Сертифицированные vs несертифицированные средства защиты информации: требования регулятора или реальная необходимость?

Несколько слов о сертификации СЗИ

По своей сути сертификация – это одна из возможных форм подтверждения соответствия технического средства защиты определенным требованиям по безопасности. Такие требования определятся в специальных документах, разрабатываемых ФСТЭК, ФСБ России, а также в технических условиях и технических заданиях по безопасности. Таким образом, антивирус, имеющий сертификат соответствия по какому-либо документу, гарантированно соответствует всем требованиям, описанным в нем.
Для владельцев систем использование сертифицированных СЗИ, как правило, позволяет упростить процессы выполнения и требований регулятора в части построения систем защиты и проведения ее испытаний, в том числе и аттестационных. Обратной стороной является ограниченный (не в плане количества наименований, но в плане возможности их применения) рынок готовых сертифицированных решений, их стоимость, а иногда и просто желание владельца системы – редко кому захочется переделывать эффективно функционирующую систему защиты только по причине отсутствия в ней сертифицированных СЗИ.
Все это приводит к необходимости понимания владельцем системы, в каких случаях регулятор требует использования сертифицированных СЗИ, когда настоятельно рекомендует это делать, а когда делегирует решение этого вопроса непосредственно на самого владельца информационной системы.

Типовые организации и применимые к ним НПА

Далее мы предлагаем рассмотреть на примере типовой организаций перечень применимых НПА и проанализировать имеющиеся в них требования о необходимости использования сертифицированных средств защиты информации.
В качестве наиболее показательного примера нами была выбрана организация финансового сектора – небольшой региональный банк, являющийся участником платежной системы Банка России, предлагающий своим клиентам возможность идентификации посредством использования биометрической информации. Также предположим, что Банк не осуществляет обработку сведений, составляющих государственную тайну – при наличии такого рода информации вопрос о необходимости использования сертифицированных СЗИ, как мы понимаем, не стоит. Далее по тексту будут раскрыты еще несколько особенностей выбранной нами организации, обосновывающие применение тех или иных НПА. Для простоты далее будем именовать наш пример как просто «Банк».

Для того, чтобы ответить на поставленные нами в самом начале вопросы, специалисту по информационной безопасности необходимо изучить довольно объемный список нормативных актов, а именно:

1. ГОСТ Р 57580, который приобретает статус обязательного документа для организаций, на которые распространяются требования Положений БР 672-П, 683-П.
2. Ряд положений Банка России: Положения 382-П, 672-П, 683-П, устанавливающих обязательные для финансовых организаций требования к обеспечению защиты информации, выполнять которые в той или иной степени необходимо каждому банку.
3. Приказ Минкомсвязи № 321 и методический документ БР № 4-МР, регламентирующие порядок защиты биометрических персональных данных, так как выбранный нами Банк взаимодействует с Единой биометрической системой.
4. ФЗ «О персональных данных» и подзаконные акты, определяющие требования к обеспечению защиты персональных данных, так как Банк является оператором персональных данных, осуществляя обработку информации о своих работниках, клиентах и иных лицах.
5. ФЗ «О безопасности критической информационной инфраструктуры» и подзаконные акты, так как нашему Банку принадлежат информационные системы, функционирующие в банковской сфере, в соответствии с чем он является субъектом КИИ.
6. И, возможно, даже СТО БР ИББС, если Банк продолжает использовать комплекс в качестве вектора ИБ-развития.

Как можно заметить, для выбранного нами примера список применимых документов выглядит вполне внушительным.
Но не стоит думать, что для иных организаций он будет значительно меньше. Так, например, для страховой организации в общем случае этот перечень уменьшится лишь на несколько положений БР, СТО БР, БР № 4-МР, а для субъекта КИИ, не являющегося финансовой организацией, применимы останутся как минимум пункты 4 и 5 представленного выше списка.

Какие НПА требуют использования сертифицированных решений в составе системы защиты?

