27.1.14

Мои впечатления от проекта методички по защитным мерам ФСТЭК

Наверное, все помнят, что в конце ноября ФСТЭК выложила на своем сайте проект методических рекомендаций, разъясняющих "как читать" 17-й (в первую очередь) и 21-й приказы по защите государственных и муниципальных информационных систем и информационных систем персональных данных. До 20-го декабря ФСТЭК собирала предложения по тексту методички, чтобы собрать мнение экспертного сообщества, которое на протяжении долгих лет постоянно критиковало регулятора, который не давал поучаствовать в нормотворчестве российским экспертам. И вот такую возможность в очередной раз дали.

Работа оказалась не из простых. Прочитать, вникнуть и разобраться в 160-ти страницах текста оказалось непросто. Отчасти из-за объема, отчасти из-за большого объема канцеляризмов (все-таки документ официальный), но больше всего из-за новаций, который этот документ содержал. Тот же 17-й (и 21-й) приказ коренным образом отличался от предыдущих требований по защите - СТР-К (и 58-го приказа). А в рассматриваемой методичке надо было все эти новации раскрыть и подробно описать. Вот анализ этого описания и потребовал много времени. В конечном итоге у меня получилось 42 страницы предложений и около 200 конкретных предложений, которые, я надеюсь, учтут в процессе финализации документа, по которому теперь будут жить российские специалисты по безопасности.

А сейчас я хотел бы поделиться своими впечатлениями по данному документу. Про хорошее писать не буду :-) - писал уже не раз. Пройдусь по немного иным вещам, которые я предлагал учесть. Во-первых, это восприятие информационных систем, которые рассматриваются регулятором как набор персональных компьютеров с серверами, редким применением мобильных устройств и вкраплениями сетевого оборудования. Для большинства потребителей это действительно так, но мы говорим о документе, который распространяется на всех и задает моду на ближайшие годы.

Где промышленные терминалы? Где Интернет вещей? Где индустриальные датчики, сенсоры и контроллеры? Про это в документе почти ничего не написано, а такие системы начинают активно использоваться во многих государственных организациях - порты, таможенные склады, промышленные объекты и т.п. Да, сейчас готовятся требования по защите индустриальных систем, но пока их нет, и сами такие системы явно из под действия приказа не выведены.

Кстати, ориентация на традиционное восприятие информационной системы присуще не только ФСТЭК, но и остальным регуляторам. Оно и понятно, долгие годы иного и не было. Это сейчас технологии развиваются семимильными шагами - регулятор за ними не поспевает. Особенно 8-й Центр ФСБ, который архаично считает, что существует только то, куда можно навесить российские СКЗИ. В их кругозоре нет промышленного оборудования, нет M2M-устройств, нет Интернета вещей, нет сетевого оборудования...

С данной проблемой связана и вторая. Регуляторы считают, что угрозу может представлять только пользователь и контролировать надо только его. Про действия, которые могут осуществлять приложения, процессы, сетевые узлы и иные компоненты информационной системы. Поэтому в проекте методички постоянно упоминается термин "пользователь" вместо "субъект доступа", что было бы правильнее. Также первый проект исходит из предположения (неявного), что что-то плохое может сделать только пользователь и только изнутри. Плохо были учтены особенности доступа извне.

"Традиционные" для ФСТЭК вопросы, ранее уже учтенные в 58-м приказе или СТР-К, прописаны неплохо. А вот новые темы (например, регистрация событий) в 17/21-м приказах - действительно новые для регулятора и участвовавших в разработке проекта участников. Они пытаются натянуть свое понимание традиционных тем на новые - получается неполно и не всегда хорошо. Складывается впечатление, что авторы документы многие вещи просто не пробовали. Раньше проблема бы так и осталась, а сейчас, к счастью, коллективный труд позволяет выявить эти нюансы и вовремя обратить на них внимание. Надеюсь, что в финальном варианте это будет устранено.

