний раз убедиться в реализации очистки оперативной памяти при прекращении работы программы, или следует поверить сертификату соответствия? Насколько полно требуется проверять реализацию профилей защиты для антивируса? Вот лишь несколько вопросов, которые возникают на практике вследствие неоднозначного требования. В решении этих вопросов приходится опираться на экспертный подход и определять некий уровень баланса в проводимых проверках, позволяющий получить должную уверенность в результате. Однако каких-либо гарантий одобрения этого уровня со стороны ФСТЭК России на сегодняшний день не существует. Исключить эту неопределённость и избежать проведения излишних проверок — а ряд из них могут выполнять только немногочисленные специализированные организации — поможет определение степени глубины проверок, как минимум, по отношению к сертифицированным средствам защиты. 5. Количество аттестатов соответствияСейчас в нормативной базе нет прямого запрета на одновременное наличие нескольких действующих аттестатов соответствия по одному и тому же объекту информатизации. Это требование предполагается «по умолчанию», и с точки зрения логики ситуация выглядит достаточно определённой: единовременно допустим только один аттестат на один объект информатизации. Фактически же на практике можно встретить спорные ситуации, когда компании пытаются получить несколько аттестатов соответствия на одну систему — по одному от разных органов по аттестации или сразу несколько у одного из них. Как правило, такое стремление объясняется недостатками в защите аттестуемых систем. Исключить подобные случаи помог бы явно зафиксированный запрет на получение нескольких аттестатов. 6. Аттестационная амнистияВладельцы аттестованных объектов информатизации должны сообщать ФСТЭК России о результатах периодического контроля систем, как минимум, раз в два года. В противном случае, согласно законодательству, действие аттестатов приостанавливается, а потом отзывается. В ситуации неопределённости, которая возникла с начала этого года после ухода из России ряда иностранных вендоров, многие компании до сих пор задаются вопросом, как действовать дальше. Некоторые средства защиты потеряли часть функциональности, другие перестали работать совсем, по многим решениям регулятор отменил ранее выданные сертификаты соответствия. В таких условиях предоставление отчётности о контроле аттестованных систем становится трудоёмкой задачей. При этом на данный момент непонятно, допустимо ли в случае нарушения этого требования аттестовать такие «проштрафившиеся» объекты заново с получением нового аттестата. Нам как органу по аттестации такая ситуация видится вполне логичной и допустимой. 7. Неудачная аттестацияСейчас границы ответственности органа по аттестации в части взаимодействия со ФСТЭК России заканчиваются после выдачи аттестата соответствия на проверяемую систему и уведомления об этом регулятора. При этом орган по аттестации не обязан сообщать ведомству о выдаче отрицательного заключения в случае проведения дополнительных или повторных аттестационных испытаний, либо проверок в рамках периодического контроля эффективности системы. На практике это грозит тем, что во избежание потери аттестата соответствия владелец объекта информатизации может не уведомить регулятора о таком казусе. Исключить эту проблему помогло бы введение обязанности для органов по аттестации отправлять регулятору сведения об отрицательных результатах периодического контроля, повторных или дополнительных испытаний по отношению к ранее аттестованным системам. Также решению подобных сложностей будет способствовать появление возможности у органов по аттестации отзывать и приостанавливать действие аттестатов соответствия с уведомлением регулятора и описанием соответствующих процедур, как это было ранее. 8. Копия аттестата соответствияНа сегодняшний день органы по аттестации не вправе выдавать копию аттестата соответствия с теми же реквизитами, которые указаны в оригинале документа. Они могут оформить только дубликат, содержащий новые дату и номер выдачи. На практике у компаний время от времени возникают потребности в получении именно копии аттестата. Например, такое бывает в случае утери оригинала, или когда документы необходимы на разных географических локациях. Появление возможности у органов по аттестации выдавать такие копии выглядит уместным в свете ведения реестровой модели перечня аттестованных объектов информатизации. Мы пока не смогли увидеть, в какой ситуации это могло бы навредить. 