03.02.2017

ФСТЭК установила требования к SOCам и пентестерами. Нет слов :-(

ФСТЭК выложила у себя на сайте перечень контрольно-измерительного и испытательного оборудования, средств контроля защищенности, необходимых для выполнения работ и оказания услуг, установленных Положением о лицензировании деятельности по технической защите конфиденциальной информации, утвержденным постановлением Правительства Российской Федерации от 3 февраля 2012 г. №79, который расширен за счет новых видов деятельности по ТЗКИ, включая пентесты и мониторинг ИБ (то есть SOC).

Чтобы мне хотелось отметить и на что обратить внимание:
  1. Теперь я не понимаю, куда относятся пентесты. Я считал, что это контроль защищенности информации от несанкционированного доступа. Но последние поправки в 17-й приказ отнесли пентесты к одному из виду аттестационных испытаний, что коренным образом меняет требования к тем, кто занимается таким видом деятельности (в сторону усиления требований). По утвержденному перечню это минимум пункт "г.1", а в случае применения Red Team - "г.2" или "г.3". Вперед, к получению селективных вольтметров, вибродатчиков, осциллографов и рефлектометров. Хорошо, если это будет просто пункт "б", но упоминание в пп.18-22 пункта "г.1" говорит, что пентест может вполне рассматриваться одним из видов аттестаций со всеми вытекающими отсюда последствиями, упомянутыми выше.
  2. От SOC зачем-то требуется наличие сертифицированных WAF, МСЭ, антивируса и IDS. Сертификат не ниже 4-го класса, то есть максимально возможный не для гостайны. Честно говоря я не понимаю этого требования. Зачем SOCу эти средства защиты? Для предоставления услуг? Ну так обычно SOC мониторит средства защиты заказчика. Для собственной защиты? И в этом случае это странный набор. 
  3. SOCу требуется обязательно "песочница" и платформа Threat Intelligence. Требований к ним пока нет и по каким критериям орган лицензирования будет оценивать выполнение этого требования не совсем понятно. Стоит учесть, что в России число своих песочниц можно пересчитать по пальцам одной руки и они рынку практически неизвестны, а уж опыта работы с ними нет ни у кого. По моему опыту почти все отечественные SOC используют "песочницы" зарубежные, а это в свою очередь заставляет задуматься над соотнесением новых требований с требованиями о локализации техсредств ГИС и ПДн россиян на территории России.
  4. SIEM должна быть и должна иметь сертификат ФСТЭК. Требований пока еще нет, но ТУ никто не отменял. Но НДВ4 вынь да положь. А вы много помните таких SIEM? Я вот в последнем списке сертифицированных СрЗИ ФСТЭК нашел только ArcSight  и все. Даже "КОМРАД"а там нет. Предоставит ли тот же Splunk свои исходники - большой вопрос. И о какой конкуренции тут может идти речь? Скорее о ее искусственном ограничении.
  5. Каналы передачи данных от SOC до контролируемой системы должны быть защищены средствами шифрования, имеющими сертификат ФСБ. Требование вполне реализуемое, но денег потребуется дофига. Особенно в тех случаях, когда у разных заказчиков SOC разные VPN-решения используются - SOCу тогда придется строить шлюз из стека шифраторов разных производителей. Либо заставить всех заказчиков ставить на связь с SOC одно и тоже VPN-решение. Второй вариант менее вероятен, а первый сложен с практической точки зрения (да и с финансовой). Например, многие организации не используют сертифицированные в ФСБ СКЗИ. И как им быть, если они хотят подключиться к SOC? Покупать еще и VPN?
  6. Информационная система SOC не только должна располагаться по адресу, указанному в лицензии (что сильно осложняет жизнь компаниям, использующим концепцию виртуальных SOCов), но и выполнять требования к ГИС 1-го класса. Это еще одно требование, которое непонятно зачем установлено. С одной стороны, если мы мониторим ГИС 1-го класса, то в SOC может попадать информация соответствующего уровня и SOC должен быть того же уровня защищенности. Но что делать, если SOC хочет мониторить только ГИС 2-го класса? Или ИСПДн 3-го класса? Или вообще не планирует мониторить классифицированные ИС? Зачем тогда выполнять требования, максимально возможные в современной России? А тут еще и непонятная ситуация с аттестацией SOC. Если он должен выполнять требования к ГИС, то может быть нужна и аттестация? Или SOC, не являющийся ГИС, не должен получать аттестат? Одни вопросы.
Коллеги пишут, что требования адекватные и были согласованы со всеми основными поставщиками услуг SOC в России во время совещания в ФСТЭК. Ну что сказать? Либо поставщики согласились со всем, не вдумываясь, либо надеются все это выполнить, либо... А фиг его знает. Я не знаю, как можно было соглашаться на такое?..

