Управление Федеральной антимонопольной службы (ФАС) по Москве наказало организацию, именующую себя «Федеральным центром защиты персональных данных» (ООО «Единый центр сертификации») за нарушение законодательства о рекламе (статья 14.3 КоАП РФ). Надзорный орган посчитал, что компания неправомерно продвигала (а по сути навязывала) свои юридические услуги, создавая на рынке впечатление, что она является госструктурой и связана с Роскомнадзором.
Московское УФАС в ходе разбирательства по жалобе неназванного лица установило, что заявителю поступило от компании электронное письмо, в котором содержалась информация о необходимости принятия мер по защите персональных данных под угрозой привлечения к административной ответственности.
Комиссия УФАС пришла к выводу, что использование в наименовании отправителя обозначения «Федеральный центр защиты персональных данных», «а также использование в доменном имени обозначения rkn, сходное с латинское аббревиатурой Роскомнадзора, вводит потребителя рекламы в заблуждение путем создания представления (ассоциации) о принадлежности (причастности) адресата спорной рекламы к органам государственной власти либо об одобрении рекламируемых услуг органами государственной власти».
Установив факт нарушения закона о рекламе, комиссия УФАС передала материалы разбирательства должностному лицу для решения вопроса о возбуждении дела об административном правонарушении.
Тоже изучил документ. Первый вывод — вопросов очень много, нужно их все собрать и либо звонить во ФСТЭК, либо (что лучше, т.к. будет официальный ответ, а не «голосом») писать туда письмо. Но письменный ответ будет скорее всего после 1 сентября, а есть уже текущие проекты, по которым аттестаты будут выдаваться после этой даты… Все сложно.
Первое, что обескураживает это вступление в силу нового Положения уже с 1 сентября этого года. Это прям совсем не очень, так как документ ломает через колено многие техпроцессы, связанные с аттестацией как на стороне лицензиатов, так и на стороне операторов систем.
Больше всего печалит пункт 15б. Для государственных информационных систем (ГИС) в соответствии с 676 постановлением правительства необходимо согласовывать модель угроз (МУ) и техническое задание на создание системы защиты информации (ТЗ) со ФСТЭК. Раньше не было явного требования получать согласование до аттестации, теперь есть. Раньше для проведения аттестации достаточно было наличия этих разработанных документов и утвержденных со стороны оператора системы. Их согласование могло проводиться параллельно с аттестацией. Проблема тут в том что:
— ФСТЭК может согласовывать документы месяцами;
— мы ни разу не видели в ответе от ФСТЭК на согласование МУ и ТЗ слова «согласовано», обычно они пишут «документы в целом соответствуют требованиям, но… {замечания}». Тут вопрос — когда считать документы согласованными? Вот получили первый ответ, исправили замечания, на этом всё? Или исправляем замечания, отправляем по новой, ждем второй ответ?
— по опыту согласования десятков МУ и ТЗ — мы ни разу не получали замечания, которые могли бы в корне повлиять на систему защиты (например, актуальные угрозы признаны неактуальными или не учтены необходимые меры защиты), в основном косметика и спорные моменты, не влияющие в целом на проект системы защиты информации.
Как сейчас это будет организовываться — не понятно, потому что даже сделать финт ушами — закрыть договор -> дождаться согласования -> выдать аттестат задним числом до окончания даты договора, не получится, потому что по новому Положению дата аттестата должна быть позже даты письма от ФСТЭК с согласованием.
п. 9 — добавили, что срок аттестации, устанавливаемый Владельцем, не может быть больше 4 месяцев
Мне тоже не понятно чего ФСТЭК лезет в отношения заказчика и лицензиата. Действительно бывают проекты, когда аттестовывается распределенная система с разъездами по всему Дальнему Востоку (в том числе в труднодоступные районы), там сроки были и 8 и 12 месяцев.
С другой стороны, 4 месяца это только срок аттестации. Проектирование, аудит, разработка документов в этот срок не входит. Посмотрим как это будет работать.
п. 31 — для того, чтобы разные органы по аттестации и Владельцы ОИ не называли результаты периодического контроля по разному ФСТЭК определил точное название документа: Протокол контроля защиты, оформляемый по результатам периодического контроля уровня защиты (п. 31).
С этим протоколами тоже много вопросов помимо названия. Написано, что протоколы нужно направлять раз в два года, но раз в два года нужно направлять именно протоколы. То есть больше одного. Тогда сколько? Еще я ожидал в приложениях увидеть форму такого протокола, но нет. Ведь можно на одной страничкие написать: «Протокол. Комиссия проверила систему защиты, она функционирует, все хорошо. Подписи членов комиссии». Может нужно что-то более подробное? Аналог аттестационных испытаний? Отчет сканера уязвимостей? Пентест?
Чисто с концептуальной точки зрения требование понятное. Мы сами часто сталкивались с ситуацией, когда после получения аттестата, оператор сносил к чертям средства защиты. Теперь должен отчитываться периодически, но не хватает конкретики по форме таких проверок.
п.5. Словосочетание «орган по аттестации». Лицензиат не может себя им считать, если нет аттестата аккредитации органа по аттестации (список аккредитованных органов — здесь).
Тут вы не правы от слова «совсем». Аттестат аккредитации органа по аттестации выдавался только для работ по гостайне (но и его уже упразднили). Собственно по вашей ссылке список именно таких лицензиатов. Мы имеем лицензию и по ГТ и по ТЗКИ, поищите в приведенном вами списке «информационный центр», там мы фигурируем с лицензией номер 3435 — это именно лицензия по гостайне. Номер нашей лицензии по ТЗКИ — 0918 и его в этом перечне нет. Поэтому в данном случае «орган по аттестации» это просто принимаемое в документе сокращение для лицензиатов по ТЗКИ и применяемое далее по тексту документа.
пп.3,5,6. То, что органы госвласти могут сами себе проводить аттестацию — это прекрасно, но непонятно, лицензиаты — могут сами себе тоже сделать? или им надо обязательно договариваться с другими лицензиатами, чтобы те сделали им работы по аттестации?
