20.06.2016

17-й приказ на радаре

Если вспомнить дебаты в 2013-м году относительно 17-го, да и 21-го, приказа ФСТЭК, то основной претензией к нему была сложность документа, которая станет/стала препятствием для внедрения новых требований ФСТЭК в государственных и муниципальных структурах. Решить эту проблему можно было бы уменьшением числа защитных мероприятий и упрощением алгоритма выбора защитных мер, а то и вовсе вернуться к всем привычному, но неадекватному реалиям СТР-К. Но понятно, что это не вариант, особенно в условиях роста атак на государственные ресурсы.

Вторым путем решения проблемы является упрощение процесса внедрения. И хотя я по-прежнему склоняюсь к тому, что 17-й приказ - отличный документ с точки зрения набора защитных мер и свободы выбора защитных мер, я признаю, что этому документу регулятора не хватает "обвязки", которая бы позволила не только быстрее и проще внедрять требования приказа в реальную жизнь, но и установила бы единый механизм самооценки соответствия. Ведь сегодня кроме аттестации, то есть внешнего аудита, никаких иных вариантов у организации проверить себя, нет. Вот и приходится ждать аттестаторов, которые могут (а если они представители старой школы, то и имеют) свой взгляд на то, что написано в 17-м приказе.

Самооценка же позволяет проводить свою оценку в любой момент времени, намечать пути улучшения, сравнивать себя с прошлыми значениями, оценивать разрыв между текущим и желаемым уровнем защищенности информационных систем и, даже, проводить сравнения с другими подразделениями или филиалами, внося соревновательный дух в процесс выполнения требований по защите информации. А если к достижению определенного уровня привязать еще и систему мотивации сотрудников, то 17-й приказ из скучного чтива превратится в полезный инструмент повышения уровня защищенности государства.

Однако, ничего сложного в решении этой задачи нет. Можно взять и применить обычную радарную (она лепестковая) диаграмму, в качестве лепестков которой взять блоки защитных мер из 17-го (а также 21-го или 31-го) приказа. Если все защитные меры выполнены, то диаграмма будет выглядеть следующим образом.


Это идеальный и недостижимый уровень оценки соответствия. Мы прекрасно понимаем, что в реальности такого не бывает и не будет никогда. Более того, когда после долгих лет выполнения СТР-К я открываю 17-й приказ, то я понимаю, что на пути достижения задачи его реализации, меня ждет еще немало препятствий. И чтобы понять, на какие направления мне бросить свои усилия, я должен оценить свой текущий уровень выполнения 17-го приказа. У одного из заказчиков у меня получилась вот такая "птица". По СТР-Кшным направлениям все было более или менее неплохо, а вот по остальным блокам защитных мер, "новых" для СТР-К и для государственного органа, ситуация была далека от идеальной.


Это хорошая стартовая точка для выстраивания процесса улучшения системы защиты до, как минимум, базового, а может быть и до адаптированного и улучшенного уровня защищенности, который определяется в процессе установления целей системы защиты на краткосрочную, среднесрочную и, возможно, долгосрочную перспективу. Например, у того же заказчика, был выбран следующий уровень защищенности к концу 2016-го года (отмечен оранжевым). Для удобства на радарной диаграмме показано сравнение с текущим уровнем и понятно, на какие направления надо бросить свои усилия и какие защитные блоки нужно реализовывать.


Скоро должна быть выпущена новая редакция 17-го приказа, в которой добавятся 9 новых блоков защитных мер и будет уделено большое внимание вопросу непрерывного совершенствования уровня безопасности за счет постоянного анализа защищенности и поиска/устранения найденных уязвимостей. Пока ФСТЭК не планировала менять подходы к оценке соответствия и добавлять к аттестации еще и самооценку. Однако, даже если регулятор и не обратит внимания на эту возможность (а она будет полезной тем, для кого выполнение 17-го приказа - это не "галочное" мероприятие), то никто не мешает сделать это самостоятельно. Запретов на это нет, а для распределенных организаций такой инструмент будет очень полезным, но про это в следующей заметке.

