Как и обещал в предыдущей заметке, расскажу что нам ответил ФСТЭК на вопросы по типовым сегментам.
Почему вообще возникла необходимость писать письмо регулятору с запросом на разъяснения?
В 17 приказе ФСТЭК и в ГОСТах по аттестации есть намеки на то, что можно аттестовывать типовой сегмент информационной системы или АРМ и распространять результаты аттестации (и сам аттестат соответствия) на другие сегменты, если для них актуальны одинаковые угрозы безопасности и реализованы те же проектные решения по защите информации, что и в аттестованном сегменте. Некоторые наши заказчики решили, что могут аттестовать один АРМ с некоторым набором средств защиты информации (и заплатить соответственно за аттестацию одного АРМ ? ) и распространить результаты аттестации на остальные условные 100 АРМ и не париться. Поэтому нам нужен был официальный ответ, подтверждающий или опровергающий такие мысли. Да и в довесок к этому, по аттестации типовых сегментов накопились и свои вопросы к ФСТЭКу.
Скан письма прикладывать не буду. Хоть само письмо без пометки «дсп», но есть ссылки на закрытые ГОСТы, поэтому я лучше перебдю и сформулирую кратко вопросы и ответы на них (заодно попытаюсь перевести их с юридического на русский).
Вопрос: Кто принимает решение о том, что результаты аттестации можно распространить на другой сегмент? Заказчик или аттестующий орган?
Ответ: Решение принимает заказчик, но согласовывает с органом по аттестации (так же как и в случае каких-либо значительных изменений в самом аттестованном сегменте), если ввод нового сегмента в эксплуатацию может повлечь изменение состава актуальных угроз безопасности.
Вопрос: Должны ли в типовом сегменте использоваться одинаковые технические решения? (например, должны ли использоваться моноблоки одного производителя, одной модели?)
Ответ: Нет. Для того, чтобы сегмент считался соответствующим аттестованному, нужно, чтобы для него был установлен такой же класс защищенности, определены такие же угрозы безопасности информации и реализованы одинаковые проектные решения по самой системе и по системе защиты информации. При этом, соответствие нового сегмента уже выданному аттестату подтверждается в ходе приемочных испытаний (то есть лицензиата привлекать для этого вроде как необязательно).
Вопрос: Нужно ли для нового сегмента строить модель угроз?
Ответ вытекает из предыдущего: поскольку одним из условий распространения аттестата соответствия является идентичность угроз, необходимо анализировать угрозы безопасности нового сегмента. В случае выявления новых угроз, необходимо проводить дополнительные испытания.
Вопрос: Необходимо ли в документе «Программа и методики аттестационных испытаний» перечислять сегменты, на которые может быть распространен аттестат соответствия? Можно ли распространять аттестат соответствия на сегменты, которых не существовало на момент аттестации?
Ответ: Как пропишете в документе «Программа и методики аттестационных испытаний», так и можно делать.
Вопрос: Нужно ли вообще куда-либо вносить данные об основных технических средствах и системах (ОТСС) нового сегмента? Если да, то вносятся ли эти данные в существующий технический паспорт на аттестованный сегмент или нужно создавать новый технический паспорт на новый сегмент?
Ответ: Нормативной документацией точный порядок не определен, но данные по новому сегменту отражать где-то в любом случае нужно. Как и куда эти данные вносить решает владелец информационной системы.
Вопрос: Несет ли лицензиат ФСТЭК ответственность за некорректное распространение аттестата соответствия на другие сегменты.
Ответ: Нет, лицензиат ФСТЭК несет ответственность только за качество работ по аттестации объектов информатизации. Если владелец информационной системы распространяет аттестат соответствия на другие сегменты некорректно (процедура не прописана в документе «Программа и методики аттестационных испытаний», в новом сегменте заведомо используются другие проектные решения по защите информации и т. д.), то ответственность за это несет только владелец информационной системы.
Итак, резюмируя сказанное:
- Аттестовать один АРМ и распространить аттестат соответствия на всю систему не получится. Хотя бы потому, что один АРМ будет аттестовываться как автономное рабочее место, а при добавлении других АРМ и объединении их в сеть будут появляться новые (сетевые) угрозы безопасности. В любом случае, за некорректное распространения результатов аттестационных испытаний на другие АРМ и/или сегменты информационной системы ответственность несет владелец информационной системы.
- Если у владельца системы есть планы по добавлению новых сегментов, необходимо обговорить это с аттестующим органом и прописать все возможности и условия по распространению аттестата в документе «Программа и методики аттестационных испытаний».
- При распространении аттестата соответствия нужно быть внимательным с угрозами безопасности информации. Если, например, аттестовывался сегмент локальной сети, находящийся в пределах контролируемой зоны (собственного здания владельца системы), а потом открылся филиал в другом городе, то даже если в другом городе реализованы те же проектные решения по защите информации, распространить аттестат соответствия автоматически — не получится. Хотя бы потому появляются угрозы, связанные с выходом сетевого трафика за пределы контролируемой зоны. В таком случае необходимо пересматривать угрозы, добавлять средства защиты (криптошлюзы), проводить дополнительные аттестационные испытания и только тогда можно считать аттестат распространяющимся на этот новый сегмент.