16.04.2013

У американцев будет свой ЦИБ ФСБ ;-)

В прошлом году ФСТЭК начала работу над законопроектом, который вносит изменения в 149-ФЗ в части расширения требований по защите госорганов и критически важных объектов. Американцы тоже решили обновить свой закон по этой тематике - FISMA (Federal Information Security Amendment Act). Пройдя основные согласования новый законопроект ушел в Белый дом и ожидается, что в ближайшее время он будет подписан.

В декабре я уже писал, как выстраивается система защиты государственных информационных систем в США. Интересно, что же такого придумали американцы по сравнению с тем, что у них уже было сделано. Изменений немало:
  1. В каждом госоргане вводится обязательная должность CISO (руководителя ИБ, который отвечает за обучение и повышение осведомленности сотрудников, за разработку и внедрение новых политик, за реагирование на инциденты, за compliance, за взаимодействие с NIST в части участия в совместной разработке стандартов по ИБ, за ежегодный аудит, за регулярную отправку (до 1 марта календарного года) отчетов о соответствии требованиям ИБ в Конгресс США.
  2. Создается новая структура - Федеральный центр реагирования на инциденты ИБ, который должен помогать госорганам в расследовании и реагировании на инциденты (некий аналог нашего ЦИБ ФСБ, но более открытый).
  3. Установление обязанности обмениваться информацией по ИБ (в частности о новых угрозах) между госорганами и частными компаниями.
  4. Основное изменение коснулось парадигмы, которая у нас называется аттестацией ;-) У американцев до недавнего времени был похожий подход, когда их проверяли по некоторому чеклисту, базирующемуся на защитных мерах из NIST SP800-53А. Но судя по публикуемым регулярно отчетам Счетной палаты это не так эффективно как хотелось бы. В отличие от механизма непрерывного мониторинга уровня защищенности, который дает свои плоды. Особенно учитывая, что за 6 лет, с 2006 года, число инцидентов в госорганах США увеличилось на 782%. Тут никакой статический чеклист не поможет - нужен непрерывный процесс.
  5. Госорганам разрешено самостоятельно принимать решения о выборе средств защиты и явно фиксируется, что решения, разработанные частными компаниями, гораздо лучше справляются с современными и динамичными угрозами (кстати, мы 16 мая про такие угрозы и способы борьбы с ними и будем рассказывать). Кто знаком с американским рынком средств защиты знает, что у них есть такое понятие - COTS (Commercial Off-The-Shelf), т.е. продукты, которые могут быть использованы в госорганах, но при этом активно продаются и на коммерческом рынке. Эти решения альтернативны собственным разработкам государства или финансируемым по госконтракту средствам защиты и позволяют существенно сэкономить и снизить TCO. Однако по мнению Министерства национальной безопасности, такие решения несли с собой угрозу, связанную с рисками в цепочке поставок, о которых я уже писал. И вот смена парадигмы - США признают, что коммерческие продукты лучше борются с угрозами, чем спонсируемые государством точечные разработки..
  6. Рекомендуется активнее использовать средства анализа защищенности и тесты на проникновение (Red Team).
  7. Законопроект распространяется на госорганы, Минобороны и ЦРУ, но информационные системы последних двух ведомств выделяются в отдельную категорию - "системы национальной безопасности" со своей спецификой.
  8. Провозглашается риск-ориентированный подход, базирующийся на ряде критериев, включая уровень (гриф) защищаемой информации, ущерб и экономическую целесообразность.
  9. Появляется обязанность сообщать об инцидентах в течение 24 часов (не позднее 48) в федеральный центр реагирования на инциденты.
  10. Каждый госорган обязан разработать собственную программу по ИБ (а не просто многостраничную концепцию, которую обычно ставят на полку и никогда к ней не прикасаются).
  11. Помимо защиты информационных систем, необходимо обеспечивать непрерывность и бесперебойность их функционирования (аналогичные требования появились и в 17-м приказе ФСТЭК по защите госорганов).

