04.02.2014

Сложность восприятия документов ФСТЭК. Пути решения

ФСТЭК завершает подготовку своего методического документа по мерам защиты, который разъяснит, что подразумевалось в 17-м (21-м) приказе под тем или иным пунктом. Я уже неоднократно слышал от коллег высказывания, что и 17/21-е приказы и рождающийся документ достаточно сложно для восприятия большинством из целевой аудитории. Это так, спорить не буду. Но важна причина, по которой такая ситуация стала возможной.

За долгие годы мы привыкли к тому, что у нас есть только СТР-К и ряд РД 92-го года, которые не менялись на протяжении длительного времени. На момент своего создания они были относительно неплохи, хотя и считались калькой с первых двух американской "Радужной серии". Но время не стоит на месте и технологии развивались; в отличие от нормативных документов по ИБ. Уже и "Радужной серии" практически не стало, а РД ФСТЭК продолжали существовать (их, кстати, до сих пор не вывели из действия). Не одно поколение специалистов по ИБ выросло на этих документах. Ни о каком жизненном цикле нормативных документов никто и не думал. Это только сейчас ФСТЭК приходит к идее двухлетнего цикла обновления своей нормативной базы. Для старой такое просто невозможно себе было представить. Мы к ней привыкли! Женя Родыгин даже высказал мысль, что нынешние требования ФСТЭК к конфиденциалке жестче, чем требования к гостайне. Мотивация проста - 17-й приказ содержит мер гораздо больше, чем требования к АС 1В.

Повторюсь еще раз. Основная проблема, которую отмечают те немногочисленные эксперты, которые удосужились посмотреть последние проекты и уже принятые приказы ФСТЭК, множественность требований, которые сложно и непонятны целевой аудитории. В качестве примера "как правильно" идут ссылки на документы SANS и австралийского Министерства Обороны. Первый - это "20 критических мер ИБ", описывающий  20 понятных мер защиты, второй "Стратегии для отражения целенаправленных атак", описывающий 35 мер.

Оба регулярно обновляются. Оба содержат вполне конкретные меры защиты. Оба просты и помешаются на один лист формата А4. Оба позволяют "закрыть" до 80% всех возможных проблем с ИБ. Идеальные примеры того, как могут быть написаны документы такого уровня, по мнению многих экспертов. Я не буду с этим спорить - документы действительно неплохи. Только мы забываем про одну вещь. Чтобы составить такие документы, нужна статистика эффективности применения защитных мер. Ведь эти 20 или 35 мер появились не на пустом месте. Первоначальные списки содержали гораздо больше возможных защитных мер (достаточно посмотреть на NIST SP800-53, чтобы понять масштаб такого первоначального списка). Потом, путем опросов, из нескольких сотен мер были выбраны ключевые. Иными словами, и американцы и австралийцы решили применить Правило Парето, о котором я писал 6 лет назад.

Это идеальный, на мой взгляд, вариант, когда есть список из конкретных защитных мер (5, 10, 20, 35), которые реально снижают риски на 80%. Но на пустом месте он не появляется. "Писать проще", как советует Ригель, хорошо, но мало. Это на американской или австралийской почве такой подход дает благодатные всходы. У нас, в условиях долгого применения техники и рецептов времен Перестройки, все давно заросло бурьяном. Нужны новые семена и новые подобные инструкции, как их сажать. А вот когда этот опыт даст свои первые плоды, тогда можно говорить и о составлении кратких "карт", аккумулирующих мудрость десятков многостраничных фолиантов.

Но придем мы к этому не сразу (если придем, конечно). ФСТЭКу нужно сделать еще несколько шагов в этом направлении. Помимо приглашения целевой аудитории в разработке проектов документов с требованиями по защите, необходимо опрашивать эту же аудитории о том, что получилось. Насколько хорошо написаны документы, что в них хорошо, а что плохо, что можно улучшить, а что стоит убрать. Я про это уже писал вкратце, но вновь повторюсь. Как мне кажется (если я не выдаю желаемое за действительное), ФСТЭК сейчас к этому плавно и подходит. Он начал диалог с экспертным сообществом. Это первый шаг и он очень важный. ФСТЭК через полторы недели проводит свою конференцию "Актуальные вопросы защиты информации", на которой хочет устроить диалог с аудиторией, хочет понять ее чаяния и донести свою позицию. И это тоже важно. Через годик можно уже будет организовать сбор мнений с госорганов, муниципалов и коммерческих операторов ПДн по поводу применимости 17-го и 21-го приказов. Вот тогда жизненный цикл действительно будет полностью замкнутым и адекватным.

