Легитимность использованиея open-source шлюза-МЭ в ГБУ - Форум по вопросам информационной безопасности

Добрый день, уважаемые специалисты-безопасники! Возник вопрос о законности использования open-source ПО pfsense (естественно не сертифицированного) в качестве маршрутизатора-шлюза-МЭ в государственном бюджетном учреждении. Учреждение оказывает государственные услуги, которые подразумевают предоставление персональных данных 3 категории (Ф.И.О.) заказчика. Никакой ГТ и близко нет. Судя по найденной на сайте ФСТЭК информации и нормативке, сертификация МЭ необходима только при работе с ГТ. pfsense планируется к использованию в качестве virtual appliance, соответственно можно считать программно-аппаратным комплексом. Также немного в тупике по вопросу использования ОС на рабочих машинах - используемые Windows 7 и 10 также не обнаружил в реестре сертифицированных средств, однако де-факто создавая документы, содержащие ПД, средствами ms windows, либо ms office, согласно реестра сертифицированным только на соответстветствие ТУ, получается нарушаем закон? Был бы очень рад услышать разъяснения по данным вопросам. Спасибо.

*в сторону*
На колу мочало - начинай сначала...

to Александр
1. Неправильно читали сайт ФСТЭК. Позиция регулятора проста: какой-то функционал в вашей ИС вы считаете компонентом системы защиты? Будьте любезны показать на него сертификат...
2. Вывернуться можно, если правильно составить Модель угроз. Как? Поиск по форуму, личная практика и общение с регулятором в помощь...
3. Сертификация требуется не для всего ОПО/ППО/СПО, а только для защитных механизмов. Сиречь, правильно проектируйте свою систему защиты, чтобы ключевые точки, которые должны выполнять требования Приказа21-ФСТЭК и ПП-1119, имели сертификат соответствия...

В вашей ситуации, доказывайте тестовыми испытаниями (приложением к Модели угроз, например), что установленный pfsence с действующими правилами фильтрации нейтрализует угрозы межсетевого НСД на корню. А лучше пен-тест закажите, чтобы можно было "чужой бумажкой" прикрыться. Одна проблема - виртуальная структура - тут уже танцы совершенно другого рода...

ЗЫ И не слушайте лиц, кричащих, что в ИСПДн возможно обойтись вообще без применения сертифицированных СЗИ (кроме, пожалуй, случая глобального пен-теста, что по цене и трудозатратам выходит примерно одинаково). Эти лица либо "пролетали мимо" проверок регулятора (пока), либо у них очень хорошо смазаны соответствующие колеса в своем регионе...

21 приказ - оценка соответствия . Дальше нюансы с ндв и уровнями защищённости .

https://4.bp.blogspot.com/-LNFQ4SmhQfA/WosESWtU3ZI/AAAAAAAAIhY/EmTRnLwqFqgdZ8M_Z0lPBJEGrBIidjN4wCLcBGAs/s1600/Screen%2BShot%2B2018-02-19%2Bat%2B20.05.13.png

А если исключить вопрос хранения и обработки ПД из ИС, использовать ее чисто как внутреннюю хранилку файлов, сервисов и пр.? Требуется ли тогда сертифицировать либо иными способами приводить в соответствие с требованиями ФСТЭК?

> А если ИСКЛЮЧИТЬ вопрос ХРАНЕНИЯ и обработки ПД из ИС, ИСПОЛЬЗОВАТЬ ее чисто как внутреннюю ХРАНИЛКУ файлов...

Уже само себе противоречие в техпроцессе.

Согласен, звучит двояко. Но если данные не представляют какой-либо ценности кроме коммерческой и не требуют особого обращения/хранения согласно законодательства?

Согласен, звучит двояко. Но если данные не представляют какой-либо ценности кроме коммерческой и не требуют особого обращения/хранения согласно законодательства?

Если законодательство на Вас не налагает никаких обязательств, тогда может последовать старому совету: "Не стоит искать черную кошку в тёмном помещении. Особенно, когда там ее нет"?

//Но если данные не представляют какой-либо ценности//

**Один мальчик решил обеспечить безопасность компании. Посчитал активы, обосновал риски, вывел KPI, нарисовал красивую презентацию, убедил начальника, выбил бюджет, закупил лицензий, и даже нашел подрядчиков… Но вдруг его уволили. Потому что гендиректор потерял в бане свой iPhone с конфиденциальной перепиской.**