30.05.2014

Свобода выбора защитных мер - это зло

После выхода приказа ФСТЭК №17 прошло уже больше года. Еще больше времени прошло с момента выхода 21-го приказа ФСТЭК по ПДн. Поделюсь только одним наблюдением, которое у меня сформировалось по результатам выступления на различных мероприятиях и после общения с целевой аудиторией, на которую распространяются эти приказы. Речь пойдет об алгоритме выбора защитных мер, а точнее о той свободе выбора, которая дается этим алгоритмом.

Ведь как было раньше, в СТР-К, в приказе №58 (а до него в четверокнижии по ПДн), в документах по КСИИ? Был жесткий набор требований, которые надо было выполнить в зависимости от класса автоматизированной системы. Жесткий. От и до. Шаг вправо, шаг влево были не предусмотрены. С одной стороны это вызывало нарекания по причине отсутствия гибкости в выборе защитных мер для различных объектов защиты. Очевидно же, что защитные меры для сервера, планшетного компьютера, ноутбука и смартфона будут различными. С другой стороны такая жесткость заставляла не думать, а просто делать то, что написано. Сказано, что нужно поставить антивирус и систему разграничения доступа, мобильные устройства запретить, а беспроводной доступ отключить, значит надо именно так и сделать. Все просто. К этой простоте все и привыкли. Шутка ли, эти неизменяемые списки требований в России приняты с 92-го года - больше 20-ти лет.

И вдруг ФСТЭК делает ход конем и дает своим подопечным свободу выбора. Критиковали за отсутствие свободы? Получайте. Хотели самостоятельно выбирать защитные меры? Вот вам, пожалуйста. Добивались возможности увязывать список защитных мер с технологией обработки данных, особенностями информационной системы и актуальными угрозами? Вперед, разрешаем.

И вот тут случился облом (я надеюсь временный). Отвыкли специалисты по защиты, нацеленные на выполнение нормативных документов ФСТЭК, от свободы принятия решения. Привыкли, что за них все решает регулятор. Но ладно бы потребители. Так и лицензиаты тоже отвыкли. Теперь же думать надо :-) Всем сторонам. Заказчик должен теперь самостоятельно определить актуальные для себя угрозы (раньше можно было к этому этапу подойти спустя рукава - список защитных мероприятий от угроз почти не зависел). А еще заказчик может сказать, что та или иная мера экономически нецелесообразна и защищаемая информация дешевле стоимости защитных мер. Мы настолько привыкли к прежнему подходу регулятора, что классический постулат "система защиты не должна стоить дороже защищаемой информации" нами воспринимался как нечто с другой планеты и неприменимое в России. Но сейчас ФСТЭК дала наконец-то возможность на практике реализовать эту аксиому. А заказчик боится. А вдруг я что-то не так сделаю? А вдруг я какую-то угрозу забуду включить в свою модель угроз? А вдруг регулятор не согласится с моим мнение о дороговизне средства защиты? А вдруг меня не аттестуют?

Органы по аттестации тоже не могут перестроиться на новые условия работы. Еще бы. Разработав типовые документы, можно было штамповать их направо и налево. А сейчас нет. Сейчас каждый заказчик уникален - у него своя модель угроз, своя информационная система, своя граница экономической целесообразности. В итоге система защиты на выходе тоже будет своя, уникальная, отличная от других. Это непривычно. Вот и происходят сплошь и рядом ситуации, когда заказчик поверив в добрую волю ФСТЭК сталкивается с неприятием со стороны лицензиата, или лицензиат, пытаясь предложить заказчику новый взгляд на систему защиты получает "это сложно, давайте по старинке".

А если вспомнить про компенсирующие меры, то ситуация становится и вовсе патовой. Раньше все было четко. Есть требование установки антивируса на объекте защиты?! Выполняй. А сейчас я могу посчитать, что это сделать либо нецелесообразно, либо дорого и попробовать заменить антивирус чем-то другим. Например, создав замкнутую программную среду с целью недопущения попадания чего-то постороннего и вредоносного. Или использовав технологию NAC (Network Admission Control), которая определяет наличие вредоносного кода при доступе к защищаемой сети. Или вовсе можно перенаправить весь входящий/исходящий трафик через корпоративный периметр и шлюз, который и будет проверять весь трафик на предмет вредоносности. Во всех этих случаях установка антивируса на компьютере или мобильном устройстве становится избыточной и ненужной. Но это приводит к увеличению числа степеней свободы. Если без компенсирующих мер у меня проблема только с изменяющимся числом защитных мер, то вводя компенсационные меры я сталкиваюсь не только с количественными изменениями системы защиты, но и качественными. Теперь заказчик должен обосновать замену одной меры другой, лицензиат должен с этим согласиться (и наоборот), а орган по аттестации подтвердить. Это ж какой взрыв мозга получается :-)

