Как поймать то, чего нет. Часть пятая: Миф о необходимости сертифицированного ПО
За рамками предыдущей статьи, в которой мы рассматривали мифы в области защиты персональных данных (habrahabr.ru/post/255595), остался интереснейший вопрос о необходимости использования сертифицированных продуктов. Традиционно, если компания хочет реализовать требования регуляторов, то она закупает (но не факт, что использует :-)) сертифицированные продукты. Такова сложившаяся практика.При этом большинство отлично понимает все проблемы, связанные с использованием таких продуктов —, но покорно идет в общей массе. А что если заглянуть в законы и приказы и определить требования самостоятельно?
Традиционно считается, что использование сертифицированных продуктов требуется согласно многих документов регуляторов. Рассмотреть все подобные документы в рамках одной статьи невозможно. Поэтому проиллюстрируем глубину заблуждения на примере документов регуляторов, связанных с Федеральным законом № 152-ФЗ, — именно в целях исполнения этого закона в большинстве случаев и приобретаются сертифицированные версии.
Начнем с цитат Федерального закона № 152-ФЗ (в ред. Федерального закона от 25.07.2011 № 261-ФЗ), ибо он первичен.
Статья 18.1. Меры, направленные на обеспечение выполнения оператором обязанностей, предусмотренных настоящим Федеральным законом1. Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено настоящим Федеральным законом или другими федеральными законами. К таким мерам могут, в частности, относиться:3) применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии со статьей 19 настоящего Федерального закона; Статья 19. Меры по обеспечению безопасности персональных данных при их обработке2. Обеспечение безопасности персональных данных достигается, в частности:2) применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;3) применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
Исходя из написанного: Оператор самостоятельно выбирает меры защиты — в пределах ограничений, накладываемых этим или иными федеральными законами, а также актами регуляторов (ФСТЭК России, ФСБ России, Роскомнадзора). Слова «в частности» означают, что список мер, включенных в закон, — это список того, что можно, но не обязательно применять. И (забегая вперед) необязательность применения средств сертификации видна и в подзаконных актах! И сразу проблема. Федеральный закон № 152-ФЗ не содержит глоссария, не имеет отсылки на глоссарий и не входит в какой-либо пакет законов, в составе которых имеется глоссарий. Соответственно, что есть в законе «установленный порядок оценки соответствия», и кем он установлен — нигде не сказано. Поэтому далее мы вступаем на зыбкую дорогу: Ведущие блогеры и эксперты могут утверждать (и утверждают), что в неком документе/законе/стандарте сказано, что процедура оценки соответствия — это… Но толковать законы в нашей стране не могут ни эксперты, ни регуляторы — только Государственная Дума и суд. Желательно Верховный Суд РФ. Но подобные комментарии Верховного Суда РФ можно пересчитать по пальцам. Так что пока в законе не пропишут, что есть оценка соответствия, или по этому поводу не сделает разъяснения Верховный Суд РФ — никто не может своим веским словом определить какое-либо понятие. Определенные в Законе регуляторы не могут сузить какое-либо понятие — они не имеют права корректировать закон в сторону сужения или расширения каких-либо понятий. Это следует и из общих понятий правового государства, да и из самого Федерального закона № 152-ФЗ: Статья 4. Законодательство Российской Федерации в области персональных данных2. На основании и во исполнение федеральных законов государственные органы, Банк России, органы местного самоуправления в пределах своих полномочий могут принимать нормативные правовые акты, нормативные акты, правовые акты (далее — нормативные правовые акты) по отдельным вопросам, касающимся обработки персональных данных. Такие акты не могут содержать положения, ограничивающие права субъектов персональных данных, устанавливающие не предусмотренные федеральными законами ограничения деятельности операторов или возлагающие на операторов не предусмотренные федеральными законами обязанности
По факту — да, регуляторы выпускают свои толкования, но в весьма обтекаемых формулировках. Однако, рассмотрим иной пример. Например, в Конституции РФ прописаны свобода слова и собраний. Формально мы имеем право собираться, где хотим и когда хотим, но по факту для проведения массового мероприятия нужно получить разрешение.Теперь посмотрим, кто может уточнить требования в области мер защиты.