Раньше лицензиаты могли себя аттестовывать и это не вызывало никаких вопросов у ФСТЭК. Сейчас получается по новому Положению не могут, потому что орган по аттестации должен быть не зависим от владельца аттестуемого объекта… Смотря на то же Положение, где госы могут аттестовывать сами себя своим подразделением по ИБ. Получаются какие-то двойные стандартики. Так и представляю себе подразделение по ИБ какого-нибудь регионального министерства, независимо и непредвзято аттестующее свои же системы и непримиримо настаивающее на выполнении ИТ-службой, пользователями и самим министром всех требований ИБ.
п.11. Технический паспорт на ОИ — это хорошо. Теперь обязательно будет нужна инвентаризация ОИ. Особенно хорошо для владельцев К1 ГИС, с 20-50к АРМ, распределённых по РФ
Не знаю с какого вы региона, но на ДВ так всегда было. Не прямо, но косвенно наличие техпаспорта было обязательно при атетстации, потому что в ходе испытаний нужно провести «анализ полноты исходных данных и проверку их соответствия реальным условиям размещения, монтажа и эксплуатации ГИС». По факту такими исходными данными и был техпаспорт. При сегментном подходе у нас тоже никто обязанность подготовки техпаспорта не снимал. Просто обязанности по подготовке техпаспорта на сегмент ложилась на оператора сегмента. В итоге если это огромная ГИС на тысячи АРМ, при любом подходе все эти АРМ должны были быть внесены в техпаспорты.
п.21. Лицензиат должен как-то «оценивать качество» работ. Интересно, на это нужна отдельная ПМИ? Как сделать оценку: в процентах? в соответствии с научным подходом по зубодробительной формуле? в звёздах (5 из 5)? в рублях? в хорошо/плохо? подойти пнуть ногой, сказать «ну так, вроде, норм, чё»? просто лайкнуть?
Можно брать пример со ФСТЭК: «В целом соответствует требованиям по ЗИ, но...» =)
п.27. Лицензиат в течение 5 дней направляет копии аттестата и других документов во ФСТЭК. 5 дней! 5 дней, Карл! No comments.
Я думаю тут речь именно о том, чтобы в течение 5 дней отправить, а не чтобы через 5 дней после выдачи аттестата у ФСТЭК лежало на столе. Но будем конечно еще уточнять этот момент.
Как интересно частные Заказчики отнесутся к тому, что их контрагент в нарушение соглашения о соблюдении конфиденциальности всю эту красоту отправит во ФСТЭК? Ну это ладно, ну в суд подадут, ну плохая карма будет у лицензиатов.
Никакие внутренние документы, договоры и прочие NDA не могут противоречить законодательству. Так же как вы можете сколько угодно в своем внутреннем положении о коммерческой тайне (КТ) писать, что зарплата сотрудников является КТ, но вы не привлечете к ответственности сотрудника, который разгласит такую информацию, потому что по закону о КТ, такие сведения не могут быть отнесены к КТ.
Но, а что делать, если аттестацию заказала ФСБ? ФСО? ФСТЭКу любопытно, чем там защищаются смежные службы?
17 приказ: Настоящие Требования не распространяются на государственные информационные системы Администрации Президента Российской Федерации, Совета Безопасности Российской Федерации, Федерального Собрания Российской Федерации, Правительства Российской Федерации, Конституционного Суда Российской Федерации, Верховного Суда Российской Федерации и Федеральной службы безопасности Российской Федерации.
Сегментный подход этот Порядок убивает что-ли? Т.е. этот порядок противоречит 17му приказу и ГОСТу на аттестацию?
Не в полной мере соответствует, но я не вижу прямых противоречий. Вот в 17 приказе написано, что порядок распространения аттестата на сегменты должен быть прописан в аттестационных документах. В шаблоне аттестата в приложении к Положению такого нет. Добавляем сами — PROFIT.
P. S. Еще несколько моментов по положению, которые вызывают вопросы.
Те самые разделы, когда орган по аттестации не выдает аттестат, а заказчик с этим не согласен. Обе стороны высылают во ФСТЭК обоснования своей позиции, а ФСТЭК по этим документам определяет кто из них прав, кто виноват. Что-то мне подсказывает, что выражение «бумага все стерпит» появилось не на пустом месте.
Те самые отчеты, которые надо каждые 2 года слать во ФСТЭК. Что с ними для уже аттестованных объектов. Понятно, что их нужно слать, но с какого момента начинается отсчет этих 2 лет? С момента выдачи аттестата? С момента вступления в силу Положения? Третий вариант?
Теоретическая возможность есть, потому что классификация ГИС не зависит от привилегий пользователей, используемых технологий и возможных угроз. Но мне, если честно, сама прописанная возможность классифицировать сегменты одной системы по-разному не нравится. Потому что чем меньше класс, тем меньше мер защиты, а у ИБшников есть поговорка: «Система защищена настолько, насколько защищено ее самое слабое звено».
Отвечу за коллегу. На самом деле мне кажется вас немного запутали формулировки 17 приказа. Вот как там дословно написано:
Класс защищенности определяется для информационной системы в целом и, при необходимости, для ее отдельных сегментов (составных частей).
Вот это «и» специально выделил, потому что оно многих сбивает с толку. И после наших консультаций со фстэком, выяснилось, что там должно было быть «или». Потому что, если система классифицируется в целом, то уже по определению целого у нее один класс на все элементы. Или можно классифицировать, например, центральный сегмент (серверы + админы) отдельно и пользовательский сегмент отдельно. В таком случае класс может отличаться (в центральном сегменте он, как правило, выше, а в пользовательском — ниже).
В вашем случае смысла нет делать еще какой-то документ, в любом случае — К3 это сейчас самый низкий класс.
Не хотел лишний раз рекламироваться, но «все молчат» зацепило, посмотрите наш блог хотя бы тут на хабре: habr.com/ru/company/ic-dv/blog довольно много материала по теме.
Наше доблестное ФСБ принуждает всех операторов, которые прочитали что-то больше 152-ФЗ, правдами и неправдами уходить на угрозы 3 типа. Т. к. в соответствии с 378 приказом ФСБ от 2014 года, если у вас угрозы 2 типа вы должны использовать сертифицированные криптосредства классов не ниже КВ1 и КВ2, а если 1 типа, то класса КА1. Проблема в том, что вы эти криптосредства вряд ли сможете купить, даже если у вас куча денег, а сертифицированные криптосредства вы должны использовать если персданные передаются куда-то по сетям общего пользования. В подавляющем количестве случаев персональные данные все-таки передаются таким образом, поэтому особо выбора по типу угроз у операторов нет.
