Вчера я прошелся по новому ПП-1119. В комментах нет ни одной позитивной оценки этого нормативного акта. Оно и понятно - все ждали чего-то другого. Ну не дождались ;-) Хотя огульно ругать и заявлять, что такого бреда давно не публиковалось легко. А вот предложить конкретные формулировки "как надо" пока никто не предложил (все только критикуют).
Ну да ладно. Подойдем к вопросу системно и сравним два постановления - отмененное 781-е и новое 1119-е. Я провел простое сравнение по требованиям и свел в их единую табличку. Итог однозначен - убрано больше половины всех требований, новых требований добавлено всего 5 (причем не все из них со знаком минус), 9 требований осталось без изменений, 3 требования ушло на уровень ФЗ-152. И как можно говорить, что стало хуже?
Ну да ладно. Подойдем к вопросу системно и сравним два постановления - отмененное 781-е и новое 1119-е. Я провел простое сравнение по требованиям и свел в их единую табличку. Итог однозначен - убрано больше половины всех требований, новых требований добавлено всего 5 (причем не все из них со знаком минус), 9 требований осталось без изменений, 3 требования ушло на уровень ФЗ-152. И как можно говорить, что стало хуже?
Сравнение ПП-781 и ПП-1119 from Alexey Lukatsky
По сути не поменялось ничего. Та же оценка соответствия, тот же непонятный электронный журнал, то же требование утверждения списка допущенных лиц, то же требование установление режима безопасности в помещениях, та же отсылка к нормативным документам ФСТЭК и ФСБ. Что стало хуже-то? Просто многие и 781-е не выполняли в полном объеме. Поэтому и про невыполненные требования забыли (все-таки 4 года прошло с моменты выхода ПП-781). Вот и кажется, что 1119-е стало хуже предыдущего текста. А на самом деле оно лучше. Лучше своего предшественника. Но хуже, чем могло бы быть и чем предлагали эксперты.
Но что меняет новый нормативный акт? По сути ничего. Да, придется менять классификацию ИСПДн. Но имеющаяся классификация ничего кроме ругани не вызывала и многие операторы ПДн все равно классифицировали свои системы как специальные без дальнