четверг, 17 сентября 2020 г.

И снова про 239 приказ ФСТЭК


   С изменениями в 239 приказ ФСТЭК получилась забавная ситуация. В своей заметке я рекомендовал ФСТЭК опубликовать обновленные требования к ЗОКИИ после 1 сентября 2020 года, что бы не сподвигнуть субъектов КИИ на массовое занижение категорий. И мы наблюдаем, как приказ от 20.02.2020 № 35  публикуется 14 сентября 2020 года и вступает в силу 25 сентября 2020 года. Конечно это совпадение и не более. Но более полугода на регистрацию утвержденного приказа внушает.

   По содержанию вносимых изменений я уже писал ранее:

Изменения между публичным проектом и окончательной версией наглядно

Доработанный проект от 21.02.2020
Приказ ФСТЭК от 20.02.2020 № 35
1.       
7. Обеспечение безопасности значимых объектов является составной частью работ по созданию (модернизации), эксплуатации и вывода из эксплуатации значимых объектов. Меры по обеспечению безопасности значимых объектов принимаются на всех стадиях (этапах) их жизненного цикла.

Модернизацией является изменение архитектуры значимого объекта, в том числе подсистемы его безопасности, в соответствии с отдельным техническим заданием на модернизацию значимого объекта и (или) техническим заданием (частным техническим заданием) на модернизацию подсистемы безопасности значимого объекта.
7. Обеспечение безопасности значимых объектов является составной частью работ по созданию (модернизации, при которой изменяется архитектура значимого объекта, в том числе подсистема его безопасности, в соответствии с отдельным техническим заданием на модернизацию значимого объекта и (или) техническим заданием (частным техническим заданием) на модернизацию подсистемы безопасности значимого объекта (далее - модернизация), эксплуатации и вывода из эксплуатации значимых объектов. Меры по обеспечению безопасности значимых объектов принимаются на всех стадиях (этапах) их жизненного цикла.

2.       
11.2.
Тестирование должно быть направлено на:
практическую отработку выполнения средствами защиты информации функций безопасности, а также выполнения требований по безопасности, предъявляемых к программным и программно-аппаратным средствам, в том числе средствам защиты информации;
11.2.
Тестирование должно быть направлено на:
практическую отработку выполнения средствами защиты информации функций безопасности, а также выполнения требований по безопасности, предъявляемых к программным и программно-аппаратным средствам, в том числе средствам защиты информации, в соответствии с пунктами 27-31 настоящих Требований;
3.       
12.4. Предварительные испытания значимого объекта и его подсистемы безопасности должны проводиться в соответствии с программой и методиками предварительных испытаний и включать проверку работоспособности подсистемы безопасности значимого объекта и отдельных средств защиты информации, оценку выполнения требований по безопасности, предъявляемых к программным и программно-аппаратным средствам, в том числе средствам защиты информации, оценку влияния подсистемы безопасности на функционирование значимого объекта при проектных режимах его работы, установленных проектной документацией, а также принятие решения о возможности опытной эксплуатации значимого объекта и его подсистемы безопасности.
12.4. Предварительные испытания значимого объекта и его подсистемы безопасности должны проводиться в соответствии с программой и методиками предварительных испытаний и включать проверку работоспособности подсистемы безопасности значимого объекта и отдельных средств защиты информации, оценку выполнения требований по безопасности, предъявляемых к программным и программно-аппаратным средствам, в том числе средствам защиты информации, в соответствии с пунктами 27-31 настоящих Требований, оценку влияния подсистемы безопасности на функционирование значимого объекта при проектных режимах его работы, установленных проектной документацией, а также принятие решения о возможности опытной эксплуатации значимого объекта и его подсистемы безопасности.
4.       
вступает в силу с 1 января 2023 г.
29.2. Средства защиты информации, оценка соответствия которых проводится в форме испытаний или приемки, должны соответствовать требованиям к функциям безопасности, установленным в соответствии с подпунктом «ж» пункта 10 настоящих Требований.

