Финальная редакция ГОСТа ЦБ по защите информации
Наибольшее обсуждение вызвала тема сертификации. В отличие от предыдущей формулировки, которую я приводил в блоге раньше, удалось ее изменить и вернуться к тому, что было определено еще в прошлом году. Сейчас формулировка звучит следующим образом: «применение средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия (в том числе программных (программно-аппаратных) средств, в которых они реализованы, имеющих необходимые функции безопасности) в случаях, когда применение таких средств необходимо для нейтрализации угроз безопасности, определенных в модели угроз и нарушителей безопасности информации финансовой организации». В таблице же требования РЗИ.11-РЗИ.13 стали звучать как «Применение сертифицированных по требованиям безопасности информации средств защиты информации не ниже Х класса**», где примечание (**) звучит как «В случаях, когда применение таких средств необходимо для нейтрализации угроз безопасности, определенных в модели угроз и нарушителей безопасности информации финансовой организации».
По сути повторяется формулировка из 21-го приказа ФСТЭК по защите персональных данных, а мы помним, что ФСТЭК сейчас не требует обязательной сертификации средств защиты для коммерческих организаций. Об этом я писал ровно год назад, приводя ответ ФСТЭК. Об этом говорилось на последней конференции АЗИ . Об этом же сказал представитель ФСТЭК и на заседании в Банке России во время обсуждения ГОСТа, приведя в пример даже крупную финансовую организацию, где эта схема была официально согласована (и это не ЦБ, и не Сбербанк).
В части сертификации платежных приложений формулировка теперь такая: «Применение прикладного ПО АС, сертифицированного на соответствие требованиям по безопасности информации, включая требования по анализу уязвимостей и контролю отсутствия недекларированных возможностей (это добавление — выделено мной), в соответствии с законодательством Российской Федерации или в отношении которых проведен анализ уязвимостей по требованиям к оценочному уровню доверия не ниже чем ОУД 4 в соответствии с требованиями национального стандарта Российской Федерации ГОСТ Р ИСО/МЭК 15408-3-2013***», где примечание звучит как «В случаях, предусмотренных нормативными актами Банка России, и (или) если в соответствии с моделью угроз и нарушителей безопасности информации финансовой организации, угрозы, связанные с наличием уязвимостей и недеклалированных возможностей в прикладном ПО АС признаны актуальными».
Все бы ничего, но на заседании одним из участников был задан вопрос, можно ли отказаться от сертификации средств защиты, если, согласно п.6.4 ГОСТа будет признано, что применение сертифицированных решение экономически нецелесообразно? И вот тут началось 🙂 Представитель ФСБ высказался категорически против такой трактовки, а вот представители ЦБ после долгой дискуссии нехотя согласились с тем, что такая трактовка имеет право на существование и они разделяют ее правомерность. Я тоже считаю, что это вполне логично, так как наличие сертификата ничего не добавляет к защищенности, а только удорожает и так возросшую в требованиях систему защиты информации. Теперь стоит дождаться финального принятия ГОСТа (потребуется ли согласование со стороны ФСБ?) и правоприменительной практики.