20.4.12

Революция от ФСТЭК и новости от ФСБ


Форум закончился. Прошло пару дней. Впечатления сформировались - можно ими и поделиться. Мне понравилось ;-) И не только потому, что мы были спонсором. Просто мероприятие действительно было ориентировано на аудиторию, что бывает не часто. И особенно порадовало то, что присутствовали представители ФСТЭК и ФСБ, которые не молчали как обычно и не отделывались общими фразами. Выступления Олега Залунина и Виталия Лютикова были конкретны и насыщены фактами и интересными новостями. С них и начну.

Тезисно из выступлений Олега Залунина (ФСБ):
  • Проекты двух новых Постановлений Правительства уже разработаны и направлены всем заинтересованным сторонам. Головным разработчиком постановлений по уровням защищенности и требованиям по ИБ была ФСБ. ФСБ старалась сохранить преемственность с ПП-781 и "приказом трех". Выпустить новые ПП должны в мае.
  • Новые понятие  "уровень защищенности" зависит от класса ИСПДН, модели угроз и модели нарушителя. Уровней будет 4.
  • Классификация ИСПДн останется почти без изменений - разделение на специальные и типовые уберут и оставят просто ИСПДн. Принципы классификации (объем и категория) останутся теми же.
  • Новое понятие новых Постановлений - модель нарушителя. Будет 3 категории нарушителей.
  • Наличие спецкатегории ПДн не означает, что защищать их надо будет по высшему классу. С помощью использования модели нарушителя можно будет выставить не самый высокий уровень защищенности.
  • Новое ПП про требования по защите ПДн делается на базе ПП-781. Ничего нового там почти не будет.
  • На базе новых ПП ФСТЭК и ФСБ детализирует свои требования по защите. Новые приказы ФСБ и ФСТЭК по ПДн будут в июне/июле. Могу от себя предположить, что по линии ФСТЭК скорее всего ничего сильно не поменяется. По линии ФСБ нас ждут сюрпризы.
  • Нормативки по защите трансгранички нет и пока не планируется.

Тезисно из выступлений Виталия Лютикова (ФСТЭК):
  • Термин "конфиденциальная информация", который вызывает много вопросов надо было править в ФЗ "О лицензировании". Не смогли. Поэтому в ПП-79 оно осталось. Только в скобках добавили его трактовку.
  • Наличие контрольно-измерительноо оборудования при получении лицензии не нужно, если вы не будете заниматься техническими каналами утечек. Об этом же говорит и опубликованный во вторник документ на сайте ФСТЭК. А вообще список документов, необходимых для выполнения работ и оказания услуг по ТЗКИ также был опубликован во вторник на сайте ФСТЭК.
  • РД по антивирусам находится на регистрации в МинЮсте. В его основу положены принципы РД по IPS.
  • Планируются новые РД по средствам доверенной загрузки, двухфакторной аутентификации и DLP. Скорее всего в следующем году будут, не раньше.
  • От сертификации по ТУ ФСТЭК будет отходить и там, где есть разработанные РД, оценка будет вестись именно по ним, а не по ТУ. Я об этом писал уже в конце 2010-го года.
  • Готовятся новые требования по защите информации для госорганов на базе документов NIST. О том, что это планируется я писал, а вот о том, что речь идет о документах NIST, которые взяты за основу, я услышал впервые. Скорее всего будут взяты за основу документы 800-й серии, разработанные во исполнение американского закона FISMA. Планируемый РД заменит действующие уже около 20 лет СТР-К и РД по АС.
  • ФСТЭК хочет ввести новые требования по СУИБ и управлению инцидентами. Могу только приветствовать. Хотя эти требования (как минимум в части управления инцидентами) у ФСТЭК были еще в 2007-м году, в документах по защите ключевых систем информационной инфраструктуры.
  • Меняется подход к обновлению сертифицированного ПО. Будет примерно тоже, что сейчас прописано в РД по IPS.
  • Будет меняться ГОСТ по АС в защищенном исполнении.
  • Решение о получении лицензии ФСТЭК на ТЗКИ для собственных нужд принимается юрлицом самостоятельно.После новости о замене СТР-К это была вторая "бомба" от ФСТЭК. Правда, непонятно, насколько официальный ответ на такой запрос будет повторять данную позицию. Я могу ее трактовать примерно так: если вы спросите у ФСТЭК, то вам скажут, что лицензия нужна. А если не спросите, то и не парьтесь. Тут скорее нужно опять писать официальные запросы регулятору.
  • Сертификация СЗИ ПДн обязательна для всех. Основание - ПП-330.ФСТЭК в недоумении по поводу грифа "ДСП" на ПП-330. По их словам это МинОбороны начудило и ФСТЭК сама имеет от этого кучу проблем, т.к. приъодится делать выписки, писать разъяснения и т.д.
  • Аттестация ИСПДн для госучреждений является обязательной, а для коммерческих структур - на усмотрение оператора ПДн
  • По поводу ненасыщенности рынка сертифицированных средств защиты информации была приведена статистика. В 2011 выдано 1.5 миллиона голограмм на сертифифированные СЗИ. В этом году, только за первый квартал, было выдано уже 500 тысяч защитных знаков. Цифры немаленькие.