ЗЫ. К слову сказать, так часто приводимый NIST (я на него тоже регулярно ссылаюсь) поступает аналогично. Любой новый документ сначала разрабатывается внутри, потом к его обсуждению приглашается узкая группа экспертов, а потом уже документ выкладывается на всеобщее обсуждение и все предложения принимаются по e-mail. По e-mail принимают идеи и по совершенствованию нормативной базы.

8 коммент.:

Евгений Родыгин комментирует...

Я не считаю формат 21 и 17 приказов излишне сложным для восприятия...
Наоборот это компромисс по отношению к "общим критериям".
Вполне вероятно в следующем цикле документ поправится с опытом применения и появятся так называемые "зависимости" между техмерами и их компонентами. Появится возможность создать автоматизированные средства построения минимально достаточного набора мер и т.п.

Алексей Лукацкий комментирует...

Женя, ты просто в "теме". А вот Ригелю было сложно :-)

Евгений Родыгин комментирует...

Сейчас по 17 приказу другая сложность восприятия. Продиктованная его АС-ностью... Точнее ИС-сностью. Дело в том, что оценка соответствия конкретного средства защиты требованиям 17 приказа затруднена интерпретациями...
Помните тему "... изделие соответствует ТУ и может применяться в ИС до класса К1 включительно при выполнении ограничений в ТУ..."
Так вот проблема осталась. Если средство не выполняет какую то меру защиты из 17 приказа, но выполняет хотя бы одну - то проблема "как использовать в ИС К1" это проблема - архитектора целевой системы а не системы сертификации...
Тут нужно что то определенное - нужна ясность...

ZZubra комментирует...

Столько у меня возражений по поводу поста появилось )))) прям жуть ))))

Некоторые:
1.
>>Повторюсь еще раз. Основная проблема, которую отмечают те немногочисленные эксперты, которые удосужились посмотреть последние проекты и уже принятые приказы ФСТЭК, множественность требований, которые сложно и непонятны целевой аудитории

Хех. А кто эта "целевая аудитория"? )))) Сложно или классно для кого?
Мой жизненный опыт подсказывает, что 20-35 правил появились не от хорошей жизни. Просто реально выполнить все требования в условиях форсмажорного изменения законодательства РФ (США, Австралии и т.д.) может очень узкий круг лиц (интеграторы и богатые госы). А вот для остальных эти самые "ну хоть эти 20 пунктов попробуйте выполнить!!!"
Алексей явно говорит о целевой аудитории представленной некоторыми опытными спецами, а Евгений о приходящих админах в районных больничках, админах комитетов занятости, водоканалов, ЖКХ и т.п. Последние и от 20 правил-требований взвоют и выполнят 2-3 первых и уж точно не приедут на конференцию. А спрос с них. И их на порядки больше, чем тех, кто имеет своего/приходящего эксперта и БЮДЖЕТ на защиту. Как то так.

2.
К 20-35 правилам мы не придем ))))) это противоречит парадигме всёзаинструктированности и безынициативности исполнителей. Наша бюрократическая машина в принципе не способна на такой сбой. А о изменении системы говорить бессмысленно и не правильно. Революции народу не нужны.

3.
На мой взгляд, кроме изменяющихся требований, когда тот кто не выполнил 58 тыкает пальцем в того, кто выполнил и гогочет, что тот бабло спустил, а теперь переделывать надо будет, а он подождал и в шоколаде, И ЕЩЕ ПОДОЖДЕТ, ВСЕ РАВНО ОТМЕНЯТ через год (не раз слышал от руководителей частных и государственных организаций), есть системная причина бессмысленности сложных конструкций НПА .
Причина в инертности исполнителей на местах - для инициаторов в Москве переход от централизации к децентрализации полномочий занимает ну пусть 5 лет: они дали полномочия на места, а там ничего не делают; через пять лет говорят "хорош", щас все спустим сверху и забирают полномочия. А на местах только поколение исполнителей начало появляться, не испорченных предыдущей централизацией; оно естественно не успевает навести порядок, а старики, которые говорили "сиди - щас отменят" оказываются правы. В центре начинают не справляться с объемом, разноплановостью, противоречивостью и сложностью систем на местах и поднимают вопрос о децентрализации году к 5-му, когда и у них поколение сдвигается.
Так на волнах и скачем, на стоячих волнах. В одном и том же месте ((((
Как порвать этот круг - каждый предложит и все будет правильно, но потребует "государственной политики, централизации и финансирования", а дальше, ну Вы поняли...

ZZubra комментирует...

