16.02.2015

Новости защиты ГИС или как Барак Обама нарушил бы 17-й приказ, если бы он был российским чиновником

12-го февраля, во время церемонии подписания своего указа об обмене информацией об угрозах информационной безопасности, Президент США признался, что долгое время в качестве своих паролей использовал "классические" - "password" и "123457" :-)

Нарушитель 17-го приказа ФСТЭК гражданин Барак Хуссейнович Обама
Будь Барак Обама российским чиновником, то он бы нарушил 17-й приказ ФСТЭК, а точнее требование ИАФ.4 "Управление средствами аутентификации", которое требует использования пароля не менее 8 символов длиной с мощностью алфавита в 70 символов.

17-й приказ сегодня является наиболее детально прописанным документом по безопасности госорганов (не вдаваясь в детали понятия "государственная информационная система"). Но и он не стоит на месте - в 2016-м году планируется утверждение его второй редакции, о чем было вывешено соответствующее информационное сообщение ФСТЭК 27-го января. Все желающие могут принять участие в его доработке, о чем также было еще раз упомянуто на прошедшей в четверг конференции ФСТЭК "Актуальные вопросы защиты информации" в рамках форуме "Технологии безопасности".


Но не 17-м приказом единым. В прошлом году, на конференции ФСТЭК, были озвучены планы по разработке новых документов, дополняющих и разъясняющих отдельные моменты 17-го приказа. Прошедший год, несмотря на скепсис отдельных коллег, прошел не впустую - ФСТЭК разработала проекты 4-х из 6 документов:

  • Порядок аттестации информационных систем
  • Порядок обновления программного обеспечения и информационной системы
  • Порядок выполнения и устранения уязвимостей в информационных системах
  • Защита информации в информационной системе при использовании мобильных устройств.
Разработка проектов оставшихся двух документов - по реагированию на инциденты и по защите беспроводного доступа - запланирована на второй квартал этого года.



Первая революция в ФСТЭК случилась в 2013-м году, когда на свет вышел 17-й приказ. Вторая должна произойти в этом году, с выходом нового порядка аттестации информационных систем, в которой упор будет делаться не только и не столько на чеклисты (как раньше), сколько на способность системы защиты противостоять реальным угрозам безопасности. По сути новый порядок аттестации является переходным шагом от "бумажной" безопасности к реальной.

На конференции Виталий Сергеевич Лютиков, начальник 2-го управления ФСТЭК, высказал мысль, что "новая" аттестация будет сродни аудиту. Правда, на вопрос из зала о том, что станется с имеющимися двумя ГОСТами, Виталий Сергеевич ответил, что они останутся действовать, так как не сильно пересекаются с новым порядком и является вводной к нему. Не знаю, тут надо будет посмотреть уже на практике, как будут соотноситься эти документы. Пока я (да и не только) скептически отношусь к этому выводу.

Кстати, остается открытым вопрос по квалификации аттестаторов. Согласно закрытому ГОСТу по аттестации - проводить ее для организаций, защищающих обычную конфиденциалку, может любой лицензиат ФСТЭК, а вот там, где есть гостайна, требуется отдельная аккредитация. В целом такое деление логично, но вот требований к первым пока нет и на практике может сложиться ситуация, когда ветераны аттестации будут по старинке проводить аттестацию информационных систем по чеклистам - без проведения аудита, поиска уязвимостей и контроля способности организации обеспечивать постоянный мониторинг ИБ. Ведь этому их никогда не учили. Так что тут я предвижу множество проблем в ближайшее время - аттестаторы будут перестраховываться и заниматься процессом "по старинке".


Второй документ, который был готов еще в прошлом году, стал порядок обновления ПО в информационных системах, включая и ПО средств защиты информации. Но что-то с его выходом затянули. Возможно, нашумевшее в прошлом году прекращение поддержки MS Windows XP (в т.ч. и сертифицированных версий), а также уязвимости Heartbleed и Shellshock (в т.ч. и в сертифицированных средствах защиты информации), повлияли на этот документ и в него вносили изменения, с которыми ФСТЭК столкнулась на практике.


Еще один документ, о котором говорили на конференции ФСТЭК, долгожданная методика моделирования угроз. Его все еще правят :-( Одно из ключевых отличий от проекта прошлого года - исключение из него АСУТПшной тематики - для нее будет готовиться отдельная методика моделирования угроз. В остальном документ уже находится на финальной стадии и до конца первого квартала должен быть выложен на сайт ФСТЭК. На вопрос из зала, что делать госорганам сейчас (в 17-м приказе же упоминается моделирование угроз), Виталий Сергеевич ответил, что пользоваться пока методичками 2008-го года по персданным.


В очередной раз из зала прозвучал вопрос о том, что же считать ГИСом. Тут Виталий Лютиков переложил ответственность на Минкомсвязь, который до сих не может разродиться четкими критериями или дать четкое разъяснение. ФСТЭК же не уполномочена трактовать этот термин, хотя неофициально они (да и не только они) считают, что любые системы, созданные на бюджетные средства, являются государственными и на них в полной мере распространяется 17-й приказ.

В 2016-м году будут менять СТР-К. Про этот момент сказано на конференции ФСТЭК было совсем мало и я не до конца понял, что будут менять и, зачем. Если только в части защиты технических каналов, то не вопрос - все логично. Но если новый СТР-К будет шире, чем просто технические каналы, то вопросов его соотнесения с 17-м приказом будет немало.

В следующих заметках я рассмотрю новости моделирования угроз и сертификации средств защиты.

1 коммент.:

Michael комментирует...

Название у публикации неудачное, чуть сразу в трэш не откинул :-)