Жаль, что не было представителей РКН - они бы дополнили рассказ о регуляторике и смогли бы поделиться своими планами, кои есть.По остальным заметкам направляю всех в Twitter (прямая ссылка на заметки только о мероприятии) - ничего действительно стратегического там не было.

В остальном могу отметить большое количество докладов от потребителей, а не от производителей и интеграторов. Последние малость портили картину. Либо голимой рекламой (такая была от Аванпоста), либо непониманием тенденций и попыткой придумать несуществующие тенденции под собственные поделки. Ну а кто-то пытался рассказать о каких-то интересных темах (риски, метрики, KPI), но не имея реального опыта, не мог поделиться практическим опытом. Вообще я сделал интересное наблюдение. Если какую-то тему рассказывает интегратор, то это означает только одно - потребителю эта тема либо неинтересна, либо он только приглядывается к теме и сам ее у себя не реализовывал. Ярким примером была тема, связанная с аутсорсингом ИБ. Эта тема сначала докладывалась одним из интеграторов (не совсем удачно). А потом я ее пытался поднять на секции по защите ЦОДов, где я хотел понять, кто-то арендует ЦОДы или нет. Оказалось, что нет ;-)


Вот примерно такое впечатление от мероприятия. Собственно я участвую в мероприятии, как минимум, 4-й раз, а может и пятый, и могу сказать, что все разы у меня впечатления только положительные.

31 коммент.:

pushkinist комментирует...

печальные новости :(

Александр комментирует...

"Аттестация ИСПДн для госучреждений является обязательной, а для коммерческих структур - на усмотрение оператора ПДн"

Значит ли это, что аттестация выявленных ИСПДн в Банке не нужна? в челябинске ФСТЭК и его лицензиаты твердили что аттестация нужна именно для коммерческих структур (осень 2011), и с радостью оставляли свои визитки :-), Алексей вы тоже были на этом форуме ;-)

Александр комментирует...
Этот комментарий был удален автором.
doom комментирует...

>Если какую-то тему рассказывает интегратор, то это означает только одно - потребителю эта тема либо неинтересна, либо он только приглядывается к теме и сам ее у себя не реализовывал.
Ну зачем же так категорично :)
Неужели совсем никогда интеграторы не рассказывают ничего интересного?

2 Александр:
вообще-то с отменой четверокнижья необходимость аттестации ИСПДн стала неочевидной даже для гос. органов... Так что вас в заблуждение вводили...

Алексей Лукацкий комментирует...

Именно. Аттестация по требованиям самой же ФСТЭК является обязательной только для гостайны. Для СТР-К вроде как тоже ФСТЭК требует. А вот для всех остальных - сугубо добровольная вещь

Д.Никитин комментирует...

Новости занятные. Опять в течении пары месяцев регуляторы меняют свои формулировки и обещания. А по поводу аттестации, если не ошибаюсь, запрет обработки служебной информации в неаттестованных АС сожержится в Положении о ГСЗИ 93 года. Т.е. по факту большинство госорганов в течении почти двух десятков лет нарушают требования Правительства :) аяяй..

Д.Никитин комментирует...
Этот комментарий был удален автором.
doom комментирует...

