На днях я писал про смысл (или его отсутствие) выпуска 940-го Постановления Правительства о порядке утверждения ассоциациями операторов ПДн моделей угроз. Смысл этого Постановления не только в том, что надо выполнить требования ст.19.3 ФЗ-152. Оно показывает то, как будет развиваться дальнейшая нормативка по ПДн. Возьмем 19-ую статью. Часть первая говорит, что оператор ПДн обязан защищать ПДн. Часть 2 перечисляет меры защиты. Часть 3 накладывает на Правительство обязанность установить уровни защищенности и требования по защите. Эту задачу решают проекты Постановлений Правительства, размещенные на сайте СБ на прошлой неделе.4-я часть говорит о том, что детальный перечень требований по защите будут уточнены в готовящихся приказах ФСТЭК и ФСБ.
А вот дальше самое интересное. Сергей Викторович Вихорев обратил в комментариях внимание, что в проекте Постановления Правительства об уровнях защищенности говорится о том, что оператор ПДн определяет тип ПДн, но не их актуальность. А кто же определяет актуальность, на основании которой разрабатываются меры защиты? На этот вопрос отвечает часть 5-я и 6-я. Главную скрипку играют "федеральные органы исполнительной власти, осуществляющие функции по выработке государственной политики и нормативно-правовому регулированию в установленной сфере деятельности, органы государственной власти субъектов Российской Федерации, Банк России, органы государственных внебюджетных фондов, иные государственные органы". А "ассоциации, союзы и иные объединения операторов" уже определяют дополнительные актуальные угрозы. Модели таких угроз согласовываются с ФСТЭК и ФСБ. Для госорганов и Банка России это обычная процедура межведомственного взаимодействия, а для ассоциаций - этот порядок и установлен в ПП-940.
Как эти модели угроз разрабатывать? Вот тут пока непонятно. Как я писал в конце июля, возможна либо разработка уже готовых моделей угроз, либо разработка методики моделирования угроз, которой будут руководствоваться, как минимум, госорганы (и иные органы, упомянутые в ст.19.5). Например, такая модель угроз может появиться у ЦБ, у Минкомсвязи (для операторов), у Минэнерго (для ТЭК), у Росатома (для атомщиков) и т.д. Хотя по Минкомсвязи уже вопрос - после предложения министра связи об упразднении Деапртамента развития информационного общества и входящего в него отдела защиты информации, возникает вопрос - а в Минкомсвязи вообще кто-нибудь останется, кто будет отвечать за регулирование ИБ? Опять же, слухи циркулируют не самые хорошие.
Различные ассоциации (НАУФОР, НАПФ, АРСИБ, РАЭК и другие) могут разработать уже свои модели дополнительных к "государственным" угрозам. Исходя из ряда опыта, могу предположить, что регуляторы пойдут по пути разработки методики, а не готовых моделей угроз. И мороки меньше, и потенциальных проблем, да и отраслевую специфику учитывать не надо.Единственное, что пока у меня вызывает вопрос, - это как заставить госорганы вырабатывать эти модели угроз? Без Постановления Правительства кто-то врядли что-то будет делать. Не таковы у нас госорганы, чтобы по собственной инициативе делать самостоятельно хоть что-то.
Контроль и надзор за исполнением требований, установленных ведомственнами приказами ФСТЭК и ФСБ осуществляют ФСТЭК и ФСБ только в отношении государственных ИСПДн. А вот с негосударственными вопрос пока открытый. Мои коллеги считают, что РКН уже сейчас наделен полномочиями проведения технических проверок. РКН считает также. У меня немного иное мнение. У ФСТЭК и ФСБ тоже ;-) Чья позиция возьмет верх пока не совсем понятно. А пока ждем методики определения актуальных угроз. Осталось не долго (если опять не вмешаются высшие силы).
А вот дальше самое интересное. Сергей Викторович Вихорев обратил в комментариях внимание, что в проекте Постановления Правительства об уровнях защищенности говорится о том, что оператор ПДн определяет тип ПДн, но не их актуальность. А кто же определяет актуальность, на основании которой разрабатываются меры защиты? На этот вопрос отвечает часть 5-я и 6-я. Главную скрипку играют "федеральные органы исполнительной власти, осуществляющие функции по выработке государственной политики и нормативно-правовому регулированию в установленной сфере деятельности, органы государственной власти субъектов Российской Федерации, Банк России, органы государственных внебюджетных фондов, иные государственные органы". А "ассоциации, союзы и иные объединения операторов" уже определяют дополнительные актуальные угрозы. Модели таких угроз согласовываются с ФСТЭК и ФСБ. Для госорганов и Банка России это обычная процедура межведомственного взаимодействия, а для ассоциаций - этот порядок и установлен в ПП-940.
Как эти модели угроз разрабатывать? Вот тут пока непонятно. Как я писал в конце июля, возможна либо разработка уже готовых моделей угроз, либо разработка методики моделирования угроз, которой будут руководствоваться, как минимум, госорганы (и иные органы, упомянутые в ст.19.5). Например, такая модель угроз может появиться у ЦБ, у Минкомсвязи (для операторов), у Минэнерго (для ТЭК), у Росатома (для атомщиков) и т.д. Хотя по Минкомсвязи уже вопрос - после предложения министра связи об упразднении Деапртамента развития информационного общества и входящего в него отдела защиты информации, возникает вопрос - а в Минкомсвязи вообще кто-нибудь останется, кто будет отвечать за регулирование ИБ? Опять же, слухи циркулируют не самые хорошие.
Различные ассоциации (НАУФОР, НАПФ, АРСИБ, РАЭК и другие) могут разработать уже свои модели дополнительных к "государственным" угрозам. Исходя из ряда опыта, могу предположить, что регуляторы пойдут по пути разработки методики, а не готовых моделей угроз. И мороки меньше, и потенциальных проблем, да и отраслевую специфику учитывать не надо.Единственное, что пока у меня вызывает вопрос, - это как заставить госорганы вырабатывать эти модели угроз? Без Постановления Правительства кто-то врядли что-то будет делать. Не таковы у нас госорганы, чтобы по собственной инициативе делать самостоятельно хоть что-то.
Контроль и надзор за исполнением требований, установленных ведомственнами приказами ФСТЭК и ФСБ осуществляют ФСТЭК и ФСБ только в отношении государственных ИСПДн. А вот с негосударственными вопрос пока открытый. Мои коллеги считают, что РКН уже сейчас наделен полномочиями проведения технических проверок. РКН считает также. У меня немного иное мнение. У ФСТЭК и ФСБ тоже ;-) Чья позиция возьмет верх пока не совсем понятно. А пока ждем методики определения актуальных угроз. Осталось не долго (если опять не вмешаются высшие силы).
И актуальность НДВ все-таки определяют за тебя, не так ли? ;)
ОтветитьУдалитьНет, не так
ОтветитьУдалитьНу-ну :)
ОтветитьУдалитьУгроза НДВ становится особенной, актуальность которой может определять САМ Оператор. Когнитивный диссонанс какой-то... Определить возможность ARP спуффинга оператор не может, а вот НДВ (закладок в Вашем смысле) может. :-))))))
ОтветитьУдалитьПри определении актуальности угрозы НДВ оператор учитывает ведомственные НПА ;-)
ОтветитьУдалитьПросто для целей постановления по уровням защищенности не имеют значения остальные угрозы, по этому про них и не писано ничего. Зато есть ссылка на часть 5 ст. 19.
А почему спуффинг не может? Если ему дадут методику, то он решит сам ;-)
ОтветитьУдалить