ないものをキャッチする方法。 パート5：認定ソフトウェアの必要性の神話

個人データ保護の分野で神話を調べた以前の記事（ habrahabr.ru/post/255595 ）以外では、認定製品を使用する必要性について興味深い質問が残っていました。 従来、企業が規制当局の要件を実装したい場合、認証製品を購入します（ただし、使用しているのは:-)）。 これは確立された慣行です。



同時に、大多数は、そのような製品の使用に関連するすべての問題を完全に理解しています-しかし、忠実に一般的な大衆に行きます。 しかし、法律と命令を見て、自分で要件を決定したらどうでしょうか？



多くの規制文書によると、認証製品の使用が必要であると伝統的に考えられています。 1つの記事の枠組み内ですべてのそのようなドキュメントを検討することは不可能です。 したがって、連邦法No.152-に関連する規制当局の文書の例によって、エラーの深さを説明します。ほとんどの場合、この法律を実施するために、認定バージョンが取得されます。



連邦法No. 152-FZ（2011年7月25日付けの連邦法で修正されたように、2011年7月No. 261-FZ）からの引用から始めましょう。

記事18.1。 この連邦法で規定されている義務の運営者による履行を確保することを目的とした措置

1.事業者は、この連邦法およびそれに基づいて採用された規制法的行為によって規定された義務の履行を確保するために必要かつ十分な措置を講じる義務を負います。 オペレーターは、この連邦法または他の連邦法で別段の定めがない限り、この連邦法およびそれに応じて採用される規制法的行為が規定する義務の履行を確保するために必要かつ十分な措置の構成とリストを独自に決定します。 そのような手段には以下が含まれますが、これらに限定されません：

3）この連邦法第19条に従って個人データのセキュリティを確保するための法的、組織的および技術的手段の適用。

第19条処理中の個人データのセキュリティを確保するための措置

2. 特に個人データのセキュリティが達成されます：

2）個人データ保護の要件を満たすために必要な個人データ情報システムでの処理中に個人データのセキュリティを確保するための組織的および技術的手段の適用。その実装は、ロシア連邦政府によって確立された個人データのセキュリティのレベルを保証します;

3）確立された方法で合格した情報保護施設の適合性を評価する手順を使用する。

書面に基づいて：

1. オペレーターは、この連邦法または他の連邦法によって課せられた制限内で、また規制当局の行為（ロシアのFSTEC、ロシアのFSB、Roskomnadzor）で保護対策を独自に選択します。
2. 「特に」という言葉は、法律に含まれる対策のリストが、可能だが必要ではないもののリストであることを意味します。 そして（将来を見据えて）、認証ツールのオプションの使用は、条例でも見ることができます！
   
   

そしてすぐに問題。 連邦法No. 152-FZには用語集が含まれておらず、用語集を参照しておらず、用語集を含む法律のパッケージには含まれていません。 したがって、法律に「コンプライアンスを評価するための確立された手順」が何であり、誰によって確立されているかは、どこにも述べられていません。 したがって、さらに不安定な道路に入ります。

• 主要なブロガーや専門家は、特定の文書/法律/規格では適合性評価手続きは...と言われていると主張することができますが、専門家も規制当局も私たちの国の法律を解釈することはできません-州下院と裁判所のみです。 ロシア連邦最高裁判所が望ましい。 しかし、ロシア連邦最高裁判所のそのようなコメントは、指で数えることができます。 したがって、法律が適合性評価があると言うか、ロシア連邦最高裁判所がそれを明確にしない限り、誰も彼の重要な言葉で概念を定義することはできません。
• 法律で定義されている規制当局は、概念を狭めることはできません。概念を狭めるまたは拡大する方向に法律を修正する権利はありません。 これは、法の支配の一般的な概念、および連邦法No. 152-FZ自体に基づいています。
  
  
  
  

  第4条個人データの分野におけるロシア連邦の法律
  
  2.連邦法、 国家機関 、ロシア銀行、および地方自治機関に基づき、その権限内で、個人データの処理に関連する特定の問題について、規制上の法的行為、規制上の行為、法的行為（以下、規制上の法的行為と呼ぶ）を採用する場合があります。 そのような行為には、個人データ主体の権利を制限する規定、連邦法で規定されていない事業​​者の活動に制限を設けたり、連邦法で規定されていない事業​​者に義務を課す規定を含めることはできません
  
  

実際、はい、規制当局は解釈を公開していますが、非常に合理化された形式です。 ただし、別の例を検討してください。 たとえば、ロシア連邦憲法は言論と集会の自由を定義しています。 正式には、必要な場所と必要なときに収集する権利がありますが、実際には、大量のイベントを開催するには、許可を得る必要があります。