>А по поводу аттестации, если не ошибаюсь, запрет обработки служебной информации в неаттестованных АС сожержится в Положении о ГСЗИ 93 года.

Там не аттестация, там аттестование какое-то :)
А так - можно еще заметить, что понятие служебной тайны у нас до сих пор не закреплено законодательно ;)

Д.Никитин комментирует...

Законодательно да, а вот по ряду НПА это любая информация (в т.ч. открытая, т.е. неограниченного доступа), имеющая отношение к деятельности госоргана и циркулирующая в АС... так что нарушители они все, грубые причём))

Eugene S комментирует...

"Наличие контрольно-измерительноо оборудования при получении лицензии не нужно, если вы не будете заниматься техническими каналами утечек."
Алексей, поясните пожалуйста. Из опубликованного документа ФСТЭК этого не следует...
Пример: г1, аттестационные испытания СИ - требуется оборудование по пунктам 6, 9, 11 и т.д.

Svyazist комментирует...

> А так - можно еще заметить, что понятие служебной тайны у нас до сих пор не закреплено законодательно ;)

Не закреплено и не будет т.к. 02.11.2011 госдума отклонила законопроект № 124871-4 О служебной тайне

>Для СТР-К вроде как тоже ФСТЭК требует.

Ага, требует и некоторые госорганы проводят аттестацию АС по СТР-К.

Евгений комментирует...

Eugene S
Я хоть и не Алексей, но все же:
А вы не сможете выдавать аттестат если у вас нет оборудования, Без оборудования вы сможете:
б, д, е4, е5, е6

Зы в перечне документов ГОСТы с пометкой ДСП жгут....

Евгений комментирует...

А почему я не могу выдать аттестат, учитывая при аттестации материалы оценки защиты технических каналов, оформленные другим лицензиатом ,имеющим соответствующую лицензию и оборудование?

Вадим комментирует...

Я тоже на мероприятии 4-й раз, но на мой взгляд, деградация форума налицо. Самое положительное, пожалуй, присутствие среди докладчиков ФСТЭК (Лютиков) - этих товарищей очень нелегко вытянуть на публичные выступления. В остальном - Залунин не смог ответить на многие вопросы про ПДн, входящие, естественно, в юрисдикцию РКН, которого не было, как и традиционных представителей ГД. Во второй половине первого дня реально пошла реклама, и не только от Аванпоста, чего раньше на форумах не допускалось (за редким исключением).
Второй день начался совсем уныло - четыре клонированных доклада по интереснейшей теме - безопасность мобильного доступа. Резюме противоречащее - с одной стороны, безопасность в основном обеспечивается сознательностью пользователя и соблюдением им множества оргмер, с другой стороны - ТОПов невозможно ничему научить.
Окончательно прибила очередная реплика с места известного блогера о том, что с ФСБ можно договориться о применении в нарушение законов несертифицированной криптографии. Он позабыл, видимо, как год назад уже рассказывал об этом, но с оговоркой, что могут придти взамен "добрых" "злые" ФСБшники, и тогда извините... Что ж, можно было с таким же успехом рассказать, как можно договориться с ГИБДД ездить с нарушением ПДД. Зачем только людей со всей России учить нарушать закон? Тем более, что уж Москва - это точно не Череповецк в соотношении "добрых" и "злых"...
В общем, грустные впечатления...

Алексей Лукацкий комментирует...

Если последний абзац - это выпад в мой адрес, то с ФСБ не надо договариваться. Если вы не обрабатываете ПДн на мобильном устройстве, то вы можете использовать любую криптографию. А если обрабатываете, то достаточно написать запрос на изменение криптографических характеристик в таких-то целях.

Вадим комментирует...

Ну что Вы, Алексей, не про Вас это. Тот товарищ высказался после первого доклада Бондаренко, когда Александр совершенно справедливо говорил о неприятных моментах, когда необходимо использовать только сертифицированные СКЗИ, которых для тех же айпадов никогда не будет (это даже не ПДн, это те конторы, которые попадают под ПКЗ-2005). Я ожидал ремарки Акимова как бывшего работника восьмёрки, но он, видимо, пропустил этот момент.

Алексей Лукацкий комментирует...

