Оценка соответствия требованиям ИБ

#1. И снова разбираемся с терминами

Мы начинаем цикл статей по оценке соответствия требованиям информационной безопасности, в котором постараемся дать актуальные ответы на вопросы наших заказчиков и партнеров.

Безусловно, мы не первые, кто решился системно изложить вопросы оценки соответствия продуктов и сервисов требованиям в области ИБ. Попытки, даже очень удачные, были и прежде. Ссылки на некоторые материалы приведены ¹.  Тем не менее, даже в профессиональной среде какие-то нюансы остаются спорными или дискуссионными: является ли сертификация средств защиты информации единственной реально действующей» формой оценки их соответствия? Нужно ли сертифицировать средства защиты или нет? В каком случае подтверждение соответствия должно быть обязательным, а когда все-таки может быть добровольным? Как правильно провести оценку соответствия, если на ваш продукт или вашу услугу регулятором еще не разработан технический регламент?

Начнем с самых основных понятий и постепенно дойдем до методических вопросов оценки соответствия, стандартизации и обеспечения качества услуг ее проведения.

https://www.securitylab.ru/blog/personal/plutsik/344126.php
https://habr.com/ru/articles/201124/
https://lukatsky.ru/sundries/blog-post_25-34.html
https://habr.com/ru/companies/acribia/articles/521162/
https://www.ec-rs.ru/blog/sredstva-zashhity-informacii/otsenka-sootvetstviya-srzi-soglasno-prikazu-fstek-31/

Это (не)страшная  сертификация

Сертификация – это одна из форм подтверждения соответствия. Как сказано в Федеральном законе "О техническом регулировании" от 27.12.2002 N 184-ФЗ, далее 184-ФЗ): «Сертификация - форма осуществляемого органом по сертификации подтверждения соответствия объектов требованиям технических регламентов, документам по стандартизации или условиям договоров.» Есть другая форма подтверждения соответствия - декларирование соответствия. В целом, 184-ФЗ определяет: «Подтверждение соответствия на территории Российской Федерации может носить добровольный или обязательный характер.  Добровольное подтверждение соответствия осуществляется в форме добровольной сертификации. Обязательное подтверждение соответствия осуществляется в формах: принятия декларации о соответствии (далее - декларирование соответствия); обязательной сертификации.»

Таким образом, 184-ФЗ определяет как формы подтверждения соответствия (сертификация и декларирование соответствия), так обязательность или добровольность подтверждения соответствия.

Согласно 184-ФЗ: «Обязательное подтверждение соответствия проводится только в случаях, установленных соответствующим техническим регламентом, и исключительно на соответствие требованиям технического регламента. Объектом обязательного подтверждения соответствия может быть только продукция, выпускаемая в обращение на территории Российской Федерации.»

А что такое технический регламент, кем он принимается? Определение дает 184-ФЗ: «Технический регламент - документ, который принят международным договором Российской Федерации, подлежащим ратификации в порядке, установленном законодательством Российской Федерации, или в соответствии с международным договором Российской Федерации, ратифицированным в порядке, установленном законодательством Российской Федерации, или федеральным законом, или указом Президента Российской Федерации, или постановлением Правительства Российской Федерации, или нормативным правовым актом федерального органа исполнительной власти по техническому регулированию и устанавливает обязательные для применения и исполнения требования к объектам технического регулирования (продукции или к продукции и связанным с требованиями к продукции процессам проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации и утилизации». Как видно, ни ФСТЭК России, ни ФСБ России не принимают технических регламентов. Более того, технических регламентов в области ИБ нет, в чем можно убедиться, ознакомившись с действующими техническими регламентами (https://www.rst.gov.ru/portal/gost/home/standarts/technicalregulationses).

Являются ли техническими регламентами национальные стандарты? Нет. Хотя в 184-ФЗ сказано, что «Национальные стандарты Российской Федерации могут использоваться полностью или частично в качестве основы для разработки проектов технических регламентов.»

