14.12.2017

ФСТЭК, SOC и #socforum

После окончания SOC Forum одно из изданий попросило меня написать заметку по итогам форума. Я отказался, так как в одну заметку очень сложно вместить все, что произошло и было сказано на мероприятии. Но самое главное, сложно писать о том, чего сказано не было или как было сказано то или иное слово/фраза. Ситуация с ФСТЭК и SOCами как раз относится к этой категории. И сейчас я бы хотел вкратце описать сугубо свои личные впечатления от неучастия ФСТЭК в SOC Forum. Да-да, именно неучастии, так как если у ФСБ была отдельная целая секция (про КИИ, а не SOCи), выступление в пленарке и стенд, то второй регулятор в лице Виталий Сергеевича Лютикова ограничился только участием в пленарной дискуссии. И это при том, что именно ФСТЭК является уполномоченным органом в области безопасности КИИ, и именно у ФСТЭК уже больше года есть утвержденные требования по лицензированию деятельности по мониторингу ИБ (читай, по SOCам). И вот это фактически "молчание" говорит о многом.


Но попробую все-таки тезисно описать то, что ФСТЭК сказала/не сказала по теме мероприятия (но не по КИИ):

  • Виталий Сергеевич повторил мысль, прозвучавшую из его же уст днем ранее на конференции ЦБИ. Чтобы что-то мониторить, надо построить фундамент - то есть иметь выстроенную систему защиты информации. А так как многие организации даже основ не имеют, то говорить о мониторинге еще рано. Тем более, что с точки зрения ФСТЭК тема SOCов - это, как модно говорить, "хайп", так как в тех же требованиях 17-го, 21-го, 31-го приказов вопросы мониторинга и управления событиями безопасности рассматривались уже 4 года назад. Почему именно сейчас такая шумиха вокруг SOCостроения непонятно (ну или понятно).
  • Я уже писал год назад, что на мой взгляд, ФСТЭК слишком рано стала требовать лицензию на мониторинг ИБ при оказании внешних услуг. Не сформировался еще и сам рынок, и непонятно, куда заведут сырые, а местами и невыполнимые требования. И вот на форуме я получил парочку подтверждений этому. Начнем с того, что лицензия ФСТЭК на мониторинг ИБ нужна при любом оказании услуг внешним лицам. И даже если речь идет о холдинге или группе компаний, то лицензия обязательна. Поэтому тот же Сбербанк, мониторящий свои региональные банки и дочерние предприятия, Газпром, РЖД, Ростех, Ростелеком и т.п. структуры, построившие или строящие свои SOCи обязаны иметь лицензию ФСТЭК на мониторинг ИБ. Но что-то они не торопятся это делать. Кстати, интересный вопрос. Относится ли деятельность ФинЦЕРТ к мониторингу ИБ? А если да, то нужна ли ФинЦЕРТу лицензия ФСТЭК на мониторинг?
  • В требованиях ФСТЭК к лицензиатам мониторинга ИБ прописаны требования к используемому ими программному обеспечению. Среди прочего на ряд решений, например, SIEM или систему управления инцидентами, требуется либо сертификат ФСТЭК по требованиям безопасности, либо формуляр. Но, например, когда я слушал доклад Сергея Рублева из ГК Инфосекьюрити про то, как устроен их SOC (а он построен на open source и самописных решениях - Hadoop, Spark, Scala  и т.п.), то я понял, что им сложно будет выполнить требование по сертификации или оформлению формуляров. Не невозможно, а сложно.
  • Требования ФСТЭК к SOCам, оказывающим внешние услуги, и требования ФСБ к ведомственным и корпоративным центрам ГосСОПКИ (а это тоже по сути SOCи) отличаются и местами сильно. Ниже только один пример по техническим средствам. А разница не только в этом - там и в квалификации и численности работающих в центрах людей есть отличия.

  • С трибуны вскользь было сказано, что до конца непонятен вопрос с тем, кто будет устанавливать требования по SIEM. И это тоже один из тех вопросов, которые может сильно изменить рынок ИБ. С одной стороны, SIEM - это епархия ФСТЭК, которая и должна устанавливать требования к средствам защиты и контроля защищенности. И пару лет назад о таких требованиях к SIEM как-то даже упоминали на конференции регулятора. С другой стороны требования к ГосСОПКЕ устанавливает ФСБ и они могут захотеть перетянуть одеяло на себя. И тогда могут появиться требования по сертификации SIEM в ФСБ (прощай ArcSight, QRadar и т.п.). Но также могут появиться требования по использованию сертифицированных СКЗИ для подключения средств защиты к SIEM. И это тоже будет непросто.


  • Вообще, отношения между двумя регуляторами, как видно из последних мероприятий, непростые, и их требования не всегда синхронизированы, что приведет еще к сложностям в будущем.



  • А еще у ФСТЭК на SOC Forum был свой стенд, что тоже не может не радовать :-) 


ЗЫ. Понятно, что ряд вопросов снимется в ближайшее время, но огорчает то, что подготавливаемые в спешке нормативные акты не успевают согласовываться между регуляторами в должной мере, чтобы синхронизировать позиции и требования, и отточить формулировки. В итоге страдает потребитель :-(  Но есть ряд вопросов, которые не будут согласованы и просто связаны с тем, что к SOCам выставлены достаточно жесткие требования, которые ограничивают развитие этой ниши рынка ИБ в России...

1 коммент.:

Дмитрий Кононов комментирует...

Мне кажется, что кроме потребителя страдает и уровень защищенности информационных систем, потому что сообщество ИБ из-за неразберихи между регуляторами, запаздывающими и не проработанными документами привыкает: 1. Не спешить выполнять любые требования регуляторов, т.к. поспешишь - потратишь не на то, потом придется переделывать. 2. Привыкает воспринимать регуляторов не как экспертные центры по ИБ, а как участников броуновского движения, которые продуцируют никому не нужные бумажки... Что есть плохо для кибербезопасности и отдельных компаний, и государства в целом. Как бы пафосно это не звучало.