На тему ремарок: жил-был генерал ФСБ, который активно мешал проникновению на российский рынок VPN-продуктов западного производства и всем советовал использовать только отечественные продукты. Но пришло время и уволился генерал из органов и встал он на сторону заказчика. И сразу взгляд его поменялся. И стал он наезжать на своих бывших подчиненных, что те, мол, плохо работают, медленно. Да еще и палки вставляют развитию экономики России, мешая ввозить иностранную криптографию. А бывшие подчиненные ему: "Так вы же сами все эти правила разработали". И не нашел генерал, что ответить...

Алексей Краснов комментирует...

А почему "жил"? Живёт и здравствует, ещё пытается балатироваться.

Алексей Лукацкий комментирует...

Это же сказка ;-)

Вадим комментирует...

Ну эта сказка, по крайней мере пока, не про вышеупомянутое лицо. Мне другое непонятно. Я могу рассказать другую сказку про то, как одна законопослушная компания пошла законным путём и получила от наших генералов добро на временный вывоз наших СКЗИ за бугор. И в Европе нашла эта компания счастье, а вот в Америке гораздо более злые генералы отказались выдать разрешение на ввоз, а при мысли о том, чтобы пронести сиё враждебное русское средство на территорию своего предприятия, готовы были развязать третью мировую войну. И что удивительно - не гнобят их за это местные. Парадокс...

Алексей Лукацкий комментирует...

А в чем парадокс? Наши дали добро, ихние не дали. Также как ихние добро дают, а наши нет.

Вадим комментирует...

Парадокс в том, что они относятся к своей и чужой криптографии также, как и мы, если не жёстче. Но их при этом свои же не кроют трёхэтажным матом и не кричат: введите в Америке русскую криптографию, как американский национальный стандарт! У них как-то все всё понимают. А посмотрите, что творится у нас...

Алексей Лукацкий комментирует...

Разница в том, что ИХ криптография является международным стандартом. В отличии от нашей

Вадим комментирует...

Ну да, как и ИХ валюта и многое другое. И у них эту разницу понимают. А у нас нет))

Алексей Лукацкий комментирует...

У нас тоже хотят мирового господства

doom комментирует...

>Парадокс в том, что они относятся к своей и чужой криптографии также, как и мы, если не жёстче.

Откуда дровишки?
Вот здесь http://rechten.uvt.nl/koops/cryptolaw/cls2.htm#us указано:

Import
There are no import restrictions on cryptography.

Вадим комментирует...

doom: дровишки из личного опыта. Может, там и указано, но на практике было как в той сказке.

Алексею Лукацкому: понятно про господство, и мы хотим, и Америка, и Китай, и кто только не хочет. Я, возвращаясь к первому сообщению, повторюсь, что на подобных форумах не нужно призывать нарушать закон и подставлять себя и своих "добрых" ФСБшников, а направить свою энергию,например, на предложения по упрощению процедур ввоза-вывоза и подобных проблемных вопросов. Ведь было поручение гаранта до марта рассмотреть, вопрос уже на самый верх поднят, развивать нужно дальше. А ломать копья по поводу применения "чужих" СКЗИ - ни Америка, ни Россия, ни Китай никогда не будут использовать для защиты своих ресурсов чью-то криптуху, кроме своей.

Алексей Краснов комментирует...

Кстати, по поводу поручения гаранта.
Писал письмо в первых числах марта ему и тому, кому он делал поручение. Ответа ни от того, ни от другого не получал, хотя 30-дневный срок давно прошёл. Всё некогда написать повторное письмо.

pushkinist комментирует...

"Разница в том, что ИХ криптография является международным стандартом. В отличии от нашей"

дык ведь у нас давно пытаются продвинуть нашу криптографию как международный стандарт.
это ведь "ихние" не пускают нас туда.
и это "их" криптоаналитики пишут сенсационные статьи о том что ГОСТ ВЗЛОМАН, в которых взлом оказывается сферическим в вакууме.

текущие версии гостов уже точно не станут международным стандартом, но наши криптографы надеются что с будущими модификациями получится.

Вадим комментирует...

Алексею Краснову: если получите хоть какой-то ответ, дайте знать, плиз.

Алексей Краснов комментирует...

Вадиму: OK!

Написал только что повторное письмо.