Таким образом, встает вопрос, каким образом и на соответствие чему осуществляется привычная нам сертификация средств защиты информации в системе сертификации ФСТЭК России или средств криптографической защиты информации в системе сертификации ФСБ России?

Руководствуемся требованиями

Дело в том, в ст.5 184-ФЗ указано, что «В отношении оборонной продукции (работ, услуг), поставляемой по государственному оборонному заказу; продукции (работ, услуг), используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа; продукции (работ, услуг), сведения о которой составляют государственную тайну; продукции, для которой устанавливаются требования, связанные с обеспечением безопасности в области использования атомной энергии; процессов проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации, захоронения соответственно указанной продукции обязательными требованиями наряду с требованиями технических регламентов являются требования, установленные государственными заказчиками, федеральными органами исполнительной власти, уполномоченными в области обеспечения безопасности, обороны, внешней разведки, противодействия техническим разведкам и технической защиты информации, государственного управления использованием атомной энергии, государственного регулирования безопасности при использовании атомной энергии, и (или) государственными контрактами (договорами).»  А особенности технического регулирования в указанных случаях устанавливаются Президентом Российской Федерации, Правительством Российской Федерации в соответствии с их полномочиями.

Более того,  в ст.6 187-ФЗ от 26.07.2017 "О безопасности критической информационной инфраструктуры Российской Федерации" прямо указано, что «Федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации устанавливает требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры (требования по обеспечению безопасности информационно-телекоммуникационных сетей, которым присвоена одна из категорий значимости и которые включены в реестр значимых объектов критической информационной инфраструктуры, устанавливаются по согласованию с федеральным органом исполнительной власти, осуществляющим функции по выработке и реализации государственной политики и нормативно-правовому регулированию в области связи), а также требования к созданию систем безопасности таких объектов и обеспечению их функционирования (в банковской сфере и в иных сферах финансового рынка устанавливает указанные требования по согласованию с Центральным банком Российской Федерации). А  в ст. 16 149-ФЗ  от 27.07.2006  "Об информации, информационных технологиях и о защите информации" говорится, что «Требования о защите информации, содержащейся в государственных информационных системах, иных информационных системах государственных органов, государственных унитарных предприятий, государственных учреждений, устанавливаются федеральным органом исполнительной власти в области обеспечения безопасности и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий.»  Конечно, прямые требования могут содержаться в Указах Президента Российской Федерации, в Постановлениях Правительства Российской Федерации. Так, в Указе Президента РФ от 3 апреля 1995 г. N 334 "О мерах по соблюдению законности в области разработки производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации" сказано: «Запретить использование государственными организациями и предприятиями в информационно-телекоммуникационных системах шифровальных средств, включая криптографические средства обеспечения подлинности информации (электронная подпись), и защищенных технических средств хранения, обработки и передачи информации, не имеющих сертификата Федерального агентства правительственной связи и информации при Президенте Российской Федерации».

Поэтому случаях, если мы имеем дело с ГИС, КИИ, со сведениями ограниченного доступа, то руководствуемся требованиями по сертификации, установленными государственными органами власти в виде отдельных нормативных правовых актов. Возможно, в дальнейшем будут приняты технические регламенты в области ИБ, однако сейчас регулирование идет в виде отдельных нормативных правовых актов.

Что касается понятия «обязательная сертификация», то это понятие встречается в нормативных правовых актах и не относящихся к ФЗ-184, но в целом можно сказать, что понятие «обязательная сертификация» характеризуется наличием установленных государством обязательных для выполнения требований.

Есть ли жизнь у добровольной сертификации?

Звучит почти как: «Есть ли жизнь на Марсе?». Ну что же, посмотрим! Добровольное подтверждение соответствия, как было указано, проводится в форме добровольной сертификации. Необходимо отметить, что согласно 184-ФЗ «Объектами добровольного подтверждения соответствия являются продукция, процессы производства, эксплуатации, хранения, перевозки, реализации и утилизации, работы и услуги, а также иные объекты, в отношении которых документами по стандартизации, системами добровольной сертификации и договорами устанавливаются требования.» Что здесь важно? Во-первых, можно сертифицировать не только продукцию, но и работы, услуги, процессы. А во-вторых, сертификация производится, в частности, на соответствие ГОСТу и  принятым документам системы добровольной сертификации.