Испытания (приемка) средств защиты информации на соответствие требованиям к уровню доверия и требованиям к функциям безопасности проводятся на этапе предварительных испытаний в соответствии с пунктом 12.4. настоящих Требований лицом, привлекаемым к проведению работ по созданию (модернизации, реконструкции или ремонту) значимого объекта и (или) обеспечению его безопасности (далее - разработчик значимого объекта).


По решению субъекта критической информационной инфраструктуры испытания могут проводиться им самостоятельно или с привлечением организации, имеющей в зависимости от информации, обрабатываемой значимым объектом, лицензию на деятельность по технической защите информации, составляющей государственную тайну, и (или) на деятельность по технической защите конфиденциальной информации, на любом из этапов создания значимого объекта.

Испытания (приемка) проводятся отдельно или в составе значимого объекта. Программа и (или) методики испытаний (приемки) утверждаются (согласуются) субъектом критической информационной инфраструктуры.









Форма и вид протокола испытаний устанавливаются субъектом критической информационной инфраструктуры с учетом особенностей его деятельности.

Протокол испытаний
утверждается субъектом критической информационной инфраструктуры. В случае проведения испытаний (приемки) разработчиком значимого объекта протокол испытаний утверждается разработчиком
значимого объекта и предъявляется субъекту критической информационной инфраструктуры на этапе приемочных испытаний.


вступает в силу с 1 января 2023 г.
29.2. Средства защиты информации, оценка соответствия которых проводится в форме испытаний или приемки, должны соответствовать требованиям к функциям безопасности, установленным в соответствии с подпунктом «ж» пункта 10 настоящих Требований.

Испытания (приемка) средств защиты информации на соответствие требованиям к уровню доверия и требованиям к функциям безопасности проводятся на этапе предварительных испытаний в соответствии с пунктом 12.4 настоящих Требований.



















Испытания (приемка) проводятся отдельно или в составе значимого объекта. Программа и методики испытаний (приемки)
утверждаются субъектом критической информационной инфраструктуры в случае самостоятельного проведения испытаний. В случае проведения испытаний иным лицом, программа и методики испытаний (приемки) утверждаются этим лицом по согласованию с субъектом критической информационной инфраструктуры.








Протокол испытаний
утверждается субъектом критической информационной инфраструктуры в случае самостоятельного проведения испытаний. В ином случае протокол испытаний утверждается лицом, проводившим испытания, и представляется субъекту критической информационной инфраструктуры на этапе приемочных испытаний для принятия решения о возможности применения средства защиты информации в значимом объекте.

вступает в силу с 1 января 2023 г.
29.3. Безопасность прикладного программного обеспечения, планируемого к внедрению в рамках создания (модернизации или реконструкции, ремонта) значимого объекта и обеспечивающего выполнение его функций по назначению (далее – программное обеспечение), обеспечивается выполнением требований по безопасности, включающих:

а) требования по безопасной разработке программного обеспечения;
















б) требования к испытаниям по выявлению уязвимостей в программном обеспечении;














в) требования к поддержке безопасности программного обеспечения.
вступает в силу с 1 января 2023 г.
29.3. Прикладное программное обеспечение, планируемое к внедрению в рамках создания (модернизации или реконструкции, ремонта) значимого объекта и обеспечивающее выполнение его функций по назначению (далее - программное обеспечение), должно соответствовать следующим требованиям по безопасности:

29.3.1. Требования по безопасной разработке программного обеспечения:

наличие руководства по безопасной разработке программного обеспечения;

проведение анализа угроз безопасности информации программного обеспечения;

наличие описания структуры программного обеспечения на уровне подсистем и результатов сопоставления функций программного обеспечения и интерфейсов, описанных в функциональной спецификации, с его подсистемами (для программного обеспечения, планируемого к применению в значимых объектах 1 категории значимости).

29.3.2. Требования к испытаниям по выявлению уязвимостей в программном обеспечении:

проведение статического анализа исходного кода программы;

проведение фаззинг-тестирования программы, направленного на выявление в ней уязвимостей;

проведение динамического анализа кода программы (для программного обеспечения, планируемого к применению в значимых объектах 1 категории значимости).

