четверг, 2 октября 2014 г.

Как уйти от оценки соответствия СЗИ?

Вокруг применения для защиты ПДн средств защиты, прошедших оценку соответствия, копий сломано немало. Сломаем еще одно, небольшое :)

Как выполнить Приказ ФСТЭК №21 и в то же время обойтись не только без сертифицированных СЗИ, но и вовсе без СЗИ, прошедших оценку соответствия?  Хотя бы частично?  Постановление Правительства РФ 1119 обязывает применять прошедшие оценку соответствия СЗИ только для защиты от актуальных угроз (см. п.13 Постановления). Стало быть, для реализации мер, изложенных в приказе ФСТЭК №21 (да и в приказе ФСБ №378) можно обойтись любыми СЗИ, если эта мера реализуется не в силу наличия актуальной угрозы, а просто потому, что определена приказом.
Простой пример: 2 уровень защищенности ПДн, СОВ обязательна, хошь-не хошь. Должно ли средство обнаружения вторжений быть сертифицированным (прошедшим испытания и пр...)? Должно, только если  угроза вторжений актуальна. А если нет - насчет оценки соответствия в Постановлении ничего не сказано. Берем и ставим любое СОВ.
Применим ли данный подход к СКЗИ? Теоретически да. Ставим несертифицированный VPN, делаем угрозу неактуальной, пишем сие в ЧМУ - и спим спокойно. Как вам идея?

Остается только одна маленькая проблема: доказать свою правоту ФСБ :)

Комментариев нет:

Отправить комментарий