次に、保護対策の分野で要件を明確にできる人を見てみましょう。

第13条州または地方自治体の個人データ情報システムにおける個人データの処理の特徴

2. 連邦法は、対応する州または地方自治体の個人データ情報システムに含まれる個人データの所有権を特定の個人データの対象に指定するためのさまざまな方法の使用を含む、 州および地方自治体の個人データ情報システムにおける個人データの会計の詳細を確立する場合があります。

第19条処理中の個人データのセキュリティを確保するための措置

3. ロシア連邦政府は、個人データの主題、処理された個人データの量と内容、個人データが処理されている活動の種類、個人データのセキュリティに対する脅威の関連性への潜在的な害を考慮して、以下を設定します ：

2）個人データ情報システムでの処理中の個人データ保護の要件 。その実装により、確立されたレベルの個人データセキュリティが保証されます。

4.個人データ情報システムでの個人データの処理中に個人データのセキュリティを確保するためのセキュリティ、組織的および技術的対策の各レベルについて、この記事のパート3に従ってロシア連邦政府によって確立された個人データ保護要件 の構成と内容は 、 連邦当局によって確立されますセキュリティの分野で認可された執行機関と連邦執行機関が認可されています その権限内の情報の技術的な知性と技術的保護対策インチ

5.確立された活動分野で州の政策と法的規制を開発する機能を果たす連邦執行機関、ロシア連邦の構成事業体の政府機関、ロシア銀行、国家予算外資金機関、その他の州機関、その権限内で、 規範的な法的行為を採用し、情報システムで個人データを処理する際に関連する個人データのセキュリティに対する脅威が特定される 個人データの内容、処理の性質および方法を考慮して、関連するアクティビティの実装に使用されるデータ。

これに基づいて、ロシア連邦政府と規制当局は保護要件を発行することができ、義務付けられています。 他の機関は、脅威のリスト、および個人データの記録手順のみを決定できます。 そして、もしそうでないなら、すべてがうまくいくでしょう：

記事18.1。 この連邦法で規定されている義務の運営者による履行を確保することを目的とした措置

3.ロシア連邦政府は、この連邦法およびそれに基づいて採択された規制法の義務を、州または地方自治体の運営者が確実に履行することを目的とした措置のリストを確立します。

つまり、政府は州機関のみを対象とした対策のリストを公開する義務があります！ この時点で、政府が商業組織の保護要件を確立できるかどうかの問題をめぐる争いでも多くのコピーが破損しました。



論理を理解しようとはせず、連邦法No. 152-FZの規定に従って政府が発行したPP 1119に進みません。

13.情報システムでの処理中に個人データの第4レベルのセキュリティを確保するには、次の要件を満たす必要があります。

d）情報セキュリティの分野でロシア連邦の法律の要件の順守を評価する手順に合格した情報セキュリティツールの使用（現在の脅威を中和するためにそのようなツールの使用が必要な場合）。

より高いレベルの保護については、適合性評価の要件は変更されないため、ここではそれらを提供しません。

同じ適合性評価と思われます。 しかし、注意深い目は、法律の要件との違いを見ています：

• 「ロシア連邦の法律の要件への準拠。」 法律はこれを要求していませんでした。選択した製品は、ロシアではなく、国際的な安全基準を満たすことができます。法律の要件を拡張することは不可能です。
• 要件は情報セキュリティの分野にあるべきです。 論理的ではありますが、これも制限です。 おそらく、ベンダーの1社が証明書に「GOSTへの準拠」を規定しているという事実が原因であり、製品がどのGOSTに対応するかは言うまでもありません。
• 「そのような手段は、現在の脅威を中和するためにのみ使用されるべきです。」 非常に面白い要件。 2つの方法でそれを理解できます。 たとえば、浸透などを検出/制限するために、適合性評価に合格していない製品を使用できることがわかります。 ところで、これは重要です。ロシアのFSTECの順序では、ウイルス対策は検出のみを必要とし、中和は必要ありません。
  
  

そのため、ソフトウェア1119では、認定されていないツールを使用して脅威を検出し、悪意のあるファイルの侵入を防ぐことができます。 さらに、これらのツールがウイルス対策である必要があるとは書かれていません。 楽しんでください。



さて、ロシアNo. 21のFSTECの命令：

4.個人データのセキュリティを確実にするための対策は、とりわけ、個人データのセキュリティに対する現在の脅威を中和するためにそのようなツールの使用が必要な場合に、所定の方法で適合性評価手順に合格した情報システムの情報セキュリティツールの使用を通じて実装されます。