Спасибо за ответ. Да, по ряду тезисов можно поспорить. Что уж говорить, у нас регулятор часто по одной проблеме выносит противоречащие решения. Но рад, что в ряде случаев приняли замечания.
Я не стал писать об этом в первом комментарии, но прочитав ответ бросается в глаза то, что ответ нормально читается, а по самой статье местами, честное слово, создается впечатление как будто ее нейросеть писала =)
Так Облачные провайдеры #CloudMTS и ИТ-ГРАД приводят сканы аттестатов на своих сайтах, вот ссылки
Я о том и говорил, что показывают либо титульник, либо титульник + 1 страницу, а самое интересное в аттестате дальше — в приложении. Там и список собственно железа, которое было аттестовано с серийными номерами и список аттестованного ПО, и список применяемых сертифицированных СЗИ. Понятно, что это не те сведения, которые стоит вывешивать в открытый доступ, но, надеюсь, вы их предоставляете клиентам по запросу.
А если у Вас еще остались сомнения и недоверие, то Вы можете обратиться к нам и взять в тест виртуальные мощности в аттестованном сегменте. Думаю, что при более близком знакомстве у Вас появится больше позитива к аттестованным облачным сервисам.
Мне это не особо интересно, но может кому-то из клиентов в будущем понадобится. У меня нет предвзятого отношения к аттестованным облакам, есть только личный опыт в сфере аттестации разных систем.
Предполагаю, Вы не будете спорить, что аттестат публичный документ, в отличии, например, от протокола аттестационных испытаний
Протокол конечно не публичный документ, но есть ситуации, когда его нужно показывать. Мы, например, практически не занимались аттестацией коммерческих облаков, но были кейсы когда нам нужно было аттестовать ГИС, переехавшую в такое облако. По 17 приказу ГИС все равно нужно аттестовывать отдельно, но можно использовать результаты аттестации инфраструктуры ЦОД. Так вот, в нашем понимании, ЦОД должен нам предоставить эти результаты и ряд других внутренних ИБ-документов, чтобы мы могли убедиться, что ЦОД аттестован по нужному классу, что физически наша ГИС будет хоститься именно на аттестованном железе, что у применяемых в ЦОД СЗИ не истекли сроки сертификатов (или срок оказываемой техподдержки), что в списках сотрудников ЦОД, физически допущенных к железу нашей ГИС нет уволенных сотрудников и т. д. Но мы часто сталкивались или с затягиванием сроков предоставления документов или с отказом в их предоставлении.
Типичный демагогический прием — борьба с соломенным чучелом (она же — подмена тезиса). Вместо того, чтобы ответить по факту — придумываете чучело в виде моей квалификации и начинаете его сжигать. Вы у нас, видимо великий специалист во всех сферах от бухгалтерии и защиты информации до ракетостроения и молекулярной биологии. Хотя, вероятнее, что это просто первая стадия эффекта Даннинга-Крюгера.
Государственной – не существовало. А наша, частная – существовала до 2021г.
Это обычно называется «скидка». Но вы же использовали оборот «федеральная льготная программа», что это как не введение в заблуждение?
по какому же судебному решению Вы пишите, что моя деятельность является мошенничеством
Ни по какому, это мое оценочное суждение. Обоснование такой оценки в целых десяти тезисах в конце статьи, перечитайте.
В том числе, напомню Вам об ответственности, согласно недавно принятому закону о клевете в Интернете.
Тут надо тезисно разбираться где же тут клевета, на мой взгляд в статье все изложено логично и понятно. Материалы взяты из открытых источников и от людей, которых вы замучали своим спамом. Мое субъективное суждение основано как на личных соображениях, так и по итогам консультаций с коллегами и юристами. А самое главное — мое субъективное суждение основано на общении с вашими, так сказать, потенциальными клиентами. Люди действительно уверены, что их ввели в заблуждение.
P. S. Вы же в инсте написали, что моя статья послужила вам хорошей рекламой и у вас теперь в 4 раза больше клиентов. Что-то пошло не так?
Идея неплохая, но если сделать сейчас так и заставить операторов ПДн регистрировать все данные им согласия в Госуслугах, то получится бардак, многие забьют на внесение информации, но продолжат обрабатывать ПДн и тогда образуется серая зона. Тогда уже надо отменять силу всех ранее данных согласий и попросить чтобы субъект ПДн, там где ему нужно снова дал согласие с авторизацией через ЕСИА.
Мне кажется дело тут не в злом умысле, а в обычной безалаберности. Те самые отмененные документы 2008 года были один в один копипастой с документов с грифом «С», только автозаменой прошлись и заменили например «режимно-секретное помещение» на просто «режимное помещение». Думаю и в приказе 2014 года просто нафигачили что попало, лишь бы от них отстало правительство. Но конечно, раз документ утвержден, то может быть применен в любой момент и это печально.
Видимо я не смогу нормально спать, пока не напишу коммент размером со статью к этому опусу. Развидеть же не получится…
Важно: Выбор сервиса для размещения своей ИСПДн и отслеживание валидности предоставленных бумаг — зона ответственности клиента, поскольку, где бы он ни размещал информационные системы, он остается оператором ПДн и несет ответственность за их защиту.
Да что вы говорите. Давайте посмотрим статью 6 закона «О персональных данных»:
3. Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным или муниципальным органом соответствующего акта (далее — поручение оператора). Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные настоящим Федеральным законом. В поручении оператора должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 настоящего Федерального закона.
5. В случае, если оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет оператор. Лицо, осуществляющее обработку персональных данных по поручению оператора, несет ответственность перед оператором.
Во-первых, вы во всей статье как-то умалчиваете, что когда оператор ПДн размещает ПДн своих клиентов в облаке он по сути передает их другому лицу — владельцу облака. И в большинстве случаев он должен брать с субъектов ПДн на это согласие. Во-вторых, вы так пишете как будто оператор ПДн при законной передаче персданных третьим лицам должен бегать по этим третьим лицам и проверять все ли в порядке у них с защищенностью. А третьи лица могут расслабиться. Нет, закон говорит, что третьи лица тоже должны принимать меры и они тоже несут ответственность, правда не перед субъектом ПДн, а перед операторм ПДн.
