Selamat siang, Habr! Hari ini kami ingin mempertimbangkan berbagai mitos yang terkait dengan sertifikasi objek informatization (OI) untuk persyaratan keamanan informasi berdasarkan prinsip segmen standar. Dan kami juga akan mencari tahu bagaimana melakukan sertifikasi seperti itu dengan benar.
Mitos harus dikatakan tentang ini banyak beredar dan seringkali mereka saling bertentangan. Misalnya, ada pendapat bahwa, sesuai dengan prinsip segmen standar, Anda dapat mengesahkan semua ISPD di suatu negara (walaupun sertifikasi tidak wajib untuk ISPD), tetapi di sisi lain, ada pendapat bahwa Anda perlu mengesahkan sistem informasi hanya dengan cara lama, dan semua “segmen tipikal” Anda dari licik.
Pendahuluan
Sertifikasi objek informatisasi mungkin merupakan salah satu tahap yang paling diatur dan konservatif dalam pembangunan sistem perlindungan informasi.
Konservatisme terletak pada kenyataan bahwa sertifikasi tunduk pada sistem tertentu dengan daftar sarana teknis tertentu, yang ditulis ulang dengan rapi dalam paspor teknis ke objek informatisasi dan dalam sertifikat kesesuaian. Mengganti, misalnya, komputer yang terbakar dari sistem informasi bersertifikat dapat memerlukan setidaknya korespondensi yang panjang dengan organisasi yang melakukan sertifikasi, dan setidaknya tes sertifikasi tambahan (yaitu, biaya).
Ini bukan masalah besar, sementara sertifikasi persyaratan keamanan informasi adalah komputer mandiri yang memproses informasi yang dilindungi, atau jaringan area lokal kecil khusus.
Namun kemajuan tidak berhenti. Sekarang, untuk sistem informasi negara, dekrit ke-17 FSTEC menentukan sertifikasi wajib mereka sebelum commissioning. Dan sistem informasi negara saat ini bukanlah komputer statis atau lokalka kecil, tetapi sistem yang berubah secara dinamis besar, sering kali berskala regional atau bahkan federal.
Jadi apa yang harus dilakukan dalam kasus ini? Diperlukan pengesahan, tetapi tidak mungkin untuk mengesahkan sistem statis, karena hampir setiap hari ada elemen baru yang ditambahkan dan yang lama dihapus. "Segmen tipikal" datang untuk menyelamatkan.
Konsep ini diperkenalkan oleh urutan 17 FSTEC dan standar GOST RO 0043-003-2012 “Perlindungan informasi. Sertifikasi objek informatisasi. Ketentuan Umum ”pada 2013. Sayangnya, GOST ditandai "chipboard", tidak seperti urutan FSTEC, sehingga standar tidak dapat dikutip di sini. Tapi tidak ada yang akan hilang dari ini, karena urutan FSTEC dalam rangka perpanjangan sertifikat kesesuaian dengan segmen tipikal dijelaskan secara lebih rinci (bagian 17.3), dan beberapa paragraf pendek dikhususkan untuk standar ini.
Mitos seputar Sertifikasi Segmen Jenis
Ada banyak mitos di sekitar segmen yang khas. Di sini kita akan menganalisis apa yang telah kita temui. Jika Anda memiliki contoh mitos atau pertanyaan serupa (Anda tidak yakin apakah ini adalah mitos atau tidak), silakan komentar.
Mitos nomor 1. Satu sertifikat pada prinsip segmen standar dapat mengesahkan semua sistem informasi di Federasi Rusia
Secara teoritis, ini tidak langsung dilarang oleh dokumen peraturan, tetapi dalam praktiknya ini tidak akan mungkin. Salah satu klausa 17 dari urutan FSTEC pada segmen model menyatakan bahwa pelaksanaan dokumentasi organisasi dan administrasi untuk perlindungan informasi harus dipastikan dalam segmen standar. Jadi, masalah besar adalah pengembangan dokumentasi seperti itu, yang akan mempertimbangkan proses teknologi berbeda dari pemrosesan informasi, informasi yang dilindungi berbeda, persyaratan yang berbeda dari regulator, dll. Akibatnya, dokumentasi yang dikembangkan untuk satu sistem tidak akan relevan untuk yang lain.
Mitos nomor 2. "Segmen tipikal" disediakan hanya untuk sistem informasi negara
Ini tidak benar. Pertama, urutan ke-17 FSTEC sendiri memungkinkan ketentuannya diterapkan dalam pengembangan sistem perlindungan informasi di sistem informasi lainnya. Kedua, GOST RO 0043-003-2012 menggunakan konsep yang lebih luas tentang "objek-objek informatisasi" dan bukannya "sistem informasi negara".