Статья 13. Особенности обработки персональных данных в государственных или муниципальных информационных системах персональных данных2. Федеральными законами могут быть установлены особенности учета персональных данных в государственных и муниципальных информационных системах персональных данных, в том числе использование различных способов обозначения принадлежности персональных данных, содержащихся в соответствующей государственной или муниципальной информационной системе персональных данных, конкретному субъекту персональных данных.Статья 19. Меры по обеспечению безопасности персональных данных при их обработке3. Правительство Российской Федерации с учетом возможного вреда субъекту персональных данных, объема и содержания обрабатываемых персональных данных, вида деятельности, при осуществлении которого обрабатываются персональные данные, актуальности угроз безопасности персональных данных устанавливает:2) требования к защите персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;4. Состав и содержание необходимых для выполнения установленных Правительством Российской Федерации в соответствии с частью 3 настоящей статьи требований к защите персональных данных для каждого из уровней защищенности, организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных устанавливаются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий.5. Федеральные органы исполнительной власти, осуществляющие функции по выработке государственной политики и нормативно-правовому регулированию в установленной сфере деятельности, органы государственной власти субъектов Российской Федерации, Банк России, органы государственных внебюджетных фондов, иные государственные органы в пределах своих полномочий принимают нормативные правовые акты, в которых определяют угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности, с учетом содержания персональных данных, характера и способов их обработки.
Исходя из этого Правительство РФ и регуляторы могут и обязаны выпускать требования по защите. Остальные органы могут только определить список угроз, а также порядок учета персональных данных. И все было бы хорошо, если бы не: Статья 18.1. Меры, направленные на обеспечение выполнения оператором обязанностей, предусмотренных настоящим Федеральным законом3. Правительство Российской Федерации устанавливает перечень мер, направленных на обеспечение выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами.
То есть правительство обязывается выпустить перечень мер только для государственных органов! Вокруг этого пункта также было сломано немало копий в сражениях по вопросу о том, может или не может правительство устанавливать требования по защите для коммерческих организаций.Не будем пытаться понять логику и перейдем к ПП 1119, выпущенному правительством во исполнение положений Федерального закона № 152-ФЗ:
13. Для обеспечения 4-го уровня защищенности персональных данных при их обработке в информационных системах необходимо выполнение следующих требований: г) использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.
Для более высоких уровней защиты требования по оценке соответствия не изменяются, поэтому приводить здесь мы их не будем.Казалось бы, та же оценка соответствия. Но внимательный глаз видит разницу с требованиями Закона: «соответствия требованиям законодательства Российской Федерации». Закон этого не требовал, и получается, что выбранный вами продукт может соответствовать международным — не российским — критериям безопасности — расширять требования закона нельзя! требования должны быть в области обеспечения безопасности информации. Это тоже ограничение, хотя и логичное. Возможно, оно возникло в связи с тем, что один из вендоров прописывал в сертификате «соответствие ГОСТ», не говоря, какому ГОСТу продукт соответствует. «использоваться такие средства должны только для нейтрализации актуальных угроз». Очень забавное требование. Понимать его можно двояко. Скажем, для обнаружения/ограничения проникновения и т. д., получается, можно использовать продукты, не прошедшие оценку соответствия. Это, кстати, важно: в приказе ФСТЭК России от антивируса требуется только обнаружение, но не нейтрализация. Так что ПП 1119 позволяет нам использовать для обнаружения угроз и предотвращения внедрения вредоносных файлов несертифицированные средства. И более того, не написано, что эти средства должны быть антивирусом. Весело.Ну и Приказ ФСТЭК России № 21:
4. Меры по обеспечению безопасности персональных данных реализуются в том числе посредством применения в информационной системе средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия, в случаях, когда применение таких средств необходимо для нейтрализации актуальных угроз безопасности персональных данных.