Если бы меня спросили, в чем ключевое отличие нынешней редакции FISMA от предыдущей, то я бы мог ответить одной  фразой - "смена акцента в сторону большей динамичности; угроз, защитных мер, процессов защиты, реагирования на инциденты". В условиях изменяющих угроз и сдвига акцента на "кибер"-составляющую в национальной безопасности США, новый законопроект появился как нельзя кстати и к месту.

8 коммент.:

ZZubra комментирует...

>>Провозглашается риск-ориентированный подход, базирующийся на ряде критериев, включая уровень (гриф) защищаемой информации, ущерб и экономическую целесообразность.

ээээ. А раньше какой у них был подход?

>>Каждый госорган обязан разработать собственную программу по ИБ (а не просто многостраничную концепцию, которую обычно ставят на полку и никогда к ней не прикасаются).

Ну это утопия. Как сделать так (НЕ заставить!), чтобы такое огромное количество людей вдруг концептуально изменила свои взгляды и свои ДЕЙСТВИЯ?!

>>В каждом госоргане вводится обязательная должность CISO (руководителя ИБ, который отвечает за обучение и повышение осведомленности сотрудников, за разработку и внедрение новых политик, за реагирование на инциденты, за compliance, за взаимодействие с NIST в части участия в совместной разработке стандартов по ИБ, за ежегодный аудит, за регулярную отправку (до 1 марта календарного года) отчетов о соответствии требованиям ИБ в Конгресс США.

1. Дирехтор по ИБ в каждом федеральном, областном, муниципальном и местном органе исполнительной власти - это КРУТО! Интересно, кого они решили сократить, чтобы не менять штатки и не раздувать бюджеты? Ведь директора по ИБ стоят колоссальных денег.
2. Работа такого человека напрямую с организацией по стандартизации - это бесконечно здорово.
3. А кому он будет подчиняться? Тем кому отчитывается, "ФЦР на инцинденты ИБ" или тому кто платит зарплату? Ведь усидеть даже на 2-х стульях могут единицы, а на трех... Скорее всего дали руководителям лишние рабочие руки, а ИБ - подождет.

>>Создается новая структура - Федеральный центр реагирования на инциденты ИБ, который должен помогать госорганам в расследовании и реагировании на инциденты (некий аналог нашего ЦИБ ФСБ, но более открытый).

Очень сложная подчиненность. Руководство хочет скрыть инциденты (и в США - вон все фильмы ихние про это), а помощь в расследовании и реагировании - это явное раскрытие. Конфликт на лицо. Или в США ВСЕ руководители сознательные и рассматривают свою деятельность в контексте национальной безопасности?

>>Основное изменение коснулось парадигмы, которая у нас называется аттестацией ;-) У американцев до недавнего времени был похожий подход, когда их проверяли по некоторому чеклисту, базирующемуся на защитных мерах из NIST SP800-53А.Тут никакой статический чеклист не поможет - нужен непрерывный процесс. Госорганам разрешено самостоятельно принимать решения о выборе средств защиты и явно фиксируется, что решения, разработанные частными компаниями, гораздо лучше справляются с современными и динамичными угрозами

1. Ага!!! Значит и у них ЕСТЬ аттестация!!! ;)
2. "Чеклист" и "процесс" - что ближе, понимательнее и интуитивнее для человеческого разума? Это как зомбировать надо людя, чтобы он процессами думать начал?! Утопия. Все скатиться к новым чеклистам. А менять их часто никто не даст - нефиг бизнесу/госуслуге мешать изменениями.
3. Человек, как ток, идет по пути наименьшего сопротивления. Решение о самостоятельном выборе СЗИ это как перед ослом положить две одинаковых кучи сена. Народ (в массе) не поймет (но каждый по отдельности - реальный спец). Недавно столкнулись с аналогичной ситуацией:
- ряд организаций по наводке специалистов по ИБ своих головных организаций из Москвы не хотят ставить определенные СЗИ и аттестовывать (федеральный ресурс, доступ к которому имеют частные организации)
- с ними согласились, чтобы они сами выбрали (правда и не пресовали - это заранее ор был)
- предложили выполнить все требования и сообщить о выполнении нормативки, взяв на себя ответственность за их исполнение
- они пришли спрашивать что им теперь выбрать, чтобы точно все заработало
- они пришли спрашивать какие документы должны быть
- они пришли спрашивать как им подтверждать, что у них все соответствует, если не аттестовывать.