Mitos nomor 3. Jika mereka memberi kami sertifikat yang dapat diperluas ke segmen standar, maka kami dapat menerapkannya untuk apa pun
Ini tidak demikian, di bawah spoiler teks lengkap paragraf 17.3 dari pesanan FSTEC No. 17 untuk segmen tipikal, maka kami akan mempertimbangkan kasus di mana sertifikat yang dikeluarkan tidak dapat didistribusikan. Di sini kita harus tetap lebih detail.
Teks dari urutan FSTEC No. 17Sertifikasi sistem informasi diizinkan berdasarkan hasil uji sertifikasi dari serangkaian segmen sistem informasi yang dipilih yang menerapkan teknologi penuh pemrosesan informasi.
Dalam hal ini, distribusi sertifikat kesesuaian dengan segmen lain dari sistem informasi dilakukan asalkan sesuai dengan segmen sistem informasi yang telah lulus tes sertifikasi.
Segmen dianggap sesuai untuk segmen sistem informasi sehubungan dengan pengujian sertifikasi yang dilakukan jika kelas keamanan yang sama, ancaman terhadap keamanan informasi ditetapkan untuk segmen yang ditunjukkan, solusi desain yang sama untuk sistem informasi dan sistem perlindungan informasinya diterapkan.
Kepatuhan segmen yang dicakup oleh sertifikat kesesuaian dengan segmen sistem informasi yang telah melakukan uji sertifikasi dikonfirmasi selama tes penerimaan sistem informasi atau segmen sistem informasi.
Di segmen sistem informasi yang menerapkan sertifikat kesesuaian, operator memastikan kepatuhan dengan dokumentasi operasional untuk sistem perlindungan informasi sistem informasi dan dokumen organisasi dan administrasi untuk perlindungan informasi.
Fitur-fitur sertifikasi sistem informasi berdasarkan hasil tes sertifikasi dari serangkaian segmen yang dipilih, serta kondisi dan prosedur untuk mendistribusikan sertifikat kesesuaian dengan segmen lain dari sistem informasi, ditentukan dalam program dan metode pengujian sertifikasi, kesimpulan dan sertifikat kesesuaian.
Selanjutnya kami akan mengambil contoh spesifik kesalahan, dan mengutip hanya kutipan yang sesuai dari tindakan normatif ini sebagai pembenaran mengapa ini tidak dapat dilakukan.
Contoh No. 1
Hanya bagian server yang disertifikasi, tetapi saya ingin memperpanjang sertifikat ke workstation (AWS). Bisakah ini dilakukan?
Tidak! Sertifikasi sistem informasi diizinkan berdasarkan hasil uji sertifikasi dari serangkaian segmen sistem informasi yang dipilih yang
menerapkan teknologi penuh pemrosesan informasi .
Transfer informasi melalui saluran komunikasi juga merupakan teknologi pemrosesan. Plus, dalam contoh ini, tidak ada satu workstation yang disertifikasi, jadi kami tidak dapat memperluas sertifikat ke workstation standar lain.
Contoh No. 2
Di sini kami memperhitungkan kesalahan sebelumnya dan termasuk saluran transmisi data dan workstation khas dalam sertifikat. Tiba-tiba, kami memiliki kebutuhan untuk mengatur laptop untuk bos besar dengan koneksi ke sistem bersertifikat (tentu saja melalui saluran aman). Bisakah kita memperpanjang sertifikat kesesuaian dengan laptop ini?
Tidak! Segmen dianggap sesuai untuk segmen sistem informasi sehubungan dengan pengujian sertifikasi yang dilakukan jika kelas keamanan yang
sama dan
ancaman terhadap keamanan informasi ditetapkan untuk segmen yang ditunjukkan ...
Di sini, untuk sarana teknis bergerak, muncul ancaman baru terhadap keamanan informasi yang tidak relevan untuk stasiun kerja stasioner dan kemungkinan besar tidak dipertimbangkan dalam model ancaman untuk sistem bersertifikat.
Contoh No. 3
Ya, kami memperhitungkan kusen ini dan menambahkan ancaman pada model pertumbuhan, ancaman pada perangkat seluler. Sekarang bisakah saya memperpanjang sertifikat ke laptop bos besar?
Tidak! Segmen
dianggap relevan dengan segmen sistem informasi
yang telah dilakukan uji sertifikasi ...
Terlepas dari kenyataan bahwa alat seluler dijelaskan dalam dokumentasi desain untuk sistem perlindungan informasi dan model ancaman memperhitungkan ancaman yang terkait dengan sarana teknis seluler, tidak ada uji sertifikasi yang dilakukan untuk alat tersebut.
Contoh No. 4
Betapa rumitnya itu! Tetapi situasi ini: ada lembaga medis, ada dua sistem informasi - dengan karyawan dan sistem informasi medis (MIS) dengan pasien. Bisakah kita menyimpan, mensertifikasi sistem informasi dengan karyawan dan memperpanjang sertifikat ini ke IIA?