Определившись со списком применимых к выбранной нами типовой организации документов, переходим к следующему шагу, непосредственно к поиску в этих самых НПА заветного требования.
Начнем с наиболее востребованного в последнее время документа – ГОСТ Р 57580.1. Как вы наверняка знаете, сами по себе ГОСТ являются рекомендательными документами, которые могут переходить в разряд обязательных, если это предусмотрено каким-либо НПА. Положения 672-П, 683-П, Приказ Минкомсвязи 321, применимые к нашему Банку, устанавливают необходимость выполнять требования ГОСТ Р 57580.1. Итак, подробно изучив документ, можно сделать следующие выводы:

1. Требования документа распространяются на все информационные системы, используемые для предоставления финансовых услуг.
2. Данный документ содержит требование об использовании сертифицированных СЗИ, но только в том случае, если они необходимы для закрытия актуальных угроз информационной безопасности.
3. Что касается использования СКЗИ, для организаций реализующих 1-ый уровень защиты, необходимо использовать сертифицированные ФСБ России СКЗИ. Для остальных организаций действует правило, согласно которому все используемые СКЗИ российского производства также должны быть сертифицированными.

Итак, с СКЗИ все достаточно просто, в то время как момент использования (или неиспользования) сертифицированных СЗИ оставляет некую недосказанность – как организации понять, что для закрытия актуальных угроз ей необходимо использовать именно сертифицированные решения?
По логике документа ответ на этот вопрос организация должна получить при разработке модели угроз и нарушителя безопасности информации. Если организация по итогам рассмотрения результатов моделирования угроз пришла к выводу, что гарантированно защититься от них возможно только с использованием сертифицированных решений, то обойтись СЗИ без сертификата не получится. Так, например, если принято решение о необходимости защиты от угрозы, связанной с наличием недекларированных возможностей в используемом на объектах инфраструктуры системном программном обеспечении, то правильным выбором будет использование сертифицированных по требованиям безопасности операционных систем. Как правило, для большинства организаций этот вопрос будет решаться однотипно – все актуальные угрозы без особых проблем будут закрываться без использования сертифицированных решений.
Исключение, пожалуй, составят организации, которым использование сертифицированных решений необходимо в соответствии с какими-либо иными НПА или организации, которые рассматривают в качестве источников угроз нарушителей с высоким потенциалом: администраторы ИБ, разведывательные службы государств.
Примерно такого же подхода придерживается и ДИБ ЦБ РФ – ниже представлена выдержка из ответов на вопросы о выполнении ГОСТ, которые мы направляли ранее.

Таким образом, можно сделать вывод, что рассматриваемый ГОСТ не требует обязательного использования сертифицированных СЗИ. Этот вывод будет распространяться и на выбранную нами в качестве примера типовую организацию.
Дальше по списку идет несколько Положений ЦБ РФ, давайте рассмотрим и их. Начнем с Положения ЦБ РФ 672-П. Требования документа распространяются на все кредитные организации, являющиеся участниками платежной системы Банка России, имеющими доступ к услугам по переводу денежных средств с использованием распоряжений в электронном виде. Предполагаем, что наш Банк относится к данному типу организаций. Поэтому приступаем к изучению документа:

1. Положение распространяется на все информационные системы кредитных организаций, задействованные в осуществлении переводов денежных средств с использованием распоряжений в электронном виде.
2. Документ требует использования СКЗИ и СЗИ, прошедших процедуру оценки соответствия требованиям.

Здесь стоит отметить отдельно сказать о том, что «процедура оценки соответствия» не равна понятию «сертифицированный». 184-ФЗ «О техническом регулировании» устанавливает несколько разных способов оценки соответствия, среди которых есть как сертификационные испытания, так и, например, приемочные.

Далее рассмотрим основные аспекты Положения ЦБ РФ 683-П, требования которого распространяются на все кредитные организации, в том числе и на наш Банк. Итак :

1. Распространяется на все информационные системы кредитных организаций, задействованные в процессе перевода денежных средств.
2. Требует использования сертифицированной криптографии, если применяются СКЗИ российского производства.
3. Для перевода денежных средств должно использоваться сертифицированное программное обеспечение или программное обеспечение, в отношении которого проведен анализ уязвимостей по оценочному уровню доверия не ниже 4 (ОУД.4).