29.3.3. Требования к поддержке безопасности программного обеспечения:

наличие процедур отслеживания и исправления обнаруженных ошибок и уязвимостей программного обеспечения;

определение способов и сроков доведения разработчиком (производителем) программного обеспечения до его пользователей информации об уязвимостях программного обеспечения, о компенсирующих мерах по защите информации или ограничениях по применению программного обеспечения, способов получения пользователями программного обеспечения его обновлений, проверки их целостности и подлинности;

наличие процедур информирования субъекта критической информационной инфраструктуры об окончании производства и (или) поддержки программного обеспечения (для программного обеспечения, планируемого к применению в значимых объектах 1 категории значимости).

вступает в силу с 1 января 2023 г.
Выполнение указанных требований по безопасности оценивается разработчиком значимого объекта на этапе его проектирования на основе результатов анализа материалов и документов, представляемых разработчиком (производителем) программного обеспечения в соответствии с техническим заданием (частным техническим заданием), разрабатываемым в соответствии с пунктом 10 настоящих Требований.






Результаты оценки включаются разработчиком значимого объекта в проектную документацию на значимый объект (подсистему безопасности значимого объекта) и представляются субъекту критической информационной инфраструктуры.
вступает в силу с 1 января 2023 г.
29.4. Выполнение требований по безопасности, указанных в подпунктах 29.3.1-29.3.3 пункта 29.3 настоящих Требований, оценивается лицом, выполняющим работы по созданию (модеринизации, реконструкции или ремонту) значимого объекта и (или) обеспечению его безопасности, на этапе проектирования значимого объекта на основе результатов анализа материалов и документов, представляемых разработчиком (производителем) программного обеспечения в соответствии с техническим заданием (частным техническим заданием), разрабатываемым в соответствии с пунктом 10 настоящих Требований.

Результаты оценки включаются в проектную документацию на значимый объект (подсистему безопасности значимого объекта) и представляются субъекту критической информационной инфраструктуры.

вступает в силу с 1 января 2023 г.
29.3.1. В ходе оценки требований по безопасной разработке программного обеспечения разработчиком значимого объекта осуществляется анализ:

руководства по безопасной разработке программного обеспечения, разрабатываемого в соответствии со стандартами безопасной разработки программного обеспечения;

результатов анализа угроз безопасности информации программного обеспечения.


Для программного обеспечения, планируемого к применению в значимых объектах 1 категории значимости, дополнительно осуществляется анализ описания структуры программного обеспечения на уровне подсистем и сопоставления функций программного обеспечения и интерфейсов, описанных в функциональной спецификации, с его подсистемами.
перенесено выше в пункт 29.3.1

вступает в силу с 1 января 2023 г.
29.3.2. В ходе оценки требований к испытаниям по выявлению уязвимостей в программном обеспечении разработчиком значимого объекта осуществляется анализ:


результатов статического анализа кода программного обеспечения;

результатов фаззинг-тестирования программного обеспечения, направленного на выявление в нем уязвимостей.


Для программного обеспечения, планируемого к применению в значимых объектах 1 категории значимости,
дополнительно осуществляется анализ результатов динамического анализа программного обеспечения.
перенесено выше в пункт 29.3.2

вступает в силу с 1 января 2023 г.
29.3.3. В ходе оценки требований к поддержке безопасности программного обеспечения разработчиком значимого объекта осуществляется анализ:

описания процедур отслеживания и исправления обнаруженных ошибок и уязвимостей программного обеспечения;

описания способов и сроков доведения разработчиком (производителем) программного обеспечения до его пользователей информации об уязвимостях программного
обеспечения, а также о компенсирующих мерах по защите информации или ограничениях по применению программного обеспечения, а также способов получения пользователями программного обеспечения его обновлений, проверки их целостности и подлинности.