ЗЫ. Про западных поставщиков услуг SOC, которые в России уже предоставляют свои услуги, видимо все забыли (возможно, сознательно). Но выполнить указанные требования они будут не в состоянии, что закроет им еще и этот сегмент рынка.

12 коммент.:

Антон Марков комментирует...

Очень просто согласились, любые требования к SOC это потенциальные сложности для выхода на этот рынок новых игроков, а существующие SOCи рано или поздно все эти требования реализуют и будут еще лоббировать ужесточение требований...

Tomas комментирует...

песочница TDS Polygon, MaxPatrol SIEM\PT WAF... Думаю, что не только в том совещании SOCи участвовали...

Andrey Prozorov комментирует...

С SOCами обсудили... Но приняли свое решение

Алексей Лукацкий комментирует...

Антон: проблема как раз не в том, что SOCи это выполнят, а в том, что не все клиенты на это пойдут. Вот на кой мне ставить Континент или VipNet для взаимодействия с SOC? Эти СКЗИ мне дадут какой-то новый уровень защищенности? Или иные удобства появятся?

Tomas: я и писал про них. Но мало у кого есть опыт работы с ними. Массовыми эти решения не назовешь.

Andrey: но требования "адекватные". Да, я уже твое объяснение в ФБ увидел :-(

Tomas комментирует...

Алексей, это я так понимаю, запоздалая реакция ФСТЭК на политику импортозамещения. Таким образом отсекут Symantec, HP, IBM и т.д. и останется только "родное", пока что не массовое.
Здесь дело даже не в удобстве (ViPNet/Континент), а то, что стоимость для Заказчика услуг SOC возрастет. А значит меньше Заказчиков SOC будут свои логи отдавать, дорого!

А я вот еще на SOC-форуме слышал (и не прочитал про это у вас в заметке) как раз из уст Solar обращение к ФСТЭК, чтобы выработали требования для SOCов. Как раз Дмитрий Николаевич и говорил тогда, мол ну вы же понимаете, все надо будет сертифицированное... А представители SOCов сказали что это не проблема и готовы будут аттестоваться. Сами просили - получите! Вот поэтому, Алексей, "адекватные" :(

Алексей Лукацкий комментирует...

Не, не похоже. Можно было поступить проще и во все приказы просто включить требования к НДВ. Скорее просто ФСТЭК не подумала. Они привыкли рассматривать только госов, как своих подопечных, но данный документ касается всех лицензиатов, которые с госами может быть и вовсем не будут иметь дела. Не доглядели :-(

Игорь А. Михеев комментирует...

А вы думаете, что госсектору в регионах
это будет легко выполнить? Бюджет регионов не резиновый...

Tomas комментирует...

Алексей, если ГИС К1, то НДВ-4 и так нужно... (см. 17 Приказ).

Sergey Alexandrovich M комментирует...

Алексей, плохо смотрели, сертификат № 3498 от 13.01.2016 на KOMRAD Enterprise SIEM - по 4 уровню РД НДВ и ТУ

Алексей Лукацкий комментирует...

Ааа, вот в чем ошибка. Я искал "КОМРАД", а не "KOMRAD". Значит два продукта

Сергей Ермолаев комментирует...

Интересный момент. Многие из перечисляемых типов средств не являются универсальными, т. е. поддерживают работу только с определенными видами объектов (компонентов защищаемой системы). Это означает, что если у SOС нет средства, поддерживаемого какой-то из видов объектов, то он не имеет права на работы в этой части? Или достаточно иметь любое средство требуемого типа (независимо от состава поддерживаемого им видов объектов) чтобы осуществлять соответствующие работы в части произвольных объектов? Но в таком случае получается, что работы в части объектов будут проводиться без использования соответствующих средств (в виду отсутствия их поддержки). В чем тогда вообще смысл обязательности наличия таких средств? Только "для галочки"?
Пример:
SOC имеет сертифицированные средства по п.18 или 21, поддерживающие работу только с ОС Windows. Означает ли это, что он не имеет права проводит работы по проектированию АСЗИ с архитектурой на базе ОС Solaris? Ведь в данном случае имеющиеся из Перечня средства SOC использовать не может. Если же он может проводить соответствующие работы, то зачем ему вообще эти средства? Ведь и для Windows-систем он может вполне обойтись без них.
У кого какие мысли и есть ли информация о мнении ФСТЭК на эту тему?

Алексей Лукацкий комментирует...

Это лучше во ФСТЭК спрашивать ;-)