В целом же получившийся документ коренным образом отличается от СТР-К 2002-го года и 58-го приказа 2010-го. Был сделан большой шаг вперед - учтены многие новые защитные меры, которых раньше не было, дана большая свобода оператору информационных систем или уполномоченным лицам, которым поручена защита этих систем. Идеален ли документ? Нет. Но чего мы хотим от первого проекта?.. Да еще и при практически полном попустительстве со стороны экспертного сообщества.

Оказалось, что желающих ныть "как все плохо" и "надо все переписать" у нас по-прежнему полно. А вот предложить что-то конкретное... Хорошо если наберется с десяток человек, которые готовы потратить свое время и предложить что-то конкретное. Мне можно возразить, что это не работа эксперта отрасли - тратить свое время на такую писанину. Мол есть более важные дела на основной работе, есть дети, жены, внуки, любовницы, клубника на даче, горнолыжные курорты... Безусловно, есть. Только вот стоит ли тогда критиковать документ, если сам не приложил ни толики усилий, чтобы сделать его лучше? Я про это уже писал и говорил не раз и повторюсь. Критикуя, предлагай. Не предлагаешь - лучше помолчать. Даже если не согласен.

ФСТЭК планирует перейти к классическому 2-хлетнему жизненному циклу своих нормативных документов. Тем самым удастся выстроить процесс внесения поправок в документы и учет последних веяний и тенденций в области ИБ и в области защищаемых ИТ. Отработав на первом наборе документов (приказы 17/21) и новые подходы к защите, и работу с экспертным сообществом, не исключаю, что ФСТЭК подступится к обновлению и остальных своих документов. Тем более, что планы уже есть.

14 коммент.:

Ржавский Константин комментирует...

Алексей, написано хорошо и не согласиться с Вами по проблеме нельзя, но у меня к Вам один вопрос: Алексей, только положа руку на сердце, а Вы считаете себя альтруистом?

Алексей Лукацкий комментирует...

А что есть альтруизм?

Ржавский Константин комментирует...

Бескорыстно, и во благо общества! ВСЕГДА!

Алексей Лукацкий комментирует...

Ну судя по тому, что я не получаю денег за это, то да :-)

Алексей Лукацкий комментирует...

http://www.youtube.com/watch?v=6ovWvUlWz7Y

Ржавский Константин комментирует...

Я не про деньги? Все все понимают.

Алексей Лукацкий комментирует...

Тогда прошу пояснить, что Вы имеете ввиду и что "все всё понимают"?

Ржавский Константин комментирует...

Почему то мы все привыкли все измерять в денежном эквиваленте, вот я и спрашиваю: можно расчитаться деньгами или преференциями. Про деньги понятно, а преференции....?

Алексей Лукацкий комментирует...

Преференции? Есть такие. Меня на конференции выступать чаще приглашают :-) И моя известность растет :-) К моему мнению прислушиваются. Если это считать преференциями...

Ржавский Константин комментирует...

Алексей, спасибо что ответили. Только я думаю, что сейчас найти еще одного альтруиста найти будет очень тяжело и не потому что они вывелись, а потому что выполнять ёмкую работу, зная, что она пойдет в корзину, и не будет оценена должным образом - это не честно, по отношению к этому человеку. Честно говоря я не приветствую то, что Ваш труд, Ваша работа никак не вознаграждается, каждый труд должен быть вознагражден!

Ronin комментирует...

Интернет вещей в ГИС, Алексей, это серьезно? :)
Было бы интересно посмотреть конкретные предложения по документу, если это не тайна, а то их высылают только участникам процесса и после рассмотрения.

Алексей Лукацкий комментирует...

Константин: а что значит в корзину? Мои предложения чаще всего принимаются. Поэтому я вижу результат своего труда и мне этого достаточно. Финансовую оценку моего труда осуществляет работодатель - меня такой вариант устраивает :-)

Алексей Лукацкий комментирует...

Ronin: А что страшного в IoT в ГИС? СКУД есть? CCTVoverIP есть? Принтеры и сканеры есть? Промышленные сенсоры (в ЖКХ, управлении транспортом и т.п.) есть? Вот и IoT :-)

Unknown комментирует...
Этот комментарий был удален автором.