Здесь же заострим внимание на последнем пункте в списке. Он касается непосредственно сертификации используемого программного обеспечения или же проведения анализа уязвимостей такого программного обеспечения. И если тему с сертификацией СЗИ мы затронули в данной статье, то процесс анализа уязвимостей по ОУД – самостоятельная, требующая отдельного освещения тема. И, конечно же, мы планируем рассмотреть ее будущем, если вам эта тема кажется интересной.

Наконец, Положение ЦБ РФ 382-П. Его выполнение обязательно для ряда кредитных организаций, в том числе и для Банка, так как он является оператором по переводу денежных средств. Данный документ:

1. Распространяется на все информационные системы Банка, обрабатывающие защищаемую (в терминах Положения) информацию.
2. Не содержит требования об обязательном использовании сертифицированных СЗИ.
3. Требует использования сертифицированной криптографии, если применяются СКЗИ российского производства.
4. Необходимо использовать СКЗИ в соответствии с эксплуатационной документацией.
5. Для перевода денежных средств должно использоваться сертифицированное программное обеспечение или программное обеспечение, в отношении которого проведен анализ уязвимостей по требованиям к оценочному уровню не ниже ОУД.4.

Здесь также хотелось бы обратить внимание на последний, четвертый, пункт списка. Эксплуатационная документация порой таит в себе собственные, ничуть не менее строгие к обеспечению защиты информации. Так, например, незаменимая СКАД «Сигнатура», при определенной схеме ее использования, требует применения сертифицированного по требованиям безопасности межсетевого экрана.
Подводя промежуточный итог, можно сделать вывод, что для рассматриваемого нами примера использование сертифицированных СЗИ и СКЗИ не требуется рассмотренными положениями ЦБ РФ. Исключения составляют только СКЗИ российского производства.
Перейдем к НПА, регламентирующим вопросы защиты биометрических ПДн. Данные требования применимы к нашему примеру, поскольку он подключен к Единой биометрической системе и использует биометрические персональные данные для идентификации клиентов. Итак:

1. Требования распространяются на технологические участки сбора, передачи и обработки биометрических ПДн
2. Использование информационных технологий и технических средств, соответствующих 2-му уровню защиты информации по ГОСТ Р 57580.
3. Рекомендуется использовать сертифицированные СЗИ и СКЗИ.
4. В отношении распространяемого банками своим клиентам программного обеспечения действует рекомендация по наличию сертификата или же проведенного анализа уязвимостей по ОУД.4.

Таким образом, ни Приказ Минкомсвязи № 321, ни методический документ ЦБ РФ № 4-МР не устанавливают требования об обязательном использовании сертифицированных СЗИ и СКЗИ для нашего Банка.

Далее разберем требования законодательства в области защиты персональных данных. Документы данной области применимы к нашему примеру по причине обработки им персональных данных различных категорий субъектов: собственных работников, соискателей, клиентов и так далее. Основные аспекты этих документов заключаются в следующем:

1. В область защиты попадают все информационные системы, обрабатывающие какие-либо персональные данные.
2. Все НПА требуют использования СЗИ, прошедших оценку соответствия.
3. В случае, когда принято решение об использовании именно сертифицированных решений, они должны соответствовать определенному набору требований. Например, для информационных систем персональных данных второго уровня защищенности допускается использование СЗИ не ниже 5 класса и для которых подтверждено отсутствие НДВ не ниже, чем по четвертому уровню.
4. Обязательное использование СКЗИ для защиты персональных данных не предусмотрено. Если же принято решение об использовании СКЗИ, то они должны иметь сертификаты ФСБ России и соответствовать требованиям к классу СКЗИ.

Обязательное для нашего Банка требование по использованию сертифицированных СЗИ отсутствует, сертифицированных СКЗИ – только в случае принятия соответствующего решения, то есть при наличии актуальных угроз безопасности, которые могут быть закрыты только с использованием криптографии.