9. Срок хранения аттестационных документовСейчас в нормативной базе не прописано в явном виде, сколько времени органы по аттестации обязаны хранить аттестационные документы. Введение минимального срока, в течение которого необходимо соблюдать это требование, помогло бы снизить нагрузку на архивное хранение документов. Например, это может быть период времени в два или два с половиной года, что совпадает с незначительным запасом со сроком проведения следующего обязательного периодического контроля. Больший срок в свете ведения реестровой модели перечня аттестованных объектов не видится нам целесообразным, поскольку акт классификации, программа и методики испытаний, протокол, заключение, аттестат и технический паспорт уже и так имеются в распоряжении ФСТЭК России. 10. Состав работ при проведении периодического контроляНа данный момент в законодательстве есть требование по проведению периодического контроля аттестованных систем, но не определён состав работ, которые при этом необходимо выполнять. На практике это приводит к двум противоположным крайностям: некоторые владельцы объектов информатизации стремятся ограничиться документарной проверкой, предъявлением результатов сканирования и другими «лёгкими» проверками. В то же время часть органов по аттестации придерживается подхода, предусматривающего проведение периодического контроля в объёме полноценных повторных аттестационных испытаний с целью гарантирования соответствия проверяемых объектов требованиям о защите информации. Истина, как водится, лежит где-то посередине между этими крайностями, требует определения и формализации для исключения конфликта интересов. 11. Право проведения повторных или дополнительных аттестационных испытаний и периодического контроляФормально у органов по аттестации нет исключительного права проводить повторные или дополнительные испытания аттестованной системы, а также выполнять проверки в рамках её периодического контроля. Это приводит к размытию зоны ответственности в случаях, когда «первичную» аттестацию проводит одна организация, а дополнительные испытания — другая. В таких ситуациях возникает немало вопросов. Например, должен ли орган по аттестации, выполняющий дополнительные проверки, доверять результатам работы коллег по цеху и в какой части? Что при этом делать с номером аттестата? Ведь на момент проведения новых работ в его составную часть уже будет вписан номер лицензии на деятельность по ТЗКИ органа аттестации, изначально выдавшего документ. В заключении по результатам аттестационных испытаний и в самом аттестате соответствия прописываются условия и ситуации, требующие разрешения либо согласования с органом по аттестации. Поскольку испытания и проверки на системах могут проводить разные организации, в подобных случаях аналогично нет ясности, кто именно может выдать необходимое разрешение: конкретный орган по аттестации, сформировавший ограничения, или любой другой из тех, что работают на рынке? Исключить описанные конфликты поможет определение круга возможных исполнителей, в зависимости от объёма выполняемых работ. Например, проведение дополнительных аттестационных испытаний целесообразно доверить только тем органам по аттестации, которые изначально выдали аттестат соответствия на тот или иной объект. Повторные аттестационные испытания предполагают реализацию полного объёма работ, поэтому их кажется логичным разрешить выполнять любым органам по аттестации, но без сохранения предыдущего номера аттестата соответствия. Кто может проводить проверки по периодическому контролю систем — этот вопрос пока остаётся открытым в связи с неопределённостью состава таких работ. 12. Горизонтальное масштабированиеДействующая редакция стандарта ГОСТ РО 0043-003-2012 «Защита информации. Аттестация объектов информатизации. Общие положения» допускает горизонтальное масштабирование аттестованной системы без проведения дополнительных испытаний, в то время как Приказ ФСТЭК России №77 требует их реализации. На «живой», постоянно растущей системе такая ситуация приводит к необходимости частых работ по дополнительным испытаниям и к излишним затратам на их проведение. Как правило, то, что требуется «часто и много», на практике выполняется не всегда. Документальное закрепление возможности масштабирования без проведения дополнительных процедур позволило бы упростить эксплуатацию аттестованных объектов информатизации, снизить финансовую нагрузку на их владельцев, а также исключить формальное несоответствие предъявляемым требованиям. 