А что такое система добровольной сертификации?

Согласно ФЗ-184: «Система добровольной сертификации СДС) может быть создана юридическим лицом и (или) индивидуальным предпринимателем или несколькими юридическими лицами и (или) индивидуальными предпринимателями.
Лицо или лица, создавшие систему добровольной сертификации, устанавливают перечень объектов, подлежащих сертификации, и их характеристик, на соответствие которым осуществляется добровольная сертификация, правила выполнения предусмотренных данной системой добровольной сертификации работ и порядок их оплаты, определяют участников данной системы добровольной сертификации.»

Федеральное агентство по техническому регулированию и метрологии осуществляет ведение единого реестра зарегистрированных систем добровольной сертификации  (https://www.rst.gov.ru/portal/gost/home/activity/compliance/VoluntaryAcknowledgement/reestr).

В абсолютном большинстве системы сертификации являются добровольными и в реестре можно найти примеры систем добровольной сертификации, учрежденных федеральными органами исполнительной власти. И здесь нужно понимать разницу между системой добровольной сертификации и добровольной сертификацией. Обязательная сертификация тоже может и реально проводится (именно так и обстоит дело в нашей практике) в системе добровольной сертификации. Как мы говорили, обязательность относится к наличию установленных государством требований по обязательной сертификации. Если нормативными правовыми актами не установлена сертификация в конкретной системе сертификации, то ее можно проводить в любой СДС, которая аккредитована в соответствующей области.  А есть такие случаи на практике, когда можно использовать сертификат соответствия СДС, которая не учреждена органом государственной власти? Этот случай, как и другие конкретные случаи, мы рассмотрим в следующей статье.

Также в следующих статьях мы рассмотрим более подробно систему добровольной сертификации. Отметим только, что в системе сертификации должен быть орган по сертификации, также в СДС могут быть испытательные лаборатории (центры), выполняющих работы по оценке (подтверждению) соответствия продукции. Эти организации аккредитуются в соответствии с законодательством Российской Федерации об аккредитации в национальной системе аккредитации согласно  Указу Президента РФ от 24.01.2011 N 86 "О единой национальной системе аккредитации"). Федеральная служба по аккредитации (Росаккредитация) является федеральным органом исполнительной власти, осуществляющим функции по формированию единой национальной системы аккредитации и осуществлению контроля за деятельностью аккредитованных лиц

И что в итоге?

1. Обязательная сертификация проводится по техническим регламентам, но в области ИБ технических регламентов нет, поэтому обязательная сертификация в области ИБ проводится во исполнение и на основе требований нормативных правовых актов в системах сертификации федеральных органов исполнительной власти.
2. Законом предусмотрены добровольная сертификация в системах добровольной сертификации (СДС), которые могут быть учреждены широким кругом лиц. В СДС можно сертифицировать продукцию, в т.ч. средства защиты информацию, работы (услуги), а также процедуры (процессы) на соответствие ГОСТам и другим документам, принятым в СДС.
3. В определенных документах может быть указание на то, что сертификация должна быть проведена в указанной системе сертификации. Однако, может быть задано требование, что должна быть проведена сертификация продукции (услуг, процессов) без указания на конкретную систему сертификации; в этих случаях возможна сертификация в любой СДС с требуемой областью аккредитации.
4. Обязательная сертификация может осуществляться в системе добровольной сертификации.
5. Добровольная сертификация также может проводиться по требованию заказчика.

Продолжение, конечно, следует

В следующих статьях мы разберем практические примеры, в которых рассмотрим необходимость сертификации средств защиты информации в тех или иных случаях, а также в целом оценку соответствия не только в виде обязательной сертификации.