Круглый стол "Формальная безопасность vs практическая безопасность: как достичь синергии"

Вторым круглым столом на конференции "Кибербезопасность нового времени", проведенной Innostage в рамках казанской DigitalWeek, был "Формальная безопасность vs практическая безопасность: как достичь синергии", который получился не таким, как я его задумывал изначально, готовя вопросы. Поэтому в этой заметке я буду говорить не столько о самом круглом столе, сколько о том, во что вылилась дискуссия и что я про все это думаю.

На самом круглом столе немного предсказуемо почти все участники высказались в поддержку нормативных требований регуляторов, что, на мой взгляд, вполне объяснимо, - не любят у нас публично критиковать регулятора, так как последний этого не любит и может отыграться во время проверок или продления лицензий или еще как. Только Сергей Демидов из ММВБ высказал все (ну или почти все), что он думает про регулирование финансовой сферы и КИИ и про то, насколько подкованы регуляторы во многих практических вопросах. Интересно, что на вечерних посиделках (а Innostage славится своими неформальными мероприятиями - от автогонок до /censored/) многие представители госорганов гораздо более откровенны и высказывают все, что они думают о регуляторах и об их требованиях.

Возьмем к примеру уже полгода как принятую модель оценки угроз ФСТЭК. Я про это писал уже неоднократно, но даже сейчас меня регулярно удивляют "вести с полей". Например, во время согласования модели угроз (а это обязательное требования по 676-ПП для всех ГИС) одно из региональных управлений сначала долго отнекивалось и пыталось манкировать своими обязанностями, а потом предупредили, что все равно придется пересогласовывать, так как после разработки нового БДУ (банк данных угроз) потребуется пройти процедуру заново! Ну вот как так? Почему об этом нигде не говорится и зачем вообще тогда надо было принимать документ, который нормально и не применить и меньше через год надо повторять процедуру (а деньги где брать)?

Или вот еще история. В самом начале круглого стола, который проходил сразу после выступления Романа Чаплыгина из Positive Technologies об открытых стандартах по ИБ (лучших практиках, создаваемых сообществом), я задал вопрос в зал, сколько из них знает о профессиональном стандарте 12.004 "Специалист по обнаружению, предупреждению и ликвидации последствий компьютерных атак", который был утвержден в 2015 (!) году? Шесть лет назад! Было всего 3 поднятых руки! Всего три на зал из 150 человек. А все потому, что этот стандарт имеет пометку "для служебного пользования". Ну вот о каких открытых стандартах можно говорить, если регуляторы у нас так любят политику засекречения всего, даже списка навыков, которым должен обладать специалист по реагированию на инциденты ИБ? Но интересно не это, а то, что получить этот документ нереально. Если вы запросите его в Минтруде (захотите найти - спрашивайте в Минтруде приказ 1179н/дсп от 29.12.2015), вам откажут и пошлют в ФСБ. Запрос в ФСБ тоже закончится ничем - вас отправят в Минтруд. Вот такой замкнутый круг. А я напомню, что согласно ПП-584 от 27.06.2016 профстандарты являются обязательными к применению всем государственным и муниципальным учреждениям, фондам, а также предприятиям, компаниям и корпорациям, что принадлежат государственным либо муниципальным органам власти (на праве владения более чем 50% от уставного капитала).

