Можно ли использовать несертифицированные СЗИ для защиты значимых объектов КИИ?

Если коротко, то ДА!

Заглянем сначала в 187-ФЗ «О
безопасности КИИ».

См. ст. 1 (сфера действия ФЗ): «Настоящий ФЗ регулирует отношения в области обеспечения
безопасности КИИ РФ в целях ее устойчивого функционирования при проведении в
отношении ее компьютерных атак».

Далее посмотрим в 149-ФЗ «Об
информации, информационных технологиях и о защите информации».

Вывод 1:
информация, обрабатываемая в составе ЗОКИИ, в терминах 149-ФЗ является
общедоступной, если при этом она не является защищаемой по ФЗ информацией (ГТ,
ПДн) и ЗОКИИ не является ГИС. Это кажется непривычным, но по букве закона
получается так.

См. ст. 2: «Оценка соответствия – это «прямое или
косвенное определение соблюдения требований, предъявляемых к объекту»;

Понятия «испытания» и «приемка» как формы Оценки
соответствия далее в 184-ФЗ отдельно не раскрываются.

См. п. 1, ст. 5: «В отношении … продукции,
используемой в целях защиты сведений, … относимых к охраняемой в соответствии с законодательством РФ иной информации
ограниченного доступа, … обязательными требованиями наряду с требованиями
технических регламентов являются требования, установленные государственными
заказчиками, ФОИВ, уполномоченными в области обеспечения безопасности….».

См.
п. 4 ст. 5: «Особенности оценки соответствия продукции, указанной в п.1, ст.5, а также соответственно процессов
ее проектирования, производства, строительства… устанавливаются Правительством РФ
или уполномоченными им ФОИВ».


На этом моменте в Facebook недавно
возникла дискуссия. Одна из сторон диалога стояла на том, что в соответствии с
п.1 и 4 ст.5 информация в ЗОКИИ должна защищаться СЗИ, прошедшими оценку
соответствия требованиям технических регламентов, которых на текущий момент
нет, и поэтому единственным возможным вариантом остается использование
сертифицированных СЗИ. Однако, как мы уже увидели на предыдущем шаге,
информация в ЗОКИИ не относится к охраняемой в соответствии с законодательством
РФ и поэтому на СЗИ, используемые для ее защиты не распространяется п.1 и 4
ст.5, 184-ФЗ, опять же с оговоркой, что эта информация не является, например,
ГТ или ПДн и ЗОКИИ не является ГИС.

Вывод 2: 184-ФЗ
говорит о том, что «испытания» и «приемка» являются одними из возможных форм
проведения оценки соответствия, но далее в 184-ФЗ эти понятия никак не
раскрываются и на СЗИ, используемые для защиты ЗОКИИ, требования по их
соответствию техническим регламентам, не распространяются.

——————————————————————


Спускаемся на уровень ниже и переходим к приказам
ФСТЭК, подзаконным 187-ФЗ.

См. п.18: «Для обеспечения безопасности ЗОКИИ должны
применяться сертифицированные СЗИ или СЗИ, прошедшие оценку соответствия в
форме испытаний или приемки в соответствии с 184-ФЗ
«О техническом регулировании». Сертифицированные СЗИ применяются в случаях,
установленных законодательством РФ, а также в случае принятия решения субъектом
КИИ. В иных случаях применяются СЗИ, прошедшие оценку соответствия в форме
испытаний или приемки, которые проводятся субъектами КИИ самостоятельно или с
привлечением организаций, имеющих в соответствии с законодательством РФ
лицензии на деятельность в области защиты информации».

Вывод 3: Для
защиты ЗОКИИ можно использовать несертифицированные СЗИ (кроме отдельных
случаев, когда, например, ЗОКИИ является ГИСом), проведя для них испытания и
приемку либо своими силами, либо с привлечением лицензиатов. При этом субъект
КИИ должен разработать ОРД по безопасности ЗОКИИ и прописать в ней порядок
проведения испытаний или (хотя на мой взгляд тут уместнее поставить союз «и»)
приемки СЗИ.

——————————————————————

См. п. 12.7: В ходе приемочных испытаний ЗОКИИ и его
подсистемы безопасности должен быть проведен комплекс организационных и технических
мероприятий (испытаний), в результате которых подтверждается соответствие ЗОКИИ
и его подсистемы безопасности настоящим Требованиям, а также требованиям ТЗ на
создание значимого объекта и (или) ТЗ (ЧТЗ) на создание подсистемы безопасности
ЗОКИИ.

Приемочные испытания ЗОКИИ и его подсистемы
безопасности проводятся в соответствии с ПиМИ. Результаты приемочных испытаний ЗОКИИ
и его подсистемы безопасности с выводом о ее соответствии установленным
требованиям включаются в акт приемки ЗОКИИ в эксплуатацию.


В случае если ЗОКИИ является ГИС, в иных случаях,
установленных законодательством РФ, а также в случае принятия решения субъектом
КИИ, оценка значимого объекта и его подсистемы безопасности проводится в форме
аттестации ЗОКИИ в соответствии с 17-м приказом ФСТЭК.