Эти два типа документов можно рассмотреть на примере требований к изоляции ИСПДн от публичных сред, других ИС в облаке и интернета.
Можно пример требования именно изоляции? Вот смотрю сейчас 21 приказ ФСТЭК, управление информационными потоками — вижу, защищенный удаленный доступ — вижу, защиту периметра — вижу. А изоляция это какое конкретно требование?
В своих технических требованиях регулятор оперирует набором ОС, «железа», подключением к интернету (сетям общего пользования) и другими. В свою очередь, провайдер может оперировать уровнями платформы, контейнерами или отдельными сервисами (базы данных, бэкапы и пр)
Если вы про документы ФСТЭК, есть там и сервисы, и платформы, и БД и бэкапы и много еще чего. Есть конечно кое-где пробелы, но не такие как вы пытаетесь преподнести.
В аттестате фиксируется точное соответствие тому или иному уровню защищенности (УЗ) и классу защиты (К) с учетом всех требований ГОСТ, а ОЭ может лишь обозначать данное соответствие.
Эээ, а при оценке эффективности оператор ПДн разве не должен также определить УЗ, разработать модель угроз и исходя из актуальных угроз и своего УЗ выбрать перечень мер для реализации? Вы же сами дальше пишете, что ОЭ от аттестации отличается тем, что не нужно привлекать лицензиата и что финальные документы могут делаться в свободной форме. Это так, но это не означает, что сами мероприятия по защите ПДн как-то отличаются от того, собираетесь ли вы в итоге проводить аттестацию или ОЭ! Да и на соответствие требованиям какому загадочному ГОСТ? Требования по защите информации установлены в методических документах ФСТЭК.
Если сервисы провайдера аттестованы, разграничение зон ответственности можно, как правило, провести более четко
Я уже выше написал — разграничение зон ответственности уже четко установлено законом.
Аттестат соответствует определениям и категориям, которые использует регулятор. В отличие от оценки эффективности, где определения могут быть даны в более расплывчатых формулировках и не всегда полностью отражать требования регуляции
Это как? Возьмем определение «персональные данные» из 152-ФЗ и дадим свое «расплывчатое»? Что это за бред и как это понимать? То что отчетные документы по ОЭ могут делаться в свободной форме это значит, что нет четких требований к их оформлению и содержанию, как например к документу «Программа и методики аттестационных испытаний», требования к которому установлены ГОСТ РО 0043-004-2013 «Защита информации. Аттестация объектов информатизации. Программа и методики аттестационных испытаний». А не то, что можно вертеть на одном месте термины и определения из законодательства.
Если клиент планирует размещать в облаке ГИС. Оценка эффективности здесь не подойдет — при прохождении процедуры аттестации самой информационной системы сослаться на ОЭ будет проблематично.
Да как бы не «проблематично», а «невозможно». Пункт 17.6 приказа ФСТЭК №17:
В случае если информационная система создается на базе информационно-телекоммуникационной инфраструктуры центра обработки данных уполномоченного лица, такая инфраструктура центра обработки данных должна быть аттестована на соответствие настоящим Требованиям.
В первую очередь, необходимо понимать, что оценка эффективности не является документом по ГОСТу
Оценка эффективности принятых мер это не документ, а процесс. Документом по итогам этого процесса может быть заключение, отчет и т. д. Да, может я тут уже и докапываюсь, но не могут специалисты так коряво писать, извините.
Такую оценку владелец ИС вправе выполнить самостоятельно, не привлекая никого со стороны. Только от него зависит объем требований и набор проверяемых подсистем, а также сценарий проверки.
Нет, не верно, набор требований зависит от установленного УЗ и актуальных угроз безопасности. Здесь по требованиям конечно может быть некая дельта вариативности, но не такая большая как хотелось бы.
Говоря грубо — любая компания может выбрать набор критериев безопасности и провести внутреннюю оценку своих систем на предмет соответствия этим критериям.
Выбор защитных мер как бы регламентирован, а не собирается по желанию левой пятки. Вам плюсики в таблицах с мерами в приложениях к приказам ФСТЭК ни о чем не говорят?
Будет ли ее результат иметь юридическую силу в глазах регулятора? Едва ли.
Ну если будет делаться так, как вы написали, то конечно это филькина грамота. Только, то, что оператор может сделать ОЭ как попало, это не значит, что он должен так делать. Ничто не мешает провести ОЭ и сделать отчетные документы приближенно к аттестации и даже лучше. Какие тогда у регулятора могут быть основания для нивелирования юридической силы такой ОЭ?
Иными словами, провайдер может где-то использовать сертифицированные средства защиты, где-то обойтись «творческим подходом» и ссылкой на организационные меры защиты, а где-то признать невозможность использования сертифицированных средств защиты в связи с экономической неэффективностью.
До 2017 года было так для всех УЗ. Сейчас же в 12 пункте приказа ФСТЭК №21 есть такой текст:
Для обеспечения 1 и 2 уровней защищенности персональных данных, а также для обеспечения 3 уровня защищенности персональных данных в информационных системах, для которых к актуальным отнесены угрозы 2-го типа, применяются сертифицированные средства защиты информации, программное обеспечение которых прошло проверку не ниже чем по 4 уровню контроля отсутствия недекларированных возможностей.
Очевидно, что такая лаборатория не захочет рисковать своей репутацией в глазах регулятора выдавая сомнительные ОЭ.
Во-первых, нет такого понятия как «аттестующая лаборатория», это вы придумали какую-то химеру из аттестующего органа и испытательной лаборатории. Во-вторых, полно лицензиатов, которые проводят «аттестацию по фотографии» и плевать хотели на свою репутацию.
В отличие от аттестата, в ОЭ может быть не указан срок, в течение которого документ легитимен. Скорее, это подтверждение того, что на момент проведения все могло соответствовать описанным возможностям.
Да впрочем как и с аттестатом соответствия. Технически ничто не мешает владельцу аттестованной системы после получения заветной бумажки снести средства защиты информации и добавить новые технологии, порождающие новые, не учтенные ранее, угрозы безопасности информации.
