четверг, 12 июля 2012 г.

Старые и новые сертифицированные системы обнаружения атак

Данная тема родилась в результате обсуждения из прошлого поста. С выходом новых требований для IDS/IPS, как я заметил, у многих сложилось ощущение, что теперь необходимо применять сертифицированные (когда вообще требуется сертификация) только по новым требованиям IDS/IPS. Попытаюсь выложить свою точку зрения на этот счет со ссылками на нормативные документы.


Итак, первое. Новые требования распространяются только на вновь разработанные IDS. Что эта фраза означает? Ответ следующий - требования накладываются на IDS, которые, условно скажем, разработаны (с точки зрения нормативной базы ИБ - поданы на сертификацию) с момента вступления в силу новых требований. Т.е. действия старых сертификатов никто не отменил.


Читаем информационное письмо ФСТЭК №240 от 01.03.2012 об утверждении требования к системам обнаружения атак..."Выполнение Требований является обязательным при проведении работ по оценке соответствия (включая работы по сертификации) средств технической защиты информации и средств обеспечения безопасности информационных технологий, применяемых для формирования государственных информационных ресурсов, организуемых ФСТЭК России в пределах своих полномочий." Толкование на мой взгляд следующее - если вы используете IDS для защиты ГИР, и этот ГИР организуется ФСТЭК-ом России, то да, применяемые IDS в этом случае должны отвечать новым требованиям. Здесь надо уточнять, какой-то это особый вид ГИР, которые организует ФСТЭК, или имеются ввиду все ГИР, поскольку их защита регламентируется в том числе ФСТЭКом. Мне это пока непонятно. В любом случае, даже если речь идет обо всех ГИР, а ГИР это информация в ГИС, то к примеру не каждая ИСПДн государственной организации является ГИСом, все зависит от положений, на основании которых система была создана. Что такое ГИС и с чем ее едят, можно найти на форумах. И опять же фраза "проведение работ по оценке соответствия (в том числе сертификации)" адресует интеграторов к термину "аттестация", поскольку в рамках этой процедуры проверяется соответствие средств защиты нормативным требованиям, и при этом она не является сертификацией. Это значит, что для защиты ГИР можно использовать IDS, сертифицированные на ТУ, главное чтобы при аттестационной проверке они отвечали всем новым требованиям нужного класса IDS.


Информация в письме о том, какие классы IDS соответствуют каким классам ИСПДн и другим системам нужна только для того, чтобы знать соответствие этих классов, но отнюдь не говорит, что во всех этих системах должны применяться только IDS, сертифицированная по новым требованиям. Т.е., если вы решите использовать для защиты ИСПДн сертифицированные по новым требованиям IDS, то будете знать какого класса они должны быть, не больше и не меньше.


Какой отсюда можно сделать вывод? Мнение о том, что в ИСПДн можно использовать только IDS, сертифицированное по новым требованиям на мой взгляд неверное. Необходимо рассматривать, является ли она ГИС...и опять же фраза "организуемых ФСТЭК" не дает мне покоя. Для защиты персональных данных во всех негосударственных информационных системах в любом случае можно использовать IDS, сертифицированные на ТУ.


Теперь по поводу не совсем относящегося к теме вопроса о том "можно ли использовать сертифицированные по старой практике на ТУ IDS для защиты государственной тайны?". Сейчас на этот вопрос дает процитированное мной выше положение с ГИР-ом. Если же эта фраза распространяется не на все ГИР, то можно либо: 
1) смотреть тексты сертификатов и ТУ этих IDS, там должны быть прописаны условия в которых можно их использовать, в частности класс АС и ИСПДн. 
2) если эта информация там не указана, смотреть документ ФСТЭК РД на отсутствие НДВ. В самом его начале сказано, что он разработан в дополнение к РД ФСТЭК на АС, который является основным для определения требований к системе защиты для АС (а значит и защиты гостайны). Соответственно ограничением по использованию IDS для защиты гостайны является наличие у него соответствующего сертификата на отсутствие НДВ.

Комментариев нет:

Отправить комментарий