4.
Экспертное сообщество - это либо работники крупных компаний, работающих для крупных компаний-заказчиков, либо крупные организации, имеющие свои серьезные управления безопасности. А где представитель, а лучше директор аптеки, больницы, управляющей компании ЖКХ? Явно кто-то должен сформировать экспертное сообщество не по территориальному признаку (Из Москвы-не из Москвы или Газпрм-не Газпром или ОПСОС-не ОПСОС), а по признаку массовости (количества) организаций в той или иной нише экономики. Например: каждый регион должен быть представлен как минимум одним представителем органа исполнительной власти, одна законодательной власти, одним представителем судебной власти, одним представителем ))) коммерческой торговли, одним представителем интегратора. Количество представителей от региона может примерно соответствовать процентному соотношению соответствующих названных организаций в субъекте. А максимальное количество по отношению к общему количеству.
Ой. парламент получился... А КАК ИНАЧЕ ТО??? Иная схема будет ПЕРЕКОШЕНА и не будет учитывать ни особенностей региона, ни массовых возможностей/способностей организаций.
Есть конечно и иные пути сбалансировать систему формирования документов/требований. Но они все больше органистические и все дальше стоят от бюрократических принципов. Ну или все равно превращаются в еще один ОГУП, руководителем которого явно не поставят того, кто что-то делает не так (а нужно делать именно "не так", т.к. "так" уже не помогает). Или денег ОГУПу не дадут! :)

5.
Конференция. Всего 4 часа. 3 обширнейших темы. Только аргументы и предложения по каждой из них УСТНО можно приводить часами. Явно формат не тот.
Предложение: ЗАРАНЕЕ (несколько месяцев) объявить о конференции и темах, собрать с желающих рефераты и разослать изъявившим желание присутствовать (выложить на сайте или рассылкой). Отобрать интересные предложения и мысли или системные подходы. А вот их при необходимости и обсудить. Можно даже требования к работам предъявить, чтобы не писали о кораблях бороздящих. А так МОЖЕТ получИться, что 4 часа уйдут на вступления и стенания как все плохо.
Вообще, хорошо бы определиться с генеральной целью такого рода мероприятия: выполнить указание о проведении, услышать иную точку зрения, утвердиться, что все согласны и выбранный путь правильный.

6.
Я, как находящийся немного в теме защиты информации, считаю, что 17/21+Состав - это офигенные в общем то документы. Это кафедрам КЗИСов всяких готовый учебник. Этому учить-не переучить. Задел для развития области ЗИ и науки о ЗИ.
Но вот создан он был, чисто так по стороннему взгляду, для того, чтобы заткнуть рот больше всего кричащим. И они замолчали, когда их удовлетворил результат - и банки и ОПСОСы в своих сложных системах теперь легко все могут выполнить - все равно фиг у них кто со стороны разберется после применения таких сложных документов. Вряд ли проверяющий возьмет на себя ответственность лезть в АБС Сбера или биллинг МТСа, а уж спорить об экспертном мнении актуальности угрозы в них - это сам дьявол откажется )))).
А вот тех, кто не кричал, потому что возможности не было - тех и не услышали. А это очччень плохо :_(

ЗЫ Прошу прощения за объем. В оправдание скажу, что это компенсация за "давно не писал" )))))
ЗЗЫ ВСЕ НАПИСАННОЕ НА 200% МОЁ ЛИЧНОЕ МНЕНИЕ!!!

Алексей Лукацкий комментирует...

Все меняется. Посмотрим

AntiNIK комментирует...

Все в чем-то правы. Выход 21-го и 17-го приказы это не то, что шаг, это прыжок от 58! Мало того, что были переработаны и подробно расписаны подсистемы, так еще и конфиденциалку учли. Действительно, некоторые из требований вызвали много вопросов, но к этому не привыкать: двойственность, тройственность (и т.д.) трактовок стала нормой, к сожалению. Но когда вышли методические рекомендации, расшифровывающие эти требования... Удивили. Да, документ получился объемный, да, иногда труден для восприятия, но это материал, с которым можно и нужно работать.
Что касается понимания "неспециалистами" - было бы желание понять и разобраться! В век Интернета и доступности огромного количества информационных ресурсов, тематических форумов, сообществ, можно получить ответы на интересующие вопросы. Здесь, скорее, проблема в том, кому приходится разбираться. Но это уже другая тема.

Алексей Лукацкий комментирует...

Вот дойдут руки у СовБеза выпустить "Основы госполитики в области культуры ИБ", тогда и с теми, кому придется разбираться, будет полегче