Наличие у провайдера аттестата гарантирует некую неизменность условий функционирования системы, оказывающих влияние на информационную безопасность, в течение всего периода его действия.
Ничего это не гарантирует.
Так, например, облачные сервисы, имеющие аттестаты УЗ-1 и К1, проходят контрольные мероприятия ежегодно согласно требованиям регулятора.
Говорю по собственному опыту — из сотен аттестованных объектов только единицы за все годы обратились за услугой периодического контроля.
Ответственность несут, как мы уже писали выше, лаборатория, выдавшая аттестат, и сам провайдер.
Аттестующий орган несет ответственность за качество проведенных аттестационных испытаний. Если провайдер после получения аттестата что-то в своей инфраструктуре нахимичит, что понизит защищенность, то тут уже ответственность только провайдера.
Облачный провайдер, как правило, является лицензиатом ФСТЭК и ФСБ.
Кроме РТК не знаю таких, хотя работали со многими. Зачем им получать дорогостоящие лицензии, если они не собираются оказывать услуги в сфере информационной безопасности? Так что с «как правило» это вы загнули.
Если сервисное решение все еще вызывает сомнения, имеет смысл через официальные ресурсы регулятора убедиться в подлинности аттестата.
О, вот это интересно! ФСТЭК завел публичный реестр аттестованных объектов??? А ссылочкой не поделитесь?
Требовать у провайдера внутренние документы (такие как регламенты, протоколы испытаний) вряд ли стоит. Многие из них, например, методики аттестационных испытаний, являются конфиденциальными и не могут быть предоставлены вам как клиенту.
Впрочем как и сам аттестат, в лучшем случае вам покажут скан обложки и первую страницу.
Доказывать в суде, что не верблюд. Тут уже оператор ПДн взвешивает риски или получать согласие путем галочки «Я согласен» или обязать своих потенциальных клиентов обзавестись квалифицированной ЭП и тем самым этих клиентов распугать. Обычно выбирают первое, штрафы за отсутствие согласия пока все еще мизерные.
3. Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным или муниципальным органом соответствующего акта (далее — поручение оператора).
Да, написано коряво. И можно подумать, что если есть договор есть, то согласие не нужно в этих случаях. Но практика проверок наших клиентов показала, что наличие договора не отменяет обязательность согласия на передачу третьим лицам. Отменяют только положения других ФЗ.
В большинстве случаев в отношениях организаций с гражданами основанием для обработки ПДн является договор, одной из сторон которого является субъект ПДн. Правда тут есть одно «но», если ПДн передаются третьим лицам (любой другой организации, кроме различных узаконенных передач — в ПФР, в ходе оперативно-розыскной деятельности и тд), то нужно брать согласие, несмотря на исключение. А сейчас очень редко бывает, когда ПДн никуда дальше не передается. В статье конечно корявенько сформулировано, согласен.
Кстати, общепринятое сокращение «персональных данных» это все-таки ПДн, а не ПД. На этом в свое время настояли ФСТЭК России, тк у них сокращение ПД уже занято по ПротивоДействие. Например, ПД ИТР — ПротивоДействие Иностранным Техническим Разведкам. Странно конечно, но уж как есть.
Да в общем-то там было всё, что вы перечислили. И кадров нет и доводить руководству некому. Руководство тоже не в теме ИБ, поэтому о рисках даже не думали. Сеть делал одноразовый подрядчик — работает и ладно!
К сожалению, это реальность, в которой по большей части мы тут работаем.
Если бы проблема была в чем-то одном из вами перечисленного это было бы слишком круто для нашей деревни =)
Вот здесь недавно писали что из «бумаги» в общем-то неплохо так соки еще сосут, правда приходится прибегать уже к не совсем этичным техникам.
А ваш скепсис по поводу кейса абсолютно не понятен. Особенно учитывая, что вы сам архитектор ИБ судя по профилю. Вы думаете это страшилка, что можно словить ботнет с которого потом будут атаковаться важные объекты? Мы, к сожалению, не договорились с потерпевшим о возможности выложить скан предписания и их в целом можно понять. Смысл ссылки на такой кейс заключается в нашем опыте того, что почему-то до сих пор ответственные лица многих даже крупных, даже государственных организаций считают, что «инцидент ИБ» это когда поймали шифровальщик и другие случаи, когда невозможно продолжать работу, а когда в их системе закрепился троян, но никак себя не выдает это «ок» и никто не узнает и регулятор по шапке на надает. Так вот — оказывается, что узнает и по шапке надает. Информация к сведению. Вы можете не верить, но я убежден, что таким опытом безопасникам делиться нужно.
Ну и в этом случае, хоть регулятор и ссылался на отмененные постановления правительства, как оказалось, среагировали не зря. У потерпевшей организации, не то что сертифицированного, даже бесплатного антивируса не было, даже встроенный Windows Defender был отключен и не обновлялся. Вы как архитектор ИБ считаете это нормальным?
Нет, не верно. Основной смысл, что требование уже было но не для всех, а теперь вроде как для всех, но как будут реагировать регуляторы — посмотрим. Может и никак. У нас, кстати планируется публикация об одном требовании ФСБ, которому уже минимум 12 лет, но на которое всем пофигу, в том числе самим ФСБ.
Что касается «докопаться», то ФСБ конечно может, но их претензии тоже нужно внимательно читать и анализировать. На самом деле в том действительно реальном кейсе, которое почему-то другой комментатор берет в кавычки, ФСБ ссылается на утратившее силу постановление правительства, что вполне себе можно использовать в мотивированном ответе на предписание. Так что с регуляторами спорить можно и нужно, тем более они не редко бывают не правы, а требования бывают не обоснованы.
Управление Федеральной антимонопольной службы (ФАС) по Москве наказало организацию, именующую себя «Федеральным центром защиты персональных данных» (ООО «Единый центр сертификации») за нарушение законодательства о рекламе (статья 14.3 КоАП РФ). Надзорный орган посчитал, что компания неправомерно продвигала (а по сути навязывала) свои юридические услуги, создавая на рынке впечатление, что она является госструктурой и связана с Роскомнадзором.