Для программного обеспечения, планируемого к применению в значимых объектах 1 категории значимости, дополнительно осуществляется анализ обязательств разработчика (производителя) программного обеспечения об информировании субъекта критической информационной инфраструктуры об окончании производства и (или) поддержки программного обеспечения.
перенесено выше в пункт 29.3.3
5.       
вступает в силу с 1 января 2023 г.
31. Применяемые в значимом объекте программные и программно-аппаратные средства, в том числе средства защиты информации, должны быть обеспечены гарантийной и (или) технической поддержкой.
В значимом объекте не допускаются:

наличие удаленного доступа
к программным и программно-аппаратным средствам, в том числе средствам
защиты информации, для обновления или управления со стороны лиц, не являющихся работниками субъекта критической информационной инфраструктуры, дочерних (зависимых) обществ, юридических лиц, в которых субъект критической информационной инфраструктуры имеет возможность определять принимаемые этими лицами решения, обществ, имеющих более двадцати процентов уставного капитала субъекта критической информационной инфраструктуры, либо юридических лиц, имеющих возможность определять решения, принимаемые субъектом критической информационной инфраструктуры;

наличие локального бесконтрольного доступа к программным и программно-аппаратным средствам, в том числе средствам защиты информации, для обновления или управления со стороны лиц, не являющихся работниками субъекта критической информационной инфраструктуры, дочерних (зависимых) обществ, юридических лиц, в которых субъект критической информационной инфраструктуры имеет возможность определять принимаемые этими лицами решения, обществ, имеющих более двадцати процентов уставного капитала субъекта критической информационной инфраструктуры, либо юридических лиц, имеющих возможность определять решения, принимаемые субъектом критической информационной инфраструктуры;
В случае технической невозможности исключения удаленного доступа к программным и программно-аппаратным средствам, в том числе средствам защиты информации, в значимом объекте принимаются организационные и технические меры по обеспечению безопасности такого доступа, предусматривающие:

определение лиц и устройств, которым разрешен удаленный доступ к  программным и программно-аппаратным средствам значимого объекта, а также прав их доступа, назначение им минимально необходимых привилегий;

контроль доступа к программным и программно-аппаратным средствам значимого объекта;

защита информации и данных при их передаче по каналам связи при удаленном доступе к программным и программно-аппаратным средствам значимого объекта;

мониторинг и регистрация действий лиц, которым разрешен удаленный доступ к программным и программно-аппаратным средствам значимого объекта, а также инициируемых ими процессов, анализ этих действий в целях выявления фактов неправомерных действий;

обеспечение невозможности отказа лиц от фактов совершенных ими действий при осуществлении удаленного доступа к программным и программно-аппаратным средствам значимого объекта.


В значимом объекте могут приниматься дополнительные организационные и технические меры по обеспечению безопасности удаленного доступа к программным и программно-аппаратным средствам, в том числе средствам защиты информации, направленные на блокирование (нейтрализацию) угроз безопасности информации, приведенных в модели угроз безопасности информации, разрабатываемой в соответствии с пунктом 11.1 настоящих Требований.

Входящие в состав значимого объекта 1 категории значимости программные и программно-аппаратные средства, осуществляющие хранение и обработку информации, должны размещаться на территории Российской Федерации (за исключением случаев, когда размещение указанных средств осуществляется в зарубежных обособленных подразделениях субъекта критической информационной инфраструктуры (филиалах, представительствах), а также случаев, установленных законодательством Российской Федерации и (или) международными договорами Российской Федерации).

31. Применяемые в значимом объекте программные и программно-аппаратные средства, в том числе средства защиты информации, должны быть обеспечены гарантийной и (или) технической поддержкой.
В значимом объекте не допускаются:

наличие удаленного доступа
к программным и программно-аппаратным средствам, в том числе средствам защиты информации, для обновления или управления со стороны лиц, не являющихся работниками субъекта критической информационной инфраструктуры, а также работниками его дочерних и зависимых обществ;










наличие локального бесконтрольного доступа к программным и программно-аппаратным средствам, в том числе средствам защиты информации, для обновления или управления со стороны лиц, не являющихся работниками субъекта критической информационной инфраструктуры, его дочерних и зависимых обществ;