См. п. 28: Для обеспечения безопасности ЗОКИИ должны
применяться СЗИ, прошедшие оценку на соответствие требованиям по безопасности в
формах обязательной сертификации, испытаний или приемки.

В иных случаях применяются СЗИ, прошедшие оценку
соответствия в форме испытаний или приемки, которые проводятся субъектами КИИ
самостоятельно или с привлечением организаций, имеющих в соответствии с
законодательством РФ лицензии на деятельность в области защиты информации.

См. п. 29: В случае использования в ЗОКИИ
сертифицированных на соответствие требованиям по безопасности информации СЗИ …
в ЗОКИИ различных категорий применяются СЗИ и СВТ соответствующих классов.

При этом в значимых объектах 1 и 2 категорий значимости
применяются СЗИ, прошедшие проверку не ниже чем по 4 уровню контроля отсутствия
НДВ.


Функции безопасности СЗИ должны обеспечивать
выполнение настоящих Требований.

Вывод 4: Приемка
подсистемы безопасности ЗОКИИ выполняется на основании испытаний, которые проводятся
на соответствие ТЗ/ЧТЗ и в соответствии с ПиМИ. При этом в ТЗ/ЧТЗ прописываются
требования 239-го приказа с учетом определенной категории и актуальных угроз
безопасности информации, а в ПиМИ приводится описание заданий, выполнение
которых в рамках приемочных испытаний должно продемонстрировать возможность как
сертифицированных (в случае их использования), так и не сертифицированных СЗИ
реализовать соответствующие требования ТЗ/ЧТЗ. В случае, если испытания
пройдены успешно, составляется соответствующий акт приемки ЗОКИИ в эксплуатацию с выводом о его соответствии установленным требованиям.

Вывод 5: Если
ЗОКИИ является ГИСом, то в качестве СЗИ должны использоваться только сертифицированные
СЗИ, а оценка такого ЗОКИИ должна осуществляться в форме аттестации в
соответствии с 17-м приказом ФСТЭК.

Вывод 6 (лайфхак): Если у Вас есть ЗОКИИ, не являющийся ГИСом и вы хотите защитить его сертифицированным
СЗИ, которое не дотягивает по классу до соответствующей категории значимости или же между классом и категорией соответствие есть, но нет сертификата по НДВ
(для ЗОКИИ 1 и 2 категории), то в этом случае, по крайней мере теоретически, можно
использовать несертифицированные версии сертифицированного СЗИ (так, например, установка
ПО СЗИ с несертифицированного CD-диска и/или отсутствие формуляра автоматически
делает СЗИ в глазах регулятора несертифицированным).

——————————————————————

А теперь посмотрим на Проект приказа ФСБ «Об утверждении
Требований к средствам, предназначенным для обнаружения, предупреждения и
ликвидации последствий КА и реагирования на КИ», в котором приводятся
требования к техническим средствам, из которых субъекты должны строить свои
центры ГосСОПКА.


См. п. 18: Средства криптографической защиты обмена
информацией, необходимой субъектам КИИ при обнаружении, предупреждении и (или)
ликвидации последствий КА, должны быть сертифицированы в системе сертификации СЗИ.


Каких-то отдельных НПА ФСБ по криптозащите самих объектов КИИ нет, таких как, например, 378 приказ ФСБ по криптозащите ПДн.

Вывод 7: Для криптографической
защиты информации при взаимодействии с НКЦКИ (в рамках ГосСОПКА) субъекты должны
использовать сертифицированные ФСБ СКЗИ. Для криптозащиты информации в ЗОКИИ использование сертифицированных СКЗИ да и в целом криптозащита — не требуется.

——————————————————————

Вывод 8 (общий): Если ЗОКИИ не является ГИСом (ПДн умышленно не упоминаю, т.к. это
отдельный разговор), и СЗИ не является СКЗИ, используемым для обмена
информацией с НКЦКИ в рамках функционирования ГосСОПКА, то в этом случае можно
использовать несертифицированные СЗИ. При этом субъекту стоит не забыть провести для них испытания и приемку по требованиям 239 приказа ФСТЭК перед вводом в действие
ЗОКИИ, а в случае проверок быть готовым обосновать регулятору достаточность реализованных несертифицированными СЗИ мер для реализации соответствующих требований 239 приказа.


В целом же конечно для субъекта КИИ предпочтительнее использовать сертифицированные СЗИ, которые уже проверены соответствующими испытательными лабораториями и снимают с субъекта лишнюю головную боль при вводе в действие ЗОКИИ, а также при проверках регулятора.

Ну и в заключении
можно предположить, что по мере насыщения рынка ИБ сертифицированными средствами защиты, способными
эффективно реализовать требования 239-го приказа ФСТЭК, в законодательство по КИИ могут
быть внесены соответствующие изменения, ограничивающие использование несертифицированных
средств защиты. А пока рынок таких СЗИ созревает, регулятор допускает применение несертифицированных СЗИ, ибо защищать ЗОКИИ нужно уже сейчас!