Московское УФАС в ходе разбирательства по жалобе неназванного лица установило, что заявителю поступило от компании электронное письмо, в котором содержалась информация о необходимости принятия мер по защите персональных данных под угрозой привлечения к административной ответственности.
Комиссия УФАС пришла к выводу, что использование в наименовании отправителя обозначения «Федеральный центр защиты персональных данных», «а также использование в доменном имени обозначения rkn, сходное с латинское аббревиатурой Роскомнадзора, вводит потребителя рекламы в заблуждение путем создания представления (ассоциации) о принадлежности (причастности) адресата спорной рекламы к органам государственной власти либо об одобрении рекламируемых услуг органами государственной власти».
Установив факт нарушения закона о рекламе, комиссия УФАС передала материалы разбирательства должностному лицу для решения вопроса о возбуждении дела об административном правонарушении.
Первое, что обескураживает это вступление в силу нового Положения уже с 1 сентября этого года. Это прям совсем не очень, так как документ ломает через колено многие техпроцессы, связанные с аттестацией как на стороне лицензиатов, так и на стороне операторов систем.
Больше всего печалит пункт 15б. Для государственных информационных систем (ГИС) в соответствии с 676 постановлением правительства необходимо согласовывать модель угроз (МУ) и техническое задание на создание системы защиты информации (ТЗ) со ФСТЭК. Раньше не было явного требования получать согласование до аттестации, теперь есть. Раньше для проведения аттестации достаточно было наличия этих разработанных документов и утвержденных со стороны оператора системы. Их согласование могло проводиться параллельно с аттестацией. Проблема тут в том что:
— ФСТЭК может согласовывать документы месяцами;
— мы ни разу не видели в ответе от ФСТЭК на согласование МУ и ТЗ слова «согласовано», обычно они пишут «документы в целом соответствуют требованиям, но… {замечания}». Тут вопрос — когда считать документы согласованными? Вот получили первый ответ, исправили замечания, на этом всё? Или исправляем замечания, отправляем по новой, ждем второй ответ?
— по опыту согласования десятков МУ и ТЗ — мы ни разу не получали замечания, которые могли бы в корне повлиять на систему защиты (например, актуальные угрозы признаны неактуальными или не учтены необходимые меры защиты), в основном косметика и спорные моменты, не влияющие в целом на проект системы защиты информации.
Как сейчас это будет организовываться — не понятно, потому что даже сделать финт ушами — закрыть договор -> дождаться согласования -> выдать аттестат задним числом до окончания даты договора, не получится, потому что по новому Положению дата аттестата должна быть позже даты письма от ФСТЭК с согласованием.
Мне тоже не понятно чего ФСТЭК лезет в отношения заказчика и лицензиата. Действительно бывают проекты, когда аттестовывается распределенная система с разъездами по всему Дальнему Востоку (в том числе в труднодоступные районы), там сроки были и 8 и 12 месяцев.
С другой стороны, 4 месяца это только срок аттестации. Проектирование, аудит, разработка документов в этот срок не входит. Посмотрим как это будет работать.
С этим протоколами тоже много вопросов помимо названия. Написано, что протоколы нужно направлять раз в два года, но раз в два года нужно направлять именно протоколы. То есть больше одного. Тогда сколько? Еще я ожидал в приложениях увидеть форму такого протокола, но нет. Ведь можно на одной страничкие написать: «Протокол. Комиссия проверила систему защиты, она функционирует, все хорошо. Подписи членов комиссии». Может нужно что-то более подробное? Аналог аттестационных испытаний? Отчет сканера уязвимостей? Пентест?
Чисто с концептуальной точки зрения требование понятное. Мы сами часто сталкивались с ситуацией, когда после получения аттестата, оператор сносил к чертям средства защиты. Теперь должен отчитываться периодически, но не хватает конкретики по форме таких проверок.
Тут вы не правы от слова «совсем». Аттестат аккредитации органа по аттестации выдавался только для работ по гостайне (но и его уже упразднили). Собственно по вашей ссылке список именно таких лицензиатов. Мы имеем лицензию и по ГТ и по ТЗКИ, поищите в приведенном вами списке «информационный центр», там мы фигурируем с лицензией номер 3435 — это именно лицензия по гостайне. Номер нашей лицензии по ТЗКИ — 0918 и его в этом перечне нет. Поэтому в данном случае «орган по аттестации» это просто принимаемое в документе сокращение для лицензиатов по ТЗКИ и применяемое далее по тексту документа.
Раньше лицензиаты могли себя аттестовывать и это не вызывало никаких вопросов у ФСТЭК. Сейчас получается по новому Положению не могут, потому что орган по аттестации должен быть не зависим от владельца аттестуемого объекта… Смотря на то же Положение, где госы могут аттестовывать сами себя своим подразделением по ИБ. Получаются какие-то двойные стандартики. Так и представляю себе подразделение по ИБ какого-нибудь регионального министерства, независимо и непредвзято аттестующее свои же системы и непримиримо настаивающее на выполнении ИТ-службой, пользователями и самим министром всех требований ИБ.
Не знаю с какого вы региона, но на ДВ так всегда было. Не прямо, но косвенно наличие техпаспорта было обязательно при атетстации, потому что в ходе испытаний нужно провести «анализ полноты исходных данных и проверку их соответствия реальным условиям размещения, монтажа и эксплуатации ГИС». По факту такими исходными данными и был техпаспорт. При сегментном подходе у нас тоже никто обязанность подготовки техпаспорта не снимал. Просто обязанности по подготовке техпаспорта на сегмент ложилась на оператора сегмента. В итоге если это огромная ГИС на тысячи АРМ, при любом подходе все эти АРМ должны были быть внесены в техпаспорты.
Можно брать пример со ФСТЭК: «В целом соответствует требованиям по ЗИ, но...» =)
Я думаю тут речь именно о том, чтобы в течение 5 дней отправить, а не чтобы через 5 дней после выдачи аттестата у ФСТЭК лежало на столе. Но будем конечно еще уточнять этот момент.
Никакие внутренние документы, договоры и прочие NDA не могут противоречить законодательству. Так же как вы можете сколько угодно в своем внутреннем положении о коммерческой тайне (КТ) писать, что зарплата сотрудников является КТ, но вы не привлечете к ответственности сотрудника, который разгласит такую информацию, потому что по закону о КТ, такие сведения не могут быть отнесены к КТ.