12 коммент.:

155 комментирует...

числа от 0 до 5, - по какому алгоритму присваивается соответствие числа и выбранной защитной меры?

Николай Гатыжский комментирует...

155:
экспертным, сугубо субъективно
но для продажи работы ИБэшника руководителю - очень даже хорошо сойдет...

Алексей Лукацкий комментирует...

А это должно быть темой следующей заметки ;-)

Роман Кобцев комментирует...

Весьма удобный подход к визуализации. На мой взгляд, гораздо наглядней, чем таблицу "светофорить"...

ECM Discovery комментирует...

Числа от 0 до 5 - это классическая можель зрелости. Интересно будет почитать обещанную следующую заметку, если Алексей действительно опишет эту модель

Tomas комментирует...

Алексей, 17 Приказ про ГИС. Если она, например, 2 класса, то все меры должны быть выполнены сейчас, а не составлен план их реализации на 3 года вперед (как дозволено в СУИБ по ISO/IEC 27001). А начальнику лепесток показать можно, но если в бюджете нет денег, то рисуй не рисуй, все равно получишь ... замечания от ФСТЭК, с периодом устранения в месяца 3.

Алексей Лукацкий комментирует...

Tomas: помимо базового набора есть еще и адаптированный, который может потребоваться для усиления защитных мер и их расширения. Для этого данный метод и применим.

Что касается денег, то тут мне нечего возразить. С помощью радара можно только текущий уровень оценить и все.

Сергей Городилов комментирует...

Алексей, ну если пошла речь про рекорды (идеальный уровень мероприятий), то давайте огласим их? Или они субъективны? Ведь есть же методичка к 17-му приказу! Формально можно помочь людям, например вести подоценки: 1) Техническая 2) Сертификационная 3) Документационная 4) Компетентностная. Ну вот, веса подоценкам проставит каждый сам.

Что касается самооценки - интересная вещь. Как-то мы с заказчиком предъявили самооценку роскомнадзору. Нужно же оценивать эффективность и соответствие по ФЗ-152!!! Правда по организационно-правовой части. И они сразу спросили нас: "Это что, Вы за нас нашу работу сделали?". Оказывается надзору самооценка не нужна, т.к. он ищет несоответствия. Раз в 3 года - интервал не для оценки развития, а поиска несоответствий. Потому надзор такие документы похоже и не спрашивает. Странная политика, но вот так.

Алексей Лукацкий комментирует...

А я и написал, что самооценка пока нужна только для себя, а не для регулятора

Unknown комментирует...
Этот комментарий был удален автором.
Алексей Мамин комментирует...

А что вы думаете на счет сертификации ОС, для каких организаций ее необходимо выполнять? Для гос структур? Как я понял если используется ОС win, то сертификата на отсутствие НДВ нам не видать, а если это так то получается большинство ИСПДн будут УЗ1/2. А отталкиваясь от информационного сообщения по вопросам защиты информации и обеспечения безопасности персональных данных при их обработке в информационных системах в связи с изданием приказа
ФСТЭК России от 11 февраля 2013 г. № 17 пункта 2, получается что если определенный в установленном порядке уровень защищенности персональных данных выше, чем установленный класс защищенности государственной информационной системы, то осуществляется повышение класса защищенности. Т.е. все Гис должны быть К1/К2. А так как К4 аннулируется то как теперь сопоставлять при аттестации? Вот этот момент с НДВ очень интересен, но мало где обговаривается.
В ФСТЭК писать с данным вопросом думаю не имеет смысла, так как "одновременно сообщаем, что ФСТЭК России не наделена полномочиями по разъяснению Требований к защите персональных данных при их обработке в информационных системах персональных данных, утвержденных постановлением Правительства Российской Федерации от 1 ноября 2012 г. № 1119, в том числе в части определения типов угроз персональных данных и порядка определения уровней защищенности персональных данных".

Алексей Лукацкий комментирует...

Регулятору всегда имеет смысл писать. И требование по сертификации ОС пока нигде нет - вы можете на Вынь поставить навесные СЗИ с НДВ