Буквально позавчера в Хабаровске на семинаре для органов исполнительной власти возникла именно такая ситуация. Например, один заказчик говорит, что ему проще выполнить СТР-К (для новой системы!) с его 26-тью требованиям и не напрягаться с гибкостью и свободой выбора 17-го приказа. В другом случае, заказчик хочет реализовать контроль целостности в виртуализированной среде с помощью компенсирующих мер, а орган по аттестации опасается, что у него местный ФСТЭК отзовет лицензию, если он такую замену согласует и выдаст аттестат.

Когда год назад предложенный ФСТЭК алгоритм выбора защитных мер только появился, я считал это замечательным достижением и подспорьем в деятельности многих специалистов по безопасности. Я и сейчас продолжаю так считать, но практика показывает, что не все готовы быстро перестраиваться под новые изменения. Кого-то устраивает прежняя ситуация. А учитывая отсутствие четкого ответа регулятора по поводу статуса СТР-К, неразберихи с термином "государственная информационная система" и продолжением существования РД на АС, 17-й приказ ФСТЭК внедряется не так быстро, как хотелось бы.

Решить эту задачу мог бы рост числа мероприятий, которое бы ФСТЭК проводило для своих территориальных управлений, где многие сотрудники живут по-прежнему в прошлом веке и не понимают нововведений в нормативную базу (или трактуют их по старому). И проведение регулярных мероприятий (особенно в формате вебинаров) для государственных и муниципальных учреждений тоже не помешало бы. Но самое главное - это проведение мероприятий для органов по аттестации и лицензиатов со стороны авторов 17-го приказа. Именно они должны начать повышение осведомленности на местах, а потом уже можно будет делегировать эту задачу территориальным управлениям ФСТЭК. Новые знания нужно проталкивать в массы - сами они не распространяются :-)

12 коммент.:

ZZubra комментирует...

Даже как то не удобно говорить фразу "я же говорил!"
Алексей, ничего не поменяется в ближайшие 10 лет как минимум. Не то у большинства народа образование чтобы делать гибко но сложно. Лимоны всегда побеждают персиков.

ZZubra комментирует...

Для тех кто ещё не знаком с теорией персикVSлимон пара ссылок:
http://amt-training.ru/content/articles/32261/
http://cartmendum.livejournal.com/11350.html

Вот неучет таких "законов" развития систем при добрых намерениях ведёт к полному бардаку. А технарей кои вдруг получили возможность писать НПА такому никто не учил... Начинаем собирать плоды. Как я говорил раньше маятник опять качнули в другую сторону. Как только появятся гибкие лицензиаты им (так как была полная неисполнительность и непонятка) опять спустя жёсткие требования. Надо дать людям привыкнуть быть свободными или несвободными, а этот фактор также не учитывается.

Александр Германович комментирует...

Алексей, Вы предлагаете народу бежать впереди паровоза. Может, оператор ГИС и рад бы выполнить требования приказа. Но обещанных методических документов (по разработке моделей угроз, по выявлению уязвимостей, и даже по аттестации ГИС и др) регулятор выпускать не спешит. А коли регулятор не спешит - исполнители тем более спешить не будут. Иначе сегодня напишеь модель угроз - а завтра высянится, что неправильно.
Так кто же виноват в пробуксовке выполнения требований приказа 17?

Michael комментирует...

Мне кажется, ключевое в данной ситуации: отсутствие специалистов по безопасности, готовых
- выявлять действительно актуальные угрозы
- ПРЕДЛАГАТЬ нестандартные решения и компенсационные меры
- Принимать решения и нести за это ответственность

Это касается не только заказчиков, но и интеграторов, которым платят за экспертизу (способность предложить что-то новое, эффективное). Лично я считаю, что немалые деньги отдаваемые интеграторам должны идти именно на выполнение перечисленного в пунктах выше.

Чтобы сделать по документу ФСТЭК интегратор не нужен - нужен просто образованный ИБшник.

