Газета InfoSecurity

Последний номер

Архив номеров

На главную 

   
Число
подписчиков


 Рассылка 'Информационная Безопасность: Проблемы, Методы, Решения'
 Сетевая газета InfoSecurity.ru  

Cертификация антивирусов «по-исетовски»

Олег Гудилин


  В связи с вступлением в силу федерального закона № 152 «О персональных данных» с 1 января 2010, ряд компаний начали спекулировать на теме персданных, пользуясь недостаточными знаниями заказчиков. К сожалению, среди тех, кто решил половить рыбку в этой мутной воде, оказалось ЗАО "Исет" - российское представительство разработчика средств антивирусной защиты компании Eset.

  Напомню, что согласно закону ФЗ № 152 «О персональных данных», к 1 января 2010 года все организации (как государственные компании, органы власти, так и коммерческие организации) обрабатывающие персональные данные физических лиц, обязаны привести свои информационные системы в соответствие с требованиями регулирующих органов. В случае нарушения закона деятельность организаций может быть приостановлена, а ее должностным лицам грозит административная, дисциплинарная или уголовная ответственность.

  ЗАО "Исет" распространило несколько пресс-релизов, содержание которых вводит заказчиков в заблуждение. Ниже приведу лишь несколько "неточностей", содержащихся в материалах ЗАО "Исет".

  "Решения ESET NOD32 – единственные средства антивирусной безопасности, которые могут использоваться для обработки персональных данных любой категории и могут быть установлены на предприятиях, где ведется работа с персональными данными высшего класса". [ссылка]

  Это заявление не соответствует действительности, так как решения ещё трёх компаний могут быть использованы на предприятиях, где ведётся работа с персданными вплоть первого (высшего) класса включительно. Среди них решения Лаборатории Касперского:

Увеличить рисунок

  Идём далее, снова цитата из материалов российкого Eset, на этот раз не имеющая отношения к персданным, но касающаяся сертификации в целом:

  "К полномочиям ФСТЭК России относится лицензирование деятельности по разработке и (или) производству средств защиты конфиденциальной информации в том числе, в области защиты государственной тайны, а также сертификация продукции в этой сфере. Таким образом, в вопросах лицензирования и сертификации, касающихся государственной сферы, компетентна исключительно ФСТЭК России. За исключением той области, на которую распространяется исключительная компетенция ФСБ России. Это вопросы защиты информации методами, не относящимися к технической защите, вопросы криптографической защиты информации, вопросы защиты объектов Российской Федерации за рубежом и защиты объектов высших органов государственной власти РФ.

  Перечень высших органов государственной власти, на который распространяется исключительная компетенция ФСБ России, приведен в «Положении о лицензировании деятельности по разработке и (или) производству средств защиты конфиденциальной информации», утвержденном постановлением Правительства РФ от 31 августа 2006 г. № 532 «О лицензировании деятельности по разработке и (или) производству средств защиты конфиденциальной информации».

  Согласно Пункту 2 этого Положения, лицензирование деятельности по разработке и (или) производству средств защиты конфиденциальной информации осуществляет Федеральная служба по техническому и экспортному контролю (ФСТЭК России), а Федеральная служба безопасности Российской Федерации (ФСБ России) уполномочена в части лицензирования разработки и (или) производства средств защиты конфиденциальной информации, устанавливаемых на объектах:

  • Администрации Президента Российской Федерации,
  • Совета Безопасности Российской Федерации,
  • Федерального Собрания Российской Федерации,
  • Правительства Российской Федерации,
  • Конституционного Суда Российской Федерации,
  • Верховного Суда Российской Федерации,
  • Высшего Арбитражного Суда Российской Федерации.

  Все остальные органы государственной власти на территории России, не перечисленные выше, в части технической защиты информации ограниченного распространения, как составляющей государственную тайну, так и содержащей сведения конфиденциального характера некриптографическими методами, находятся в ведении ФСТЭК России."

[Источник]

  Конец цитаты, в которой тоже есть некоторые проблемы. В данный момент в арсенале ЗАО Исет нет средств защиты, сертифицированных ФСБ РФ, а если обратиться к приказу Министерства связи и массовых коммуникаций Российской Федерации N 104 от 25 августа 2009 года "Об утверждении требований по обеспечению целостности, устойчивости функционирования и безопасности информационных систем общего пользования". Там можно увидеть следующее:


9. В зависимости от значимости информационные системы общего пользования разделяются на два класса.

9.1. К классу I относятся информационные системы общего пользования: Правительства Российской Федерации, федеральных министерств, федеральных служб и федеральных агентств, руководство деятельностью которых осуществляет Президент Российской Федерации, федеральных служб и федеральных агентств, подведомственных этим федеральным министерствам.

9.2. К классу II относятся информационные системы общего пользования федеральных органов исполнительной власти, за исключением перечисленных в подпункте 9.1.

10. При создании и эксплуатации информационной системы общего пользования класса I:

1) используются сертифицированные Федеральной службой безопасности Российской Федерации антивирусные средства и средства обнаружения иного вредоносного программного обеспечения в соответствии с порядком, определенным Федеральной службой безопасности Российской Федерации;


11. При создании и эксплуатации информационной системы общего пользования класса II:

1) используются сертифицированные Федеральной службой безопасности Российской Федерации антивирусные средства и средства обнаружения иного вредоносного программного обеспечения в соответствии с порядком, определенным их производителем;


  Т.е. у представителей российского представительства Eset снова наблюдает незнание или нежелание знать существующие нормы сертификации и использования сертифицированных средств защиты.


  P.S.Надеюсь, что этой заметкой я чётко ответил на вопросы от заказчиков и партнёров, которые стали следствием недобросовестных действий наших конкурентов.

  Вот типичный пример таких вопросов:

  Добрый день.

  К нам пришло письмо следующего содержания:

  Согласно закону ФЗ № 152 «О персональных данных», к 1 января 2010 года все организации, обрабатывающие персональные данные физических лиц, обязаны привести свои информационные системы в соответствие с требованиями регулирующих органов. В случае нарушения закона деятельность организаций может быть приостановлена, а ее должностным лицам грозит административная, дисциплинарная или уголовная ответственность. Решения ESET NOD32 – единственные средства антивирусной безопасности, которые могут использоваться для обработки персональных данных.

  Прошу уточнить: соответствуют ли данным требованиям корпоративные решения ЗАО "Лаборатория Касперского" ?

Источник: Anti-Malware  


      Рейтинг@Mail.ru       Rambler's Top100 Rambler's Top100