注文とPP 1119には大きな違いがあります。 ロシア連邦の法律の要件への準拠の兆候はなく、要件が情報セキュリティの分野にあるべきであるという兆候もありません。



連邦法No. 152-FZとの違いも興味深いものです。 一方では、「特に」という言葉を使用する必要性が確認され、他方では、個人データのセキュリティに対する現在の脅威を中和するためにそのような手段の使用が必要な場合、「セキュリティ対策<...>が実施される<...> 「。 オイルはオイルです。 そして、なぜ保護を実装する必要があるのですか？ 無関係な脅威から保護するには？



そして、最も興味深いのは、中和するためだけの手段を講じるべきであるということです。つまり、例えばコントロールを取り除くことではなく、取り除くことです。



したがって、上記から、認証された手段を使用して、関連するものとして認識した脅威を中和することができ、他のすべての場合に他の手段を使用できます。



しかし、相互に排他的な要件のないドキュメントとは何ですか？ 専門家から脳を動かす能力を奪わないでください！

8.6。 ウイルス対策対策は、不正な破壊、ブロック、変更、コンピューター情報のコピー、または情報保護ツールの無効化を目的とする情報システム内のコンピュータープログラムまたはその他のコンピューター情報の検出、およびこれらのプログラムおよび情報の検出への応答を保証する必要があります。

ちょっと待って！ 単純な通知は応答かもしれませんが、中和はまったく必要ありません。 ただし、認定された情報セキュリティツールは、無効化するためにのみ使用してください。 アンチウイルスは認定されるべきではありませんか？



ロシアのFSTEC命令第21号を読み続けます。

12.情報システムの情報セキュリティ要件に従って認定された情報セキュリティツールを使用する場合：

a）個人データの第1レベルおよび第2レベルのセキュリティを確保するために、以下が適用されます。

グレード5以上のコンピューター設備。

少なくともクラス4の侵入検知システムとウイルス対策ツール。

第1種または第2種の脅威の緊急、または情報システムと国際情報交換の情報および通信ネットワークとの相互作用が緊急の場合は少なくともクラス3のファイアウォール、第3種の脅威の関連性および情報システムの相互作用の欠如の場合は少なくとも4クラスのファイアウォール国際情報交換の情報通信ネットワークと

アンチウイルスはグレード4未満で認定されていないため、低レベルの見積もりは行いません。



この引用で興味深いのは：

• 「認証済み」という単語が初めて発生したとき。 しかし、認証は適合性評価と同等ではありません。 適合性評価は、テスト、登録などの形で行うことができます...順番に、認証は自発的、必須、または適合宣言の形にすることができます。 この点に基づいて、アンチウイルス保護ツールとファイアウォールは必須の認証を受ける必要がありますが、脅威を中和するために必要な他のツール-いいえ？ しかし、注文によると、ウイルス対策ツールに関連していないシステムソフトウェアも多くなる可能性があります。
• キーフレーズ：「使用時」！ つまり、認定製品を使用しない場合、質問はありません。
  
  

さらに悪いことに、連邦法No. 152-FZからの別の引用：

1.この連邦法は、情報および通信ネットワークを含む自動化ツールを使用して、またはそのようなツールを使用せずに、個人によって実行される個人データの処理に関連する関係を管理するものとします...

暗号化ツールのライセンスと同様に、個人所有者による認証された資金を使用することの喜びは、私たちが州から暗号化するために恋人に任せます。



要約すると：

1. 連邦法No.152-は、個人データの保護に使用される製品の要件、またはコンプライアンス/認証の評価手順を定義していません。
2. 規制当局には法律の要件を拡大する権利がないため、（理論的には）そのような拡張はすべて無視できます。
3. 認証は適合性評価と同等ではありません。
4. 認定された保護具はオプションです。
5. 脅威を検出して対応するには、ウイルス対策製品を使用する必要があります。 適合性評価に合格した手段を使用して、脅威を中和する必要があります。
   
   

これらの要件を組み合わせる喜びは読者に提供されます。



認定された資金を使用すると多くの質問が発生するため、次の記事ではそのような質問に答えることを計画しています（含む）。

• 「ご使用の製品は152-FZの要件を満たしていますか？」
• 「ディストリビューションはどこからダウンロードできますか？」
• 「認定バージョンはいつ入手できますか？」
• 「お使いのファイアウォールは、セキュリティプロファイルを満たすことが認定されていますか？」-その他多数。 リストにない質問がある場合は、お問い合わせください！