Алексей Лукацкий - менеджер по развитию бизнеса Cisco SystemsАлексей Лукацкий - менеджер по развитию бизнеса Cisco Systems

Недавно, во время перелета в Ижевск, листал журнал, полученный на борту и наткнулся на статью, посвященную персональным данным, в которой были такие высказывания: «очень хочется донести до руководителей коммерческих предприятий, что работы по аттестации объектов информатизации по требованиям безопасности информации необходимо было начать еще в 2006 году, когда был подписан федеральный закон». И это классическое заблуждение, которое до сих пор встречается в регионах, а иногда и навязывается отдельными сотрудниками регуляторов. Насколько это верно? Так ли обязательна аттестация информационных систем? И, вообще, возможна ли она в принципе?

Начнем с определения. Под аттестацией объекта информатизации по требованиям безопасности информации понимается комплекс организационно-технических мероприятий, в результате которых посредством специального документа - «Аттестата соответствия» подтверждается, что объект соответствует требованиям стандартов или иных нормативных документов по защите информации, утвержденных ФСТЭК России. Единственным документом, который описывает данный процесс, является Положение «По аттестации объектов информатизации по требованиям безопасности информации», утвержденное еще 25 ноября 1994 года Председателем Гостехкомиссии (бывшее название ФСТЭК).

Сначала развенчаем последнюю часть мифа об обязательности аттестации. Действительно, в первой версии документов ФСТЭК по защите персональных данных была фраза об обязательности аттестации ИСПДн 1-го и 2-го классов, а также распределенных ИСПДн 3-го класса. Однако, документы ФСТЭК, выпущенные в феврале 2008 года, уже не действуют – они были отменены решением коллегии ФСТЭК в марте года нынешнего, 2010-го. В единственном действующем ныне нормативно-правовом акте по защите персональных данных (а это приказ ФСТЭК №58) требования по аттестации нет. Дополнительно надо заметить, что согласно уже упомянутому положению по аттестации «обязательной аттестации подлежат объекты информатизации, предназначенные для обработки информации, составляющей государственную тайну, управления экологически опасными объектами, ведения секретных переговоров». Дополнительно положение уточняет, что «в остальных случаях аттестация носит добровольный характер (добровольная аттестация) и может осуществляться по инициативе заказчика или владельца объекта информатизации». Сама ФСТЭК четко и ясно в своих нормативных документах отвечает на вопрос об обязательности аттестации информационных систем коммерческих предприятий.

Теперь вспомним вторую часть мифа и посмотрим, насколько вообще возможна аттестация современной информационной системы. Начну с того, что аттестации подлежит не просто набор программных и аппартных средств, обрабатывающих информацию. Аттестуется объект информатизации, который согласно ГОСТ Р 51275-2006 определяется как «совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, средств обеспечения объекта информатизации, помещений или объектов (зданий, сооружений, технических средств), в которых они установлены, или помещения и объекты, предназначенные для ведения конфиденциальных переговоров». Иными словами, выполнение требований по безопасности проверяется не только для конкретной информационной системе, но и для помещениях, в которых данная ИС функционирует.

Все бы ничего и оценка соответствия в форме аттестации не вызывала бы таких горячих споров, если бы не следующий пункт положения ФСТЭК по аттестации: «Аттестат соответствия выдается владельцу аттестованного объекта информатизации органом по аттестации на период, в течение которого обеспечивается неизменность условий функционирования объекта информатизации». Можно ли в современных условиях обеспечить неизменность объекта информатизации?

Неизменность означает, что вы не можете отклоняться от исходных данных, указанных в паспорте на аттестуемый объект информатизации. Вы не можете установить новое ПО на информационную систему; вы не можете обновить ПО с целью устранения уязвимостей; вы не можете поменять вышедшую из строя аппаратную деталь; вы не можете изменять настройки ПО… Возможно ли выполнение этого условия в современной сети? Разумеется нет. В давние давние времена, когда компьютеры были роскошью, аттестация применялась к объектам, обрабатывающим гостайну. Такие объекты не менялись годами и, соответственно не требовали переаттестации.

Сегодня, когда число компонентов современных ИС исчисляется десятками, не проходит дня, чтобы ИТ-департамент не получал новые патчи и обновления, устраняющие обнаруженные баги и уязвимости. Однако, «в случае изменения условий и технологии обработки защищаемой информации владельцы аттестованных объектов обязаны известить об этом орган по аттестации, который принимает решение о необходимости проведения дополнительной проверки эффективности системы защиты объекта информатизации». А любая переаттестация это деньги и время. Готовы ли вы каждые полгода (чаще не согласится орган по аттестации) переаттестовывать свою систему, затрачивая на это немалые деньги (стоимость переаттестации может достигать 30-50% от первоначальной цены, которая примерно равна 20-30 тысячам рублей на один компьютер)? В итоге вы приходите к парадоксу. Или обладать действующим аттестатом и не иметь возможности обновлять информационную систему, оставляя ее в уязвимом состоянии. Или поднять уровень защищенности ИС, потеряв при этом аттестат. Большинство коммерческих организаций выберет второй вариант. Тогда зачем вообще нужна аттестация в том виде, в котором она принята в России?

А ведь я даже не заводил разговора о том, что аттестовать объекты, использующие беспроводные технологии, смартфоны, или иные мобильные устройства вообще невозможно, т.к. это противоречит заложенной регуляторами парадигме о контролируемой зоне. Представьте себе точку продажи банковского продукта, вынесенную в торговый центр. Ни о какой контролируемой зоне в такой ситуации и речи быть не может, а следовательно аттестовать такой объект не представляется возможным в принципе.

Значит ли это, что аттестация никому не нужна? Разумеется нет. Для госорганов и предприятий, обрабатывающих гостайну это единственная процедура оценки соответствия нормативным требованиям. Коммерческому предприятию тоже такая оценка нужна. Только содержание ее должно быть иной. Например, в виде внешнего аудита или проведения самооценки по стандартам Банка России (СТО БР ИББС-1.2 или РС БР ИББС-2.1).