В случае технической невозможности исключения удаленного доступа к программным и программно-аппаратным средствам, в том числе средствам защиты информации, в значимом объекте принимаются организационные и технические меры по обеспечению безопасности такого доступа, предусматривающие:

определение лиц и устройств, которым разрешен удаленный доступ к программным и программно-аппаратным средствам значимого объекта, предоставление им минимальных полномочий при доступе к этим средствам;

контроль доступа к программным и программно-аппаратным средствам значимого объекта;


защиту информации и данных при их передаче по каналам связи при удаленном доступе к программным и программно-аппаратным средствам значимого объекта;

мониторинг и регистрацию действий лиц, которым разрешен удаленный доступ к программным и программно-аппаратным средствам значимого объекта, а также инициируемых ими процессов, анализ этих действий в целях выявления фактов неправомерных действий;

обеспечение невозможности отказа лиц от выполненных действий при осуществлении удаленного доступа к программным и программно-аппаратным средствам значимого объекта.

В значимом объекте могут приниматься дополнительные организационные и технические меры по обеспечению безопасности удаленного доступа к программным и программно-аппаратным средствам, в том числе средствам защиты информации, направленные на блокирование (нейтрализацию) угроз безопасности информации, приведенных в модели угроз безопасности информации, разрабатываемой в соответствии с пунктом 11.1 настоящих Требований.
Входящие в состав значимого объекта 1 и 2 категорий значимости программные и программно-аппаратные средства, осуществляющие хранение и обработку информации, должны размещаться на территории Российской Федерации (за исключением случаев, когда размещение указанных средств осуществляется в зарубежных обособленных подразделениях субъекта критической информационной инфраструктуры (филиалах, представительствах), а также случаев, установленных законодательством Российской Федерации и (или) международными договорами Российской Федерации).
























                                                                                                                                                                                 Где то ужесточили требование к 2 категории, где то сделали послабление и убрали невыполнимое требование о проверке иностранного влияния. Это не принципиально. Проблема не в самом приказе и требуемых мерах защиты, они с точки зрения защиты информации вполне обоснованы и логичны.
Проблема в определении ЗОКИИ. Не в показателях категорий, а в идентификации самих объектов КИИ. Когда появляются требования отнести к ЗОКИИ медицинские приборы, промышленное оборудование, научные установки и т.д. Происходит подмена понятий "система АВТОМАТИЧЕСКОГО управления" на "АВТОМАТИЗИРОВАННУЮ систему управления".  Под "информационные системы" подводят все что угодно.
Итог: повышение стоимости модернизации высокотехнологичного оборудования в критических сферах деятельности. Проводилась ли экономическая оценка не знаю. Хочется верить, что такие решения принимаются обоснованно.
Формально ФСТЭК не причем, решения об отнесении к ЗОКИИ принимал сам субъект КИИ. Ему и нести издержки.
Собственно, еще на этапе публичного обсуждения, крупнейшие компании (ПАО "Вымпелком" и АО «СО ЕЭС» (Системный оператор Единой энергетической системы) прямо заявили, что не имеют возможности выполнить предлагаемые требования для своих ЗОКИИ.

Касаемо бурного обсуждения в экспертном сообществе  требования по соответствию 6 УД. 
Еще в марте 2019 ФСТЭК опубликовало информационное сообщение https://fstec.ru/normotvorcheskaya/informatsionnye-i-analiticheskie-materialy/1812-informatsionnoe-soobshchenie-fstek-rossii-ot-29-marta-2019-g-n-240-24-1525
"Средства защиты информации, соответствующие 6 уровню доверия, подлежат применению в значимых объектах критической информационной инфраструктуры 3 категории"

Касательно проверки выполнения, в феврале 2020 года была озвучена позиция ФСТЭК  - "Испытания (приемка) по 6 уровню контроля могут проводиться субъектом критической информационной инфраструктуры или разработчиком значимого объекта критической информационной инфраструктуры самостоятельно без привлечения испытательных лабораторий".