Теперь проанализируем требования, касающиеся защиты критической информационной инфраструктуры. С учетом того, что Банку принадлежат информационные системы, функционирующие в банковской сфере, в частности АБС, он является субъектом КИИ. Предположим, что категорирование объектов КИИ еще не проведено, в связи с чем требования по обеспечению безопасности значимых объектов КИИ потенциально могут быть применимы к Банку. Вопрос использования сертифицированных СЗИ регламентирован Приказом ФСТЭК № 239, а именно:

1. Требования распространяются на значимые объекты критической информационной инфраструктуры и их систему защиты.
2. Приказ не требует обязательного использования сертифицированных СЗИ. Применять их необходимо только в случае, когда это требуется иными применимыми к организации НПА.
3. Также решение о применение сертифицированных СЗИ для защиты критической информационной инфраструктуры может быть принято организацией самостоятельно. В случае принятия такого решения, используемые СЗИ, аналогично ситуации с защитой персональных данных, должны отвечать определенным требованиям.

Таким образом, законодательство в области обеспечения безопасности критической информационной инфраструктуры не содержит требования об обязательном использовании сертифицированных СЗИ, в том числе и в отношении нашего Банка.

Говоря о КИИ трудно не упомянуть и Государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак. В соответствии с НПА, регулирующими ее функционирование, если организация использует средства ГосСОПКА (которые по своей сути являются СЗИ), то они должны иметь гарантийную и техническую поддержку российских организаций, а также возможность модернизации российскими организациями. Помимо этого, применяемые организацией СКЗИ должны иметь сертификаты ФСБ России. То есть если организация, например, решила стать корпоративным центром ГосСОПКА, то сертифицированные СКЗИ – то, без чего ей не обойтись.
Так как ранее мы упоминали СТО БР ИББС, предлагаем рассмотреть и его требования на предмет наличия использования сертифицированных СЗИ. Тем более, что наш Банк продолжает усердно следовать определенному в данном документе подходу, что находит подтверждение в его [Банка] внутренней документации. «Общие положения» гласят:

1. Если для защиты АБС от несанкционированного доступа и нерегламентированных действий используется не встроенные средства, а внешние СЗИ, они должны быть сертифицированы.
2. Использование СЗИ для обеспечения безопасности персональных данных регламентируется соответствующими НПА в области защиты персональных данных, то есть использование сертифицированных СЗИ не является обязательной мерой.
3. Используемые СКЗИ должны иметь сертификаты или разрешение ФСБ России.

Таким образом, СТО БР ИББС устанавливает требования об использовании сертифицированных СКЗИ, а также в ряде случаев сертифицированных СЗИ для защиты банковской информационной инфраструктуры.

Заключение

Рассмотрев довольно обширный набор требований по обеспечению защиты информации, применимых к выбранному нами типовому примеру, можно сделать вывод, что использование сертифицированных СЗИ фактически не является обязательной мерой – где-то вопрос решения отдается на волю самой организации, где-то такое требование отсутствует вовсе. С другой стороны вопрос использования сертифицированных СКЗИ урегулирован чуть более жестко – фактически, если финансовая организация использует СКЗИ российского производителя, то оно должно иметь сертификат ФСБ России.

Полученные нами выводы по большей части актуальны и для большинства иных коммерческих организаций, а не только в отношении выбранного нами примера. Но вместе с тем нередки и случаи, когда применение сертифицированных решений необходимо по тем или иным причинам. Будь то желание обеспечить защиту от специфических угроз, наличие требования в эксплуатационной документации или внутренних документов организации или необходимость выполнения правил взаимодействия с определенной информационной системой.
Таким образом, к решению вопроса о необходимости применения сертифицированных решений стоит подходить как минимум с двух разных сторон: как со стороны требований НПА, так и со стороны специфики конкретной организации, ее систем и процессов.
И если вторая сторона требует детального анализа каждого конкретного случая, то для первой, как мы только что убедились, можно определить общий подход. На основе изложенной выше информации нами была сформирована сводная таблица, содержащая короткий ответ на вопрос о необходимости использования сертифицированных СЗИ и СКЗИ в соответствии с основными НПА, применимыми к различным организациям. Ознакомиться с данной таблицей и скачать ее вы можете ниже.
При необходимости памятка может быть доработана с точки зрения охвата объема изученных документов, а состав информации расширен для более удобного применения к конкретным типам информационных систем.