Еще одна обсуждаемая на круглом столе тема - трактовки требований регуляторов. Это вообще боль; даже для самих регуляторов, в которых написание требований и их проверка - это часто разные подразделения. А тут еще приближенные к регуляторам компании, которые часто участвуют в разработке требований в составе рабочих групп. Представители этих компаний потом выступают на мероприятиях, в чатах, в соцсетях и выдают собственное мнение за позицию регулятора. Ну есть еще и просто эксперты, которые также по своему трактуют требования нормативных актов. И вот у нас уже 4 разных точки зрения на один документ. И как тут быть? Участники круглого стола, например, Виктор Вячеславов из Innostage, Шальнов Олег из Росэнергоатома или Александр Дубасов из ФГБУ ЦНИИОИЗ Минздрава, посоветовали общаться с регулятором, задавать ему вопросы. Но тут всплывает классическая история - лучше не светиться :-( Наши регуляторы любят при общении с народом задавать вопрос: "Представьтесь, пожалуста" или "Какую организацию вы представляете?" Ну и кто захочет отвечать на такой вопрос? Смельчаков мало. Вот и любят у нас все ждать, когда кто-то храбрый сам спросит регулятора, а потом выложит ответ в каком-нибудь чатике. А сам регулятор, не видя вопросов, считает, что все нормально. Или он видит вопросы с мест, но не хочет публично показывать, что он поторопился с каким-то требованием. Поэтому и информационные письма с разъяснениями он не часто выпускает, ограничиваясь короткими комментариями в узком кругу специалистов или на закрытых встречах. И те, кого на этих мероприятиях "за закрытыми дверями", нет, потом вынуждены слушать пересказы и играть в испорченный телефон.

А вот еще один классический вопрос: "Почему <регулятор> сам у себя не реализовал свои же требования?" Почему на сайте ФСТЭК в разделе "Государственные информационные системы" написано, что у регулятора нет ни одной ГИС? Вы верите в это? Я лично нет. Особенно слыша ответы регулятора на мероприятиях по поводу того, что считать ГИС. Но тогда почему у самой ФСТЭК нет ни одной ГИС? А ОКИИ? ФСТЭК говорила на мероприятиях, что у них есть ОКИИ (научной деятельностью они же занимаются в том же Воронеже). Тогда почему они часто "плывут" на практических вопросах по 235/239-м приказам? А Банк России? ДИБ пишет кучу Пэшек, Ушек, ГОСТов, а потом их должны выполнять в том числе и другие подразделения ЦБ. И у них тоже немало вопросов к регуляторике, которую непонятно как выполнять на практике, так как она местами предельно неконкретна, расплывчата, а то и имеет двойственное/тройственное толкование. С ФСБ все проще - они по-моему до сих пор не имеют локальной сети и живут в мире автономных компьютеров, а обмениваются документами бумажными. В их мире их требования чуть ли не идеальны.

Еще одним выводом с круглого стола стало, что выполнение требований никак не гарантирует безопасности организации. Зачем тогда нужны требования, тем более обязательные? Не лучше ли превратить их в рекомендации? Особенно в условиях, когда отдельные регуляторы начинают пропагандировать риск-ориентированный подход, который, как известно, отличается от обязательных требований тем, что в нем мы сами определяем, что для нас опасно, а потом определяем, что мы будем с этим делать - принимать риски, перекладывать, уклоняться или снижать их. Такой подход, кстати, ФСТЭК реализует в ИСПДн и КИИ (для ГИС установлен минимальный, базовый набор требований по защите). А ЦБ, на гербе которого двуглавый орел, смотрящий одновременно в разные стороны, успешно реализует эту идею и в регулировании ИБ, одновременно устанавливая обязательные требования по ИБ в своих Пэшках и Ушках, а также обязывая оценивать риски и меры управления ими. Зачем мне управлять рисками, если все равно я обязан выполнять кучу требований?

Вот такой был круглый стол в Казани, который не ограничился только залом, а вышел за его пределы и дал возможность поговорить с участниками "не под камеру". А это всегда ценно.

ЗЫ. Мне кажется, что регуляторам надо выпускать свои документы тройками - сами требования,  разъяснения к ним для тех, на кого требования распространяются, и методика их проверки (в идеале тоже публичная). Все три документа должны быть взаимоувязаны между собой. Тогда и проблем ни с их толкованием, ни выполнением, ни проверкой не будет (ну кроме редких ошибок и клинических идиотов). Прислушался бы кто-нибудь, а?!