се ля ви...


Алексей Лукацкий комментирует...

Ты сам законороект читал?

ZZubra комментирует...

Нет, конечно )))) Только по написанному и из опыта ))))) Очень хотелось подробностей...

Алексей Лукацкий комментирует...

Ну так прочитай - он короткий, а ссылку я привел

ZZubra комментирует...

Уважаемый Алексей!

Честно пытался прочитать - но языковой барьер ломает ноги. Частично я понимаю о чем документ, но в целом, особенно с отсылками - в голове сюжет не откладывается. К сожалению, английский - это серьезное препятствие для, наверно, большинства "специалистов" по безопасности в РФ. Особенно не в Москве (((( Это же скорее всего и основное препятствие при внедрении офигенных импортных документов (CMMI, COBIT, PMBOK, PRINCE2, и многих других) транслирующих опыт ненаступания на грабли.

ZZubra комментирует...

Но из попытки я вынес 2 интереснейших наблюдения:
1. Нумерация строк - это граната, которая почему-то не приходит в голову нашим законодателям, хотя идея лежит на поверхности.
2. Нумерация перечислений в тексте - это ядерная бомба!!! Пример (за уши, но главное суть):

1. Настоящим Федеральным законом регулируются отношения, (1) связанные с обработкой персональных данных, (а) осуществляемой федеральными органами государственной власти, (б) органами государственной власти субъектов Российской Федерации, (в) иными государственными органами (далее - государственные органы), (г) органами местного самоуправления, не входящими в систему органов местного самоуправления муниципальными органами (далее - муниципальные органы), (д) юридическими лицами, (е) физическими лицами (2) с использованием средств автоматизации или (3) без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации.

преобразуется в:
1. Настоящим Федеральным законом регулируются отношения,
(1) связанные с обработкой персональных данных,
(а) осуществляемой федеральными органами государственной власти,
(б) органами государственной власти субъектов Российской Федерации,
(в) иными государственными органами (далее - государственные органы),
(г) органами местного самоуправления, не входящими в систему органов местного самоуправления муниципальными органами (далее - муниципальные органы),
(д) юридическими лицами,
(е) физическими лицами
(2) с использованием средств автоматизации или
(3) без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации.

1. Настоящим Федеральным законом регулируются отношения, связанные с обработкой персональных данных, (1) осуществляемой федеральными органами государственной власти, (2) органами государственной власти субъектов Российской Федерации, (3) иными государственными органами (далее - государственные органы), (4) органами местного самоуправления, не входящими в систему органов местного самоуправления муниципальными органами (далее - муниципальные органы), (5) юридическими лицами, (6) физическими лицами с использованием средств автоматизации или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации.

преобразуется в:
1. Настоящим Федеральным законом регулируются отношения, связанные с обработкой персональных данных,
(1) осуществляемой федеральными органами государственной власти,
(2) органами государственной власти субъектов Российской Федерации,
(3) иными государственными органами (далее - государственные органы),
(4) органами местного самоуправления, не входящими в систему органов местного самоуправления муниципальными органами (далее - муниципальные органы),
(5) юридическими лицами,
(6) физическими лицами с использованием средств автоматизации или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации.

Сравните смысл последних двух вариантов. А? Каково?
Эдак можно передавать дух и смысл законов, а не порождать многотолкование и бардак!!!
Жаль что эти схемы НЕПРИВЫЧНЫ русскому языку.

P.S. Не сказать, что эти моменты я увидел впервые, но именно сейчас сложилось в мыслю.

Алексей Лукацкий комментирует...

Значит не зря пробовал. Две мысли из одного нормативного акта на иностранном языке - это хорошо. Можешь ли ты похвастаться тем же, читая наши законы?

ZZubra комментирует...

уууу... от наших мыслей очень много )))) Только все равно практически вся нормативка не исполняется.