25.04.2017

Государственно-частное партнерство на примере последнего документа ФСТЭК по SOC

Сегодня я должен был выступать в Гармиш-Партенкирхене на конференции по международной ИБ и рассказывать о возможных шагах по улучшению государственно-частного партнерства в области информационной безопасности на примере законопроекта "О безопасности критической информационной инфраструктуры". Но, увы, не сложилось. Визу получил только вчера и лететь было уже поздно.

Но сама тема внезапно получила продолжение после публикации в пятницу обновленного списка контрольно-измерительного оборудования, необходимого для получения лицензии ФСТЭК, в том числе и лицензии по мониторингу ИБ (SOC). Первоначальная версия этого документа не выдерживала никакой критики, что вызвало дискуссию в социальных сетях и... сподвигло ФСТЭК на беспрецедентный шаг - пригласить экспертов для обсуждения поправок в данный документ.

Предвидя закономерный вопрос, что надо было сразу делать нормально и тогда не потребовалось бы вносить изменения, отвечу. Первая версия документа писалась тоже экспертами, но работающими в отечественных компаниях, которые занимаются SOCами, что и обусловило некоторый перекос в требованиях. Я на первом заседании, на котором обсуждался этот перечень не присутствовал и не знаю, что и как там предлагалось. Но вот на последнее совещание меня позвали :-)

Общие замечания относительно этого перечня были следующими:
  • требование наличия некоторых средств защиты являются избыточными
  • требование наличия некоторых инструментов для SOC являются избыточными
  • требования по сертификации некоторых инструментов SOC являются избыточными
  • требования по аттестации на ГИС1 являются избыточными.

В итоге:
  • Средства контроля целостности были убраны из требований к лицензированию SOC.
  • Средства, предназначенные для пентестов, WAF, МСЭ, антивирус, IDS были удалены совсем, так как изначально было непонятно, для чего они нужны. Для защиты SOC или для мониторинга с помощью SOC?
  • Средства автоматизированного реагирования на инциденты объединили с другими инструментами.
  • Поменяли местами формулировки. Например, раньше мониторили средства и системы информатизации, а сейчас информационные системы; добавили термин "песочница", "системы" заменили на "средства" и т.д.
  • Сертификаты должны быть только у сканеров безопасности, SIEM и средств защиты каналов связи. Остальные решения могут обойтись формулярами, составляемыми разработчиками или лицензиатами ФСТЭК. Это было сделано для тех случаев, когда используются различные open source или freeware решения. Требования к составу и содержанию формуляра описаны в ГОСТ 19.501-78.
  • Убрали требование по нахождению SOC по адресу осуществления данного вида деятельности (виртуальные SOC вновь могут жить).
Требование наличия сертифицированных VPN (даже несмотря на то, что представители ГосСОПКИ не требовали этого) осталось. Как и требование ГИС1 к системам защиты SOC. Тут надо дать пояснения. В первоначальной версии перечня последний пункт звучал не совсем так, как об этом говорили представители ФСТЭК в частных беседах. Читалось, что сам SOC должен быть аттестован на ГИС1, включая и используемые им инструменты - SIEM, управление инцидентами, сканеры безопасности и т.п. А так как речь шла о ГИС1, то сертификация должна была быть произведена и на отсутствие НДВ, что было малореально. В итоге текущая формулировка теперь касается только системы защиты самого SOC, а не входящих в него компонентов.

Кстати, VPN и ГИС1 - это требования, не относящиеся к переченю контрольно-измерительного оборудования, необходимого при оказании услуг. И вообще-то они должны были быть вынесены за скобки этого документа, например, на уровень ПП-541 по лицензированию (там как раз и прописываются требования к лицензиату). Но тогда об этом не подумали и поэтому пришлось вносить эти пункты в отдельный НПА ФСТЭК (хотя требование сертифицированных VPN вообще ни к селу, ни к городу в обоих документах - выбивается оно).

И хотя не все пожелания экспертов были учтены (читай, мои рекомендации по отказу от требования сертифицированных VPN и ГИС1 для небольших SOCов), все-таки такое государственно-частное партнерство (пусть и без формализации) в деле разработки нормативных документов я считаю очень и очень позитивным. Сейчас перечень требований к лицензиатам SOC стал гораздо более выполнимым и адекватным.

Схожая деятельность ведется и другими регуляторами (исключая, пожалуй, РКН, который идею консультативного совета превратил в фикцию), но, может быть, не так активно. Тот же Банк России активно собирает мнения от участников отрасли в рамках ТК122. ФСБ пытается работать с частным бизнесом через ТК26, но туда попасть могут не все и взаимодействие, как мне кажется, не является равноправным. Как собственно и другие направления сотрудничества ФСБ.

ЗЫ. Были и другие поправки в перечне контрольно-измерительного оборудования, которые не имели отношения к SOC:
  • средства контроля эффективности применения СЗИ разделили на средства поиска остаточной информации на машинных носителях и средства контроля подключения устройств (что не совсем логично, на мой взгляд)
  • исключили необходимость наличия оборудования для некоторых видов работ.