17 приказ:
Настоящие Требования не распространяются на государственные информационные системы Администрации Президента Российской Федерации, Совета Безопасности Российской Федерации, Федерального Собрания Российской Федерации, Правительства Российской Федерации, Конституционного Суда Российской Федерации, Верховного Суда Российской Федерации и Федеральной службы безопасности Российской Федерации.
Не в полной мере соответствует, но я не вижу прямых противоречий. Вот в 17 приказе написано, что порядок распространения аттестата на сегменты должен быть прописан в аттестационных документах. В шаблоне аттестата в приложении к Положению такого нет. Добавляем сами — PROFIT.
P. S. Еще несколько моментов по положению, которые вызывают вопросы.
Те самые разделы, когда орган по аттестации не выдает аттестат, а заказчик с этим не согласен. Обе стороны высылают во ФСТЭК обоснования своей позиции, а ФСТЭК по этим документам определяет кто из них прав, кто виноват. Что-то мне подсказывает, что выражение «бумага все стерпит» появилось не на пустом месте.
Те самые отчеты, которые надо каждые 2 года слать во ФСТЭК. Что с ними для уже аттестованных объектов. Понятно, что их нужно слать, но с какого момента начинается отсчет этих 2 лет? С момента выдачи аттестата? С момента вступления в силу Положения? Третий вариант?
Вот это «и» специально выделил, потому что оно многих сбивает с толку. И после наших консультаций со фстэком, выяснилось, что там должно было быть «или». Потому что, если система классифицируется в целом, то уже по определению целого у нее один класс на все элементы. Или можно классифицировать, например, центральный сегмент (серверы + админы) отдельно и пользовательский сегмент отдельно. В таком случае класс может отличаться (в центральном сегменте он, как правило, выше, а в пользовательском — ниже).
В вашем случае смысла нет делать еще какой-то документ, в любом случае — К3 это сейчас самый низкий класс.
Как же меня бомбит, когда Star Wars относят к научной фантастике =) Никакой это не НФ, это фентези в космосе с
эльфамиджедаями имагиейсилой.А сабж хорош.
Я не стал писать об этом в первом комментарии, но прочитав ответ бросается в глаза то, что ответ нормально читается, а по самой статье местами, честное слово, создается впечатление как будто ее нейросеть писала =)
Я о том и говорил, что показывают либо титульник, либо титульник + 1 страницу, а самое интересное в аттестате дальше — в приложении. Там и список собственно железа, которое было аттестовано с серийными номерами и список аттестованного ПО, и список применяемых сертифицированных СЗИ. Понятно, что это не те сведения, которые стоит вывешивать в открытый доступ, но, надеюсь, вы их предоставляете клиентам по запросу.
Мне это не особо интересно, но может кому-то из клиентов в будущем понадобится. У меня нет предвзятого отношения к аттестованным облакам, есть только личный опыт в сфере аттестации разных систем.
Протокол конечно не публичный документ, но есть ситуации, когда его нужно показывать. Мы, например, практически не занимались аттестацией коммерческих облаков, но были кейсы когда нам нужно было аттестовать ГИС, переехавшую в такое облако. По 17 приказу ГИС все равно нужно аттестовывать отдельно, но можно использовать результаты аттестации инфраструктуры ЦОД. Так вот, в нашем понимании, ЦОД должен нам предоставить эти результаты и ряд других внутренних ИБ-документов, чтобы мы могли убедиться, что ЦОД аттестован по нужному классу, что физически наша ГИС будет хоститься именно на аттестованном железе, что у применяемых в ЦОД СЗИ не истекли сроки сертификатов (или срок оказываемой техподдержки), что в списках сотрудников ЦОД, физически допущенных к железу нашей ГИС нет уволенных сотрудников и т. д. Но мы часто сталкивались или с затягиванием сроков предоставления документов или с отказом в их предоставлении.
Это обычно называется «скидка». Но вы же использовали оборот «федеральная льготная программа», что это как не введение в заблуждение?
Ни по какому, это мое оценочное суждение. Обоснование такой оценки в целых десяти тезисах в конце статьи, перечитайте.
Тут надо тезисно разбираться где же тут клевета, на мой взгляд в статье все изложено логично и понятно. Материалы взяты из открытых источников и от людей, которых вы замучали своим спамом. Мое субъективное суждение основано как на личных соображениях, так и по итогам консультаций с коллегами и юристами. А самое главное — мое субъективное суждение основано на общении с вашими, так сказать, потенциальными клиентами. Люди действительно уверены, что их ввели в заблуждение.
P. S. Вы же в инсте написали, что моя статья послужила вам хорошей рекламой и у вас теперь в 4 раза больше клиентов. Что-то пошло не так?
Да что вы говорите. Давайте посмотрим статью 6 закона «О персональных данных»:
Во-первых, вы во всей статье как-то умалчиваете, что когда оператор ПДн размещает ПДн своих клиентов в облаке он по сути передает их другому лицу — владельцу облака. И в большинстве случаев он должен брать с субъектов ПДн на это согласие. Во-вторых, вы так пишете как будто оператор ПДн при законной передаче персданных третьим лицам должен бегать по этим третьим лицам и проверять все ли в порядке у них с защищенностью. А третьи лица могут расслабиться. Нет, закон говорит, что третьи лица тоже должны принимать меры и они тоже несут ответственность, правда не перед субъектом ПДн, а перед операторм ПДн.
Можно пример требования именно изоляции? Вот смотрю сейчас 21 приказ ФСТЭК, управление информационными потоками — вижу, защищенный удаленный доступ — вижу, защиту периметра — вижу. А изоляция это какое конкретно требование?
Если вы про документы ФСТЭК, есть там и сервисы, и платформы, и БД и бэкапы и много еще чего. Есть конечно кое-где пробелы, но не такие как вы пытаетесь преподнести.