Между приказом и ПП 1119 есть существенная разница. Нет указания соответствия требованиям законодательства Российской Федерации и указания, что требования должны быть в области обеспечения безопасности информации.Не менее интересна и разница c Федеральным законом № 152-ФЗ. С одной стороны, подтверждается необязательность применения слов «в частности», с другой — написано, что «Меры по обеспечению безопасности <...> реализуются <...> в случаях, когда применение таких средств необходимо для нейтрализации актуальных угроз безопасности персональных данных». Масло масляное. А для чего еще нужно реализовывать защиту? Для защиты от неактуальных угроз?
И самое интересное: меры должны приниматься лишь для нейтрализации — то есть для удаления, но не, например, контроля.
Таким образом, из вышеприведенного следует, что мы можем использовать сертифицированные средства для нейтрализации угроз, которые мы признали актуальными, и иные средства во всех остальных случаях, соответствующие любым на наш выбор в остальных случаях.
Но какой же документ без взаимоисключающих требований? Нельзя лишать экспертов возможности шевелить мозгами!
8.6. Меры по антивирусной защите должны обеспечивать обнаружение в информационной системе компьютерных программ либо иной компьютерной информации, предназначенной для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты информации, а также реагирование на обнаружение этих программ и информации.
Минуточку! Реагированием может быть и простое уведомление, но совсем не обязательно нейтрализация. Но сертифицированные средства защиты информации должны применяться только для нейтрализации. Выходит, антивирусы не должны быть сертифицированы? Продолжим чтение Приказа ФСТЭК России № 21:
12. При использовании в информационных системах сертифицированных по требованиям безопасности информации средств защиты информации: а) для обеспечения 1 и 2 уровней защищенности персональных данных применяются: средства вычислительной техники не ниже 5 класса; системы обнаружения вторжений и средства антивирусной защиты не ниже 4 класса; межсетевые экраны не ниже 3 класса в случае актуальности угроз 1-го или 2-го типов или взаимодействия информационной системы с информационно-телекоммуникационными сетями международного информационного обмена и межсетевые экраны не ниже 4 класса в случае актуальности угроз 3-го типа и отсутствия взаимодействия информационной системы с информационно-телекоммуникационными сетями международного информационного обмена;
Поскольку ниже 4-го класса антивирусы не сертифицируются, то для меньших уровней цитаты не приводим.Что интересно в этой цитате:
Первый раз встречается слово «сертифицированных». Но сертификация не равна оценке соответствия. Оценка соответствия может быть в форме испытаний, регистрации… В свою очередь, сертификация может быть добровольной, обязательной или форме декларирования соответствия. Исходя из этого пункта средства антивирусной защиты и межсетевые экраны должны подвергаться обязательной сертификации, а иные средства, необходимые для нейтрализации угроз, — нет? А ведь системное ПО, не относящееся согласно Приказу к антивирусным средствам, — тоже может немало. Ключевая фраза: «при использовании»! То есть если мы не используем сертифицированные средства, то и вопросов нет. Ну и чтобы усугубить, еще одна цитата из Федерального закона № 152-ФЗ: 1. Настоящим Федеральным законом регулируются отношения, связанные с обработкой персональных данных, осуществляемой <...> и физическими лицами с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, или без использования таких средств…
Удовольствие от использования сертифицированных средств частниками, а также лицензирования средств шифрования, оставим для любителей шифроваться от государства.Подведем черту:
Федеральный закон № 152-ФЗ не определяет требования ни к используемым для защиты персональных данных продуктам, ни к порядку их оценки соответствия/сертификации. Поскольку регуляторы не имеют права расширять требования закона, то (теоретически!) все такие расширения можно игнорировать. Сертификация не равна оценке соответствия. Сертифицированные средства защиты не являются обязательными. Антивирусные средства должны применяться для обнаружения угроз и реагирования на них. Средства, прошедшие оценку соответствия, должны использоваться для нейтрализации угроз. Удовольствие по совмещению этих требований предоставляется читателям.В связи с тем, что использование сертифицированных средств вызывает достаточно много вопросов, в следующей статье планируется (в том числе) ответить на такие вопросы:
«Соответствует ли ваш продукт требованиям 152-ФЗ?» «Где можно скачать дистрибутив?» «Когда можно получить сертифицированную версию?» «Ваш файервол сертифицирован на соответствие профилям защиты?» — и многие другие. Если есть вопросы, не вошедшие в список, — задавайте!