Касательно необходимости предоставления исходных кодов позиция ФСТЭК
"  Указанные в вводимых пунктах 29.3 и 29.3.3 требования не предусматривают представления исходных кодов программного обеспечения, так как соответствующие проверки осуществляются разработчиком (производителем) прикладного программного обеспечения, обеспечивающего выполнение функций значимого объекта по его назначению.         Выполнение этих требований оценивается разработчиком значимого объекта на этапе его проектирования на основе результатов анализа материалов и документов о проведении соответствующих проверок, представляемых разработчиком (производителем) указанного программного обеспечения".
   Но это в теории, а на практике ожидания намного более пессимистичные.

   Парадоксально, но ФСТЭК считает, что безопасность ЗОКИИ может обеспечить специалист, прошедший подготовку по программе повышения квалификации, в которой не изучаются требования к ЗОКИИ, а помочь ему должны лицензиаты ТЗКИ, которые не обязаны знать требования к ЗОКИИ. Требования по безопасности ЗОКИИ усложняются, а требования к исполнителям упрощаются. 

* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.

** Все новости блога на публичном Telegram-канале  t.me/ruporsecurite

*** YouTube - канал блога

**** Яндекс.Дзен https://zen.yandex.ru/id/5c7b7864fa818600ae3856a1

***** Публичный ТамТам-канал https://tt.me/blog_ruporsecurite

9 комментариев:

  1. ФСТЭК столько лет всем твердила, что ей интересна только ГТ, и даже ПДн ей по-фигу, а теперь в стахановском режиме, подгоняемая Кремлем, ФСБ и ещё кем-нибудь бросилась защищать всё вокруг. Скоро сложится ситуация, что защищать будет нечего. Субъекты КИИ сдохнут либо от совей значимости, либо от штрафов ФСТЭК

    ОтветитьУдалить
    Ответы
    1. Достаточно посмотреть финансово-экономическое обоснование к проекту 187-ФЗ. Все было понятно еще в 2016 году.

      Удалить
    2. Самое печальное, что ответить за фуфловое экономическое обоснование к ФЗ НЕКОМУ!!!

      Удалить
  2. Заметка вроде бы про одно, но в ней поднимается важная проблема: повальное отнесение к ОКИИ всего и вся субъекта КИИ (конечно, это в рамках закона, но правильно ли это по замыслу закона?).

    ОтветитьУдалить
    Ответы
    1. А что законного в устных требованиях работников ФСТЭК относить к ОКИИ любое оборудование, если на нем есть компьютерный порт? Вот как применить 239 приказ к аппарату ИВЛ или МРТ? Кто будет писать отдельное ТЗ на модернизацию аппарата ИВЛ? Это просто готовое медицинское изделие с функцией автоматического поддержания параметров дыхания, а не автоматизированная система управления в сфере здравоохранения

      Удалить
    2. А кто вообще уполномочен принимать решение о том, что считать ли программное обеспечение медицинского оборудования АСУ?

      Удалить
    3. требуют относить не ПО к АСУ, а ПАК.

      Удалить
  3. От меня потребовали категорировать системы по признаку наличия промышленных программируемых контроллеров. В статье написали САУ, нашел определение - комплекс устройств, предназнач. для автоматического изменения одного или нескольких параметров объекта управления с целью установления требуемого режима его работы. Определение АСУ - комплекс аппаратных и программных средств, а также персонала, предназначенный для управления различными процессами в рамках технологического процесса, производства, предприятия.
    В промышленных программируемых контроллерах как такового нет программного обеспечения. Но как ФСТЭК в этом убедить? Может есть смысл подать в суд для проведениние анализа определений, если получится то всем обойдется дешевле раз ФСТЭК само путается в определениях? Кстати разные сотрудники ФСТЭК давали противоречивые советы...

    ОтветитьУдалить
    Ответы
    1. Прямо потребовали? Нет у фстэк полномочий требовать подобное. Можете рассмотреть на заседании комиссии и оформить заключение, что данное оборудование не является окии по формальному признаку, так как....., а не асу.

      Удалить