13. Порядок внесения изменений в объект информатизацииПредлагаемая в действующем порядке проведения аттестации форма аттестата соответствия запрещает «вносить изменения в архитектуру системы защиты информации, изменять состав, структуру системы защиты информации», а также «осуществлять несанкционированную замену программных, программно-технических средств, средств защиты информации на аналогичные средства». На практике это вызывает вопрос о том, каким должен быть порядок внесения изменений в аттестованную систему: может ли владелец объекта уведомить о них орган по аттестации уже после их фактической реализации или же ему сначала нужно запланировать их, потом сообщить о своих планах по модернизации органу по аттестации и далее действовать на основании полученного ответа? Более корректным, с точки зрения обеспечения кибербезопасности, выглядит вариант предварительного согласования. Кстати, он нашёл отражение в порядке аттестации объектов информатизации, обрабатывающих информацию, содержащую гостайну. Формально и сейчас в заключении по результатам аттестационных испытаний, и в аттестате соответствия можно зафиксировать необходимые ограничения и процедуры, но это опциональная возможность, а не обязательные требования. Вопрос далеко не праздный, ведь не у всех владельцев объектов информатизации есть отдельные среды разработки и тестирования, позволяющие проверить планируемые изменения, не затрагивая реальную систему и безопасность обрабатываемой в ней информации. 14. Контрольное суммирование программных модулей средств защиты от НСДСтандарт ГОСТ РО 0043-004-2013 «Защита информации. Аттестация объектов информатизации. Программа и методики аттестационных испытаний» требует проводить «контрольное суммирование программных модулей СЗИ от НСД». На практике это не всегда удобно: если система находится в промышленной эксплуатации, получить доступ к ней можно только на ограниченные промежутки времени. Более того, требование и не всегда выполнимо. Яркий тому пример — когда средство защиты функционирует на операционной системе, не поддерживающей программное обеспечение для контрольного суммирования. Исключить подобные сложности и нарушения, связанные с невозможностью выполнения требования, могло бы помочь разрешение в явном виде не проверять контрольные суммы файлов средств защиты, как минимум, в тех случаях, когда для контроля целостности используется встроенная функциональность решений. 15. Удалённое проведение проверокВозможность удалённого проведения ряда аттестационных испытаний сейчас остаётся за рамками нормативной базы, что приводит к спорам о том, можно ли считать такие работы легитимными. Хотя запрета на такие проверки явно не обозначено, ряд компаний ставит под сомнение корректность дистанционного формата проведения испытаний без непосредственного нахождения экспертов аттестационной комиссии на объекте. Помимо эпидемиологических аспектов, такое положение добавляет к стоимости работ по аттестации расходы на командировочные выплаты, проезд и проживание. Снять эту неопределённость поможет разрешение на законодательном уровне проводить ряд проверок удалённо при условии записи сеансов работы. 16. Сроки действия и типы лицензий средств защитыПри проведении поверки средств защиты органы аттестации сейчас не обязаны проверять, когда у компании заканчивается лицензия на них и имеет ли она ограничения. Эксперты аттестационной комиссии должны подтвердить корректность и полноту реализации мер защиты информации на момент проверки, а их обеспечение на протяжении всего срока эксплуатации системы — это уже ответственность её владельца. На практике у компаний не всегда есть возможность, а иногда и желание, тратить деньги на поддержание лицензий в актуальном состоянии. Встречаются и такие случаи, когда предпринимаются попытки пройти испытания с ограниченными лицензиями. Фактического нарушения при этом не происходит, но, как говорится, осадочек остаётся. В заключении мы пишем соответствующие рекомендации, но не выдать аттестат при отсутствии иных замечаний не имеем права. При нормативном ограничении минимального срока действия лицензий на момент испытаний — например, не менее трёх месяцев, — ситуация с точки зрения обеспечения безопасности может значительно улучшиться. 