Tidak! Segmen dianggap sesuai untuk segmen sistem informasi sehubungan dengan pengujian sertifikasi yang dilakukan jika
kelas keamanan yang sama ditetapkan untuk segmen yang ditunjukkan
... solusi desain yang sama untuk sistem informasi .
Meskipun tampaknya semuanya rumit di sini, pada kenyataannya, Anda hanya perlu memikirkan opsi yang mungkin untuk segmen tipikal dalam persiapan membangun sistem perlindungan. Tetapi pada kenyataannya, jika Anda mempertimbangkan semuanya (dan tidak ada begitu banyak persyaratan), maka tidak akan ada masalah dengan distribusi sertifikat.
Mitos nomor 4. Segmen khas harus dijelaskan dalam dokumentasi desain untuk sistem perlindungan, dimulai dengan model ancaman
Tidak ada persyaratan seperti itu. Meskipun ini tidak langsung dilarang, pendekatan ini dapat menyebabkan beberapa masalah di masa depan. Apa yang dikatakan perintah FSTEC ke-17 tentang hal ini:
Fitur-fitur sertifikasi sistem informasi berdasarkan hasil tes sertifikasi dari serangkaian segmen yang dipilih, serta kondisi dan prosedur untuk mendistribusikan sertifikat kesesuaian dengan segmen lain dari sistem informasi, ditentukan dalam program dan metode pengujian sertifikasi, kesimpulan dan sertifikat kesesuaian.Artinya, kami berhak menyebutkan segmen tipikal hanya pada tahap sertifikasi. Dalam hal ini, segmen Anda akan menjadi tipikal secara default, jika kondisi bagian 17.3 dari pesanan FSTEC No. 17 terpenuhi. Tapi kami bertemu kasus ketika segmen tipikal dicoba untuk menggambarkan sudah pada tahap pemodelan ancaman, hampir menunjukkan nomor seri peralatan segmen tersebut. Masalah dengan pendekatan ini adalah bahwa jika penggantian perangkat keras terjadi atau sesuatu berubah dalam teknologi pemrosesan (misalnya, lingkungan virtualisasi muncul), segmen di mana sertifikat telah didistribusikan mungkin menjadi, katakanlah, tipikal tidak sah. Dan dalam hal ini, mungkin perlu untuk melakukan bukan "tes sertifikasi tambahan", tetapi untuk melakukan seluruh rangkaian tes sesuai dengan yang baru.
Secara umum, saran kami adalah tidak menyebutkan segmen tipikal dalam dokumentasi desain sama sekali. Memang, di bawah undang-undang saat ini, setiap segmen yang memenuhi persyaratan yang ditetapkan akan menjadi khas.
PENTING! Jika Anda adalah operator sistem informasi dan berencana untuk mengesahkan sistem informasi dengan kemampuan untuk memperluas sertifikat ke segmen standar, pastikan untuk berdiskusi dengan lembaga sertifikasi Anda sehingga kemungkinan ini tercermin dalam dokumen sertifikasi, sebagaimana disyaratkan oleh urutan 17 FSTEC!
Mitos nomor 5. FSTEC tidak mengerti "segmen tipikal" dan jika kami disertifikasi seperti ini, kami akan dihukum
Mitos ini terdengar sangat aneh, mengingat bahwa segmen tipikal dijelaskan secara lebih rinci dalam dokumentasi peraturan dari FSTEC. Ide ini paling sering terdengar dari penjaga keamanan yang disebut "sekolah tua".
Secara umum, kecuali untuk "ini tidak benar" kami tidak punya apa-apa untuk dikatakan di sini. Sebaliknya, regulator mempromosikan sistem sertifikasi sistem informasi ini dengan segala cara yang mungkin dan baru-baru ini kami bahkan menemukan klaim dari FSTEC bahwa sistem informasi tingkat regional yang besar disertifikasi BUKAN oleh prinsip segmen standar. Di sana saya harus menjelaskan bahwa dalam kasus khusus itu tidak optimal.
Mitos nomor 6. Segmen khas hanya berfungsi bila bagian dan segmen tersertifikasi adalah milik satu organisasi
Ini tidak benar. Ini tidak secara eksplisit dinyatakan dalam undang-undang, tetapi segala sesuatu yang tidak dilarang diperbolehkan. Tapi, tentu saja, ada perbedaan tertentu ketika bagian yang disertifikasi dan segmen model adalah milik satu organisasi, dan ketika segmen model milik entitas hukum pihak ketiga, ada.
Dalam kasus di mana segala sesuatu menjadi satu organisasi, organisasi ini dapat secara mandiri melakukan tindakan untuk melindungi informasi tentang segmen standar, menunjuk komisi dan memperluas sertifikat ke segmen standar.
