Хочу здесь высказаться не в унисон большинства специалистов по информационной безопасности, кроме, разве что производителей СЗИ и их интеграторов.
В новом законе о ПДн говорится, что для защиты ПДн должны использоваться средства защиты, прошедшие оценку соответствия. Однако не говорится, оценка на соответствие чему и как она должна быть проведена. Есть следующие способы ее достичь:
1. Сертификация по НСД, НДВ, ОУД и так далее
2. Международная сертификация, например всё те же EAL
По вопросам первой, добро пожаловать к нашим регуляторам. По вопросам второй никуда ходить не надо, т.к. она в России не признается. А зря!
Сертификат на СЗИ минимально гарантирует, что продукт проверен на заявленный функционал, на отсутствие недекларированных возможностей, на безопасность. Таким образом, можно говорить об уровне доверия к СЗИ. Я могу привести много российских СЗИ известных компаний, которые и близко нельзя подпускать к критичной информации и наоборот. А ПДн и относятся к конфиденциальной информации, однако, в российских реалиях такое соответствие не является аксиомой, так как до сих пор любые базы данных имеются в свободной продаже и решения этого вопроса пока не предвидится.
Использование сертифицированных СЗИ является особенно актуальным для защиты каналов связи. Любые организации, имеющие филиальную сеть должны обеспечивать конфиденциальность при передаче ПДн через незащищенную сеть Интернет. Сейчас на российском рынке уже представлено достаточно СЗИ данного типа (Континент, Випнет, СТерра, и др.), они покрывают большинство нужд ИТ. В общем случае криптография предоставляет более высокий уровень доверия по сравнению с любым логическим разграничением прав доступа, и по этой причине, я считаю, требования регуляторов в части криптографии справедливыми.
По вопросу использования «обычных» сертифицированных средств, таких как MCЭ, АВ и других, мне видится, что должен быть баланс на основе таких критериев как: объем, критичность, тип данных, другими словами реализация должна зависеть от модели угроз.
По вопросу использования других (специализированных) сертифицированных средств я энтузиазм закона не разделяю. Например, зачем мне сертификат на DLP или SIEM или IDM? Это высокоуровневые системы, безопасность которых и достигается «обычными» СЗИ.
Ну и, как мне кажется, регуляторам следовало бы признавать международную сертификацию по общим критериям, Правда процесс признания должен быть обоюдным, а для этого нужно перестать нашим регуляторам выдавать сертификаты на неработоспособные СЗИ.
Комментариев нет:
Отправить комментарий