23.11.2016

Почему "мониторинг ИБ" - это не сертификация и почему SOCам все-таки нужна лицензия ФСТЭК?!

Вообще, сегодня тут должна была быть очередная заметка про SOC Forum 2.0, а точнее рассказ про новости регуляторики. Но в мои планы вмешался Андрей Прозоров, опубликовавший его видение ПП-541 применительно к термину "мониторинг ИБ". Согласно его позиции, мое мнение о том, что на деятельность SOC нужна лицензия, не такое уж очевидное и ФСТЭК под мониторингом вероятно понимает "сертификационные испытания" как форму "оценки соответствия требованиям по безопасности", о которой говорит ПП-541. При этом Андрей допускает и вторую трактовку (о которой писал я), но ставит ее на второе место, попутно жалуясь на отсутствие мнения регулятора. Попробую вступить в заочную полемику с Андреем :-) чтобы разъяснить свою позицию со ссылкой на официальные источники, которые я специально не стал приводить в предыдущей заметке.



Итак, почему я не считаю, что "мониторинг" и "сертификационные испытания" - это одно и тоже. На то есть несколько причин. Первая кроется в законодательстве, которое предшествовало принятию ПП-541. Хоть у нас часто и ругают законодателей в том, что их работа хаотични и не поддается логике, ФСТЭК в последнее время старается не допускать явных ляпов в этой сфере и следует легко прослеживаемой в ретроспективе концепции. Итак, в ноябре 2014-го года было принято Постановление Правительства №1149 с очень длинным и непростым названием - "Об аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по оценке (подтверждению) соответствия в отношении оборонной продукции (работ, услуг), поставляемой по государственному оборонному заказу, продукции (работ, услуг), используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа, и продукции (работ, услуг), сведения о которой составляют государственную тайну, а также о внесении изменений в некоторые акты Правительства Российской Федерации в части оценки соответствия указанной продукции (работ, услуг)". В его исполнении ФСТЭК 10 апреля 2015-го года выпустила 33-й приказ "Об утверждении Правил выполнения отдельных работ по аккредитации органов по сертификации и испытательных лабораторий, выполняющих работы по оценке (подтверждению) соответствия в отношении продукции (работ, услуг), используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа, и продукции (работ, услуг), сведения о которой составляют государственную тайну, в установленной ФСТЭК России сфере деятельности", в котором определяется, что органы по сертификации и испытательные лаборатории, занимающиеся сертификацией, подлежат аккредитации в ФСТЭК. Именно аккредитации, а не лицензированию. Поэтому необходимость лицензировать эту деятельность отпала - чужой все равно не выйдет на поляну сертификации, так как не пройдет фильтры ФСТЭК. И именно поэтому из ПП-541 ушел пункт про сертификационные испытания, который и был заменен на пункт про мониторинг.

Пойдем дальше и посмотрим, нет ли у нас где-нибудь какого-нибудь официального (это важно) мнения регулятора? Видимо Андрея не устроило то, что Дмитрий Шевцов из ФСТЭК на пленарной сессии SOC Forum сказал, что SOCам будет нужна лицензия, и ему нужно что-то более солидное. Вот оно. Это комментарии ФСТЭК на портале regulation.gov.ru на замечания к еще тогда проекту ПП-541. Если тезисно, то там написано следующее:
  • Усиление требований к лицензиатам - это требование из перечня поручений Президента Российской Федерации от 21 октября 2015 г. № Пр-2172 по вопросу совершенствования защиты информации. То есть ни о какой либерализации и речи не идет, и никто и не планировал убирать лицензию для сертификаторов; как и оставлять компании, оказывающие услуги по ИБ, без внимания со стороны регулятора.
  • Требования к лицензиатам повышаются. Это к вопросу о том, где взять квалифицированный персонал для мониторинга и откуда у небольшой фирмочки, занимающейся пентестами, свое помещение (или в долгосрочной аренде).
  • Из проекта постановления исключено требование о наличии системы менеджмента информационной безопасности в связи с неурегулированностью вопроса о соответствии системы менеджмента информационной безопасности требованиям национальных стандартов. Это дословная фраза от представителя ФСТЭК. Видимо, сначала урегулируют, а потом узаконят требование оценки соответствия ISO 27001 :-)
А вот дальше я позволю привести себе фрагмент ответа ФСТЭК про SOCи (центры мониторинга ИБ) целиком: "В соответствии с Требованиями о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденными приказом ФСТЭК России от 11 февраля 2013 г. № 17 (далее – Приказ № 17), аттестованные информационные системы подлежат защите не только при создании, но и в ходе их эксплуатации. В ходе эксплуатации проводится контроль (мониторинг) за обеспечением уровня защищенности информации, содержащейся в государственной информационной системе, выявление инцидентов и реагирование на них. Для реализации указанных требований операторам государственных информационных систем необходимо иметь силы и средства, включающие подготовленных специалистов в области защиты информации, а также наличие специальных средств защиты информации: средств управления информационной безопасностью и управления событиями безопасности; систем обнаружения вторжений; сканеров безопасности. Приобретение и эксплуатация указанных средств влечет значительные финансовые затраты. Учитывая тенденции к сокращению подразделений по защите информации в органах государственной власти, являющихся операторами государственных информационных систем, в настоящее время указанные операторы реализуют выполнение требований Приказа № 17 путем привлечения на договорной основе (аутсорсинга) коммерческих организаций, обеспечивающих создание для органов государственной власти центров мониторинга информационной безопасности. Задачи этих центров состоят в информационном мониторинге государственных информационных систем и выдаче рекомендаций органам государственной власти по предупреждению и реагированию на инциденты информационной безопасности. Качество таких услуг оказывает непосредственное влияние на уровень защищенности информации в государственных информационных системах, требования к которым установлены в соответствии с Федеральным законом от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации». Оказание услуг по мониторингу информационной безопасности целесообразно включить в качестве вида работ, подлежащих лицензированию в рамках деятельности по технической защите конфиденциальной информации".

На этом считаю для себя вопрос о необходимости получения лицензии ФСТЭК аутсорсинговым SOCам закрытым, ибо это позиция регулятора была им официально озвучена и на самом SOC Forum и за год до него, еще во время подготовки Постановления Правительства.

1 коммент.:

Георгий комментирует...

Правки в 79 ПП вступили в силу, теперь лицензиатам нужно заняться переоформлением лицензии, как минимум формально лицензируемые виды деятельности перефразированы, плюс добавились новые виды деятельности и изменились требования к самим лицензиатам в части штата сотрудников.