Dalam kasus di mana ada operator pusat sistem informasi negara (misalnya, Pusat Teknologi Informasi regional) dan segmen badan hukum lainnya (sebagai contoh, sistem manajemen dokumen regional lembaga negara), maka semuanya menjadi sedikit lebih rumit. Kesulitannya terletak pada kenyataan bahwa menurut hukum, operator GIS ini bertanggung jawab atas perlindungan informasi dalam sistem informasi negara. Oleh karena itu, agar tes berikutnya tidak memanaskan operator untuk fakta bahwa di suatu tempat di sekolah 400 km dari pusat regional, langkah-langkah perlindungan informasi tidak diambil, ia perlu mendokumentasikan proses ini setidaknya pada tahap menghubungkan segmen yang khas. Pertama-tama, aturan untuk menghubungkan ke sistem informasi dibuat, di mana operator dengan jelas dan jelas menggambarkan persyaratan untuk perlindungan informasi yang harus dipenuhi pada segmen yang terhubung. Ini biasanya mencakup penunjukan mereka yang bertanggung jawab, persetujuan dokumen internal untuk perlindungan informasi (terutama operator yang bingung bahkan dapat mengembangkan dan menyediakan perangkat standar), pembelian, pemasangan dan konfigurasi alat perlindungan informasi yang diperlukan, analisis kerentanan, dll. Selanjutnya, organisasi yang ingin menyambungkan kinerja semua persyaratan dan cara yang ditentukan dalam peraturan menegaskan hal ini.
Di sisi lain, semua kesulitan yang dijelaskan adalah perkiraan rencana tindakan yang telah kami ciptakan bersama dengan salah satu operator tersebut. Jika operator GIS terdistribusi tidak takut memikul tanggung jawab karena tidak membuktikan fakta memenuhi persyaratan untuk melindungi informasi pada segmen jarak jauh setidaknya pada tahap koneksi, maka ia dapat mengikuti jalur yang disederhanakan (bagaimana "disederhanakan" yang dapat diputuskan oleh operator ini).
Sayangnya, beberapa operator melakukannya karena mereka sungguh-sungguh percaya pada mitos berikut.
Mitos nomor 7. Otoritas sertifikasi bertanggung jawab untuk memperluas sertifikat ke segmen yang tidak memenuhi persyaratan.
Sangat penting bagi kami, sebagai lembaga sertifikasi, untuk memahami batasan tanggung jawab kami. Karena undang-undang tidak menjawab dengan jelas pertanyaan "siapa yang bertanggung jawab untuk memperluas sertifikat ke segmen yang tidak sesuai", kami menulis surat kepada FSTEC.
FSTEC menjawab bahwa lembaga sertifikasi hanya bertanggung jawab atas kualitas tes sertifikasi itu sendiri. Operator organisasi dari sistem informasi bertanggung jawab atas distribusi sertifikat yang benar ke segmen-segmen tertentu.
Mitos nomor 8. Segmen yang khas tidak akan memberi kita apa pun. Bagaimanapun, Anda harus menarik pemegang lisensi dan membayarnya uang
Ini tidak benar. Setidaknya dalam kasus di mana staf operator sistem informasi memiliki spesialis yang mampu melaksanakan semua kegiatan yang dijelaskan di atas.
Di sisi lain, kita sering menghadapi kenyataan bahwa kita diminta untuk membantu menghubungkan segmen standar. Bagaimanapun, di segmen seperti itu, setidaknya, Anda perlu mengerjakan dokumentasi internal, menginstal dan mengkonfigurasi alat keamanan informasi dengan benar. Plus, banyak operator sistem informasi mempercayai kesimpulan tentang kesesuaian segmen tipikal yang ditulis oleh organisasi pihak ketiga lebih dari laporan pemohon untuk koneksi ke sistem.
Tetapi bahkan dalam kasus ini, segmen tipikal memungkinkan operator untuk menghemat uang, karena setidaknya tidak perlu mengembangkan model ancaman yang berbeda dan merancang dokumentasi untuk sistem perlindungan informasi untuk elemen yang dapat dilampirkan. Juga tidak perlu melakukan tes sertifikasi skala penuh.
Nomor mitos 9. Dalam segmen tipikal, hanya cara teknis yang sama yang harus digunakan (misalnya, komputer dengan motherboard yang sama, prosesor yang sama, RAM yang sama, hingga jenis, pabrikan dan model)
Masalah ini juga jelas tidak dijabarkan dalam undang-undang. Pada tingkat intuitif, jelas bahwa kepatuhan penuh dari besi segmen yang disertifikasi dan terhubung tidak diperlukan, jika tidak semuanya tidak berharga. , ? – . , ( , . .) .
, , , . 17 .
№10.
Tidak. , . – . - , , , , .
№11.
. — . – . .
. – . , .