Michael комментирует...

Кстати, крепостное право на Руси приблизительно с таким же результатом отменили :-)

Ronin комментирует...

Какое-то странное ворчание. В чем минусы? Были раньше четкие требования, по которым была куча вопросов и никто не мог ответить как же из реализовать их для той или иной конкретной ИС. Тогда был плач Ярославны как же жить с этим всем. Теперь дали возможность выбора, при этом возможность следовать также четким требованиям есть (не хочешь/не знаешь как адаптировать требования и МУ - не делай!), а есть возможность проявить себя для тех специалистов, которые не зря свой хлеб едят (не по шаблонам работаю) - снова плохо. И ведь для того же PCI DSS и требования реализуют не меньшие и обоснования делают и иногда даже оценку рисков пытаются делать осмысленную.
Может проблема реально в специалистах, которые хотят, чтоб за них все сделали, все объяснили и потом не спросили "почему так написано/сделано", если что-то пойдет не так? То есть никаких обязанностей и никакой ответственности. А если все еще и бесплатно, то вообще отлично! А то интеграторы и консультанты там же что-то могут сделать, но все равно после них сервер может заглючить, а Роскомнадзор оштрафовать.
Хотя, в целом и тут не придерешься вроде - в детских садах специалистов по ИБ нет, в госах, если и есть, то за такую зарплату (акую такую не известно, но популярная фраза) хороошие специалисты не пойдут. Так что, наверное, так и будет куча проблем и вздохов, пока регуляторы не напишут от и до, со всеми деталями и для всех видов информационных систем и используемых технологий, что нужно сделать, какое ПО установить, как его настроить и какие документы написать.

Евгений комментирует...

Так будет, пока ФСТЭК прямо не разрешит применять не сертифицированные средства.
Ибо чтобы ты там не намоделировал, потом ты утыкаешься в весьма ограниченный набор сертифицированных СЗИ и все, ты должен принять решение - берешь на себя риск трактовать отсутствие четкой позиции регулятора как разрешение использовать не "православные" СЗИ или не берешь.
И отпущение грехов со стороны известного эксперта по ИБ на "разные формы оценки соответствия" здесь проблему ответственности не решает.
Как-то так

Михаил Новокрещенов комментирует...

Всё это из притчи про 2 абсолютно одинаковых магазина, показывающих совершенно разную прибыльность. Кто-то трактует отсутствие четких правил игры как причину для бездействия, а кто-то как новые возможности для новых решений. Чем больше тормозят первые, тем лучше вторым )

Евгений Родыгин комментирует...

Я бы так сказал:
1. Использовать мозги нужно всегда. И при жестких ступенчатых требованиях и при гибких.
2. Соглашусь, применение мозгов в условиях рамочных требований позволялось но требовало много усилий. Но уж лучше применение мозгов в гибкой среде чем в рамочной.

Алексей Лукацкий комментирует...

2Александр Германович: мне интересно, откуда бытует мнение, что модель угроз, разработанная оператором ПДн/владельцем ИС, может быть признана неправильной? Согласно тому же ФЗ-152 и ПП-1119 за определение типов угроз и самих угроз отвечает сам оператор ПДн и никто не может (процедуры такой нет) сказать, что он не прав.

Александр Германович комментирует...

2 Алексей Лукацкий
В теории все так. А на практике орган по аттестации (правильнее сказать: "лицензиат") должен проверить правильность классификации ИС. Оператор определит класс К3, а лицензиат скажет "неправильно, у вас К2". И аттестует по более высокому классу.
То же и с моделями угроз. В ходе ознакомления с аттестуемой ИС выяснится, что не оценены угрозы "А", "Б", "В", и "Г". Или дополняйте, или не получите аттестат.

Вы скажете: можно поменять лицензиата. Можно. Но, не зная позиции регулятора, далеко не каждый лицензиат будет вешать на себя ответственность за чужую модель угроз.
А наличие методики хоть как-то унифицирует эту процедуру.

Алексей Лукацкий комментирует...

В этом и проблема. Подход, когда орган по аттестации диктует заказчику, как ему правильно классифицировать не совсем верен. За классификацию отвечает именно заказчик и за моделирование угроз тоже. Орган по аттестации обязан провести оценку соответствия того что есть тому что выбрал заказчик и ничего более.

А практика у нас порочна...