17. Неполный комплект документацииДля допуска объекта к аттестационным испытаниям его владелец должен предоставить органу по аттестации достаточно большой и, что важно, полный комплект документов. На практике компаниям не всегда удаётся выполнить это требование. Часто организации пытаются модернизировать и аттестовать системы, введённые в эксплуатацию десятки лет назад. Как правило, в таких случаях выясняется, что материалы предварительных и приёмочных испытаний и результаты опытной эксплуатации объектов либо утрачены, либо их и не было вовсе. При этом система находится в статичном состоянии, изменения в проектные решения и документацию, если они и были, уже внесены или, что бывает чаще, разработаны с нуля перед проведением испытаний. Не допускать такие объекты к аттестации только на основании отсутствия перечисленных материалов испытаний видится нецелесообразным, хотя формально они требуются. В подобных случаях орган по аттестации должен запросить у владельца объекта полный пакет документов либо выдать отрицательное заключение. В теории можно пойти ещё одним путем и провести оценку состояния системы по фактическому положению вещей, однако в этой ситуации придётся принять риск, пусть и незначительный, оспаривания такой программы и методик испытаний со стороны ФСТЭК России. Снять неопределённость по этому вопросу помогло бы появление возможности проводить испытания даже при неполном комплекте документации при условии, что владелец сможет подтвердить корректность функционирования системы с используемыми средствами защиты и их настройками. 18. Взаимодействие ГИС с внешними системамиСейчас в законодательстве нет чётких требований к аттестации внешних систем, которые взаимодействуют с государственными информационными системами. На практике это вызывает сложности у владельцев ГИС при определении требований к внешним системам: с одной стороны, они не имеют статуса ГИС, с другой — обрабатывают данные из таких систем. К тому же владельцы сторонних систем далеко не всегда готовы тратить деньги на их аттестацию. В результате на фоне этой неопределённости нередко возникают спорные ситуации между владельцами одних и других объектов информатизации. Проблема будет решена с принятием законопроекта , которым планируется распространить требования о защите информации, принадлежащей государству, на все типы объектов информатизации, обрабатывающих такие данные. Пока мы ожидаем принятия поправок, устранить неопределённость помогло бы закрепление требования к внешним системам, взаимодействующим с ГИС, на уровне нормативных правовых актов по аттестации: подлежат ли они обязательной аттестации, или достаточно ограничиться требованиями по подключению? 19. Срок предоставления аттестата соответствияСейчас в нормативной базе прописаны сроки, в которые орган по аттестации обязан предоставить весь комплект аттестационных документов во ФСТЭК России: акт классификации, технический паспорт, программа и методики испытаний, протокол, заключение и аттестат соответствия. Сроки передачи документов владельцу аттестованного объекта регламентируются частично: требования распространяются только на протокол и заключение, а вот срок предоставления аттестата соответствия никак не обозначен. На практике это может привести к конфликтной ситуации между органом по аттестации и владельцем объекта информатизации: аттестат есть, но владелец его не получил, и при этом ничего не нарушено. Ситуация больше синтезированная, чем реально возможная, но лучше устранить и эту недосказанность: нормативно определить срок передачи аттестата соответствия владельцу, а пока этого не сделано — фиксировать этот срок в соответствующих договорах. 20. Коллизия в правилах формирования номера аттестата соответствияПервые четыре символа в номере аттестата соответствия, согласно нормативной базе, должны совпадать с номером лицензии на деятельность по ТЗКИ органа по аттестации. Какое-то время это требование выполнялось легко и непринуждённо: четыре зарезервированных символа в аттестате целиком и без остатка вмещали в себя номер лицензии. Однако минувшим летом на сайте ФСТЭК России мы обнаружили неанонсированное изменение в формате номера лицензии. Теперь уместить номер лицензии на ТЗКИ в указанные рамки не представляется возможным.
Напоследок добавлю, что хотя неоднозначных моментов и открытых вопросов вокруг действующего порядка проведения аттестации объектов информатизации немало, отчаиваться и опускать руки не стоит. Обращайтесь к здравому смыслу, экспертам сообщества и, конечно, по особенно сложным вопросам — к регулятору. Автор: Андрей Семёнов, «Solar Интеграция» компании «РТК-Солар» Реклама. Рекламодатель ООО "РТК ИБ", ОГРН 1167746458065. |
Проверить безопасность сайта