Эээ, а при оценке эффективности оператор ПДн разве не должен также определить УЗ, разработать модель угроз и исходя из актуальных угроз и своего УЗ выбрать перечень мер для реализации? Вы же сами дальше пишете, что ОЭ от аттестации отличается тем, что не нужно привлекать лицензиата и что финальные документы могут делаться в свободной форме. Это так, но это не означает, что сами мероприятия по защите ПДн как-то отличаются от того, собираетесь ли вы в итоге проводить аттестацию или ОЭ! Да и на соответствие требованиям какому загадочному ГОСТ? Требования по защите информации установлены в методических документах ФСТЭК.
Я уже выше написал — разграничение зон ответственности уже четко установлено законом.
Это как? Возьмем определение «персональные данные» из 152-ФЗ и дадим свое «расплывчатое»? Что это за бред и как это понимать? То что отчетные документы по ОЭ могут делаться в свободной форме это значит, что нет четких требований к их оформлению и содержанию, как например к документу «Программа и методики аттестационных испытаний», требования к которому установлены ГОСТ РО 0043-004-2013 «Защита информации. Аттестация объектов информатизации. Программа и методики аттестационных испытаний». А не то, что можно вертеть на одном месте термины и определения из законодательства.
Да как бы не «проблематично», а «невозможно». Пункт 17.6 приказа ФСТЭК №17:
Оценка эффективности принятых мер это не документ, а процесс. Документом по итогам этого процесса может быть заключение, отчет и т. д. Да, может я тут уже и докапываюсь, но не могут специалисты так коряво писать, извините.
Нет, не верно, набор требований зависит от установленного УЗ и актуальных угроз безопасности. Здесь по требованиям конечно может быть некая дельта вариативности, но не такая большая как хотелось бы.
Выбор защитных мер как бы регламентирован, а не собирается по желанию левой пятки. Вам плюсики в таблицах с мерами в приложениях к приказам ФСТЭК ни о чем не говорят?
Ну если будет делаться так, как вы написали, то конечно это филькина грамота. Только, то, что оператор может сделать ОЭ как попало, это не значит, что он должен так делать. Ничто не мешает провести ОЭ и сделать отчетные документы приближенно к аттестации и даже лучше. Какие тогда у регулятора могут быть основания для нивелирования юридической силы такой ОЭ?
До 2017 года было так для всех УЗ. Сейчас же в 12 пункте приказа ФСТЭК №21 есть такой текст:
Во-первых, нет такого понятия как «аттестующая лаборатория», это вы придумали какую-то химеру из аттестующего органа и испытательной лаборатории. Во-вторых, полно лицензиатов, которые проводят «аттестацию по фотографии» и плевать хотели на свою репутацию.
Да впрочем как и с аттестатом соответствия. Технически ничто не мешает владельцу аттестованной системы после получения заветной бумажки снести средства защиты информации и добавить новые технологии, порождающие новые, не учтенные ранее, угрозы безопасности информации.
Ничего это не гарантирует.
Говорю по собственному опыту — из сотен аттестованных объектов только единицы за все годы обратились за услугой периодического контроля.
Аттестующий орган несет ответственность за качество проведенных аттестационных испытаний. Если провайдер после получения аттестата что-то в своей инфраструктуре нахимичит, что понизит защищенность, то тут уже ответственность только провайдера.
Кроме РТК не знаю таких, хотя работали со многими. Зачем им получать дорогостоящие лицензии, если они не собираются оказывать услуги в сфере информационной безопасности? Так что с «как правило» это вы загнули.
О, вот это интересно! ФСТЭК завел публичный реестр аттестованных объектов??? А ссылочкой не поделитесь?
Впрочем как и сам аттестат, в лучшем случае вам покажут скан обложки и первую страницу.
Да, написано коряво. И можно подумать, что если есть договор есть, то согласие не нужно в этих случаях. Но практика проверок наших клиентов показала, что наличие договора не отменяет обязательность согласия на передачу третьим лицам. Отменяют только положения других ФЗ.
Кстати, общепринятое сокращение «персональных данных» это все-таки ПДн, а не ПД. На этом в свое время настояли ФСТЭК России, тк у них сокращение ПД уже занято по ПротивоДействие. Например, ПД ИТР — ПротивоДействие Иностранным Техническим Разведкам. Странно конечно, но уж как есть.
К сожалению, это реальность, в которой по большей части мы тут работаем.
Если бы проблема была в чем-то одном из вами перечисленного это было бы слишком круто для нашей деревни =)
А ваш скепсис по поводу кейса абсолютно не понятен. Особенно учитывая, что вы сам архитектор ИБ судя по профилю. Вы думаете это страшилка, что можно словить ботнет с которого потом будут атаковаться важные объекты? Мы, к сожалению, не договорились с потерпевшим о возможности выложить скан предписания и их в целом можно понять. Смысл ссылки на такой кейс заключается в нашем опыте того, что почему-то до сих пор ответственные лица многих даже крупных, даже государственных организаций считают, что «инцидент ИБ» это когда поймали шифровальщик и другие случаи, когда невозможно продолжать работу, а когда в их системе закрепился троян, но никак себя не выдает это «ок» и никто не узнает и регулятор по шапке на надает. Так вот — оказывается, что узнает и по шапке надает. Информация к сведению. Вы можете не верить, но я убежден, что таким опытом безопасникам делиться нужно.
Ну и в этом случае, хоть регулятор и ссылался на отмененные постановления правительства, как оказалось, среагировали не зря. У потерпевшей организации, не то что сертифицированного, даже бесплатного антивируса не было, даже встроенный Windows Defender был отключен и не обновлялся. Вы как архитектор ИБ считаете это нормальным?
Нет, не верно. Основной смысл, что требование уже было но не для всех, а теперь вроде как для всех, но как будут реагировать регуляторы — посмотрим. Может и никак. У нас, кстати планируется публикация об одном требовании ФСБ, которому уже минимум 12 лет, но на которое всем пофигу, в том числе самим ФСБ.
Что касается «докопаться», то ФСБ конечно может, но их претензии тоже нужно внимательно читать и анализировать. На самом деле в том действительно реальном кейсе, которое почему-то другой комментатор берет в кавычки, ФСБ ссылается на утратившее силу постановление правительства, что вполне себе можно использовать в мотивированном ответе на предписание. Так что с регуляторами спорить можно и нужно, тем более они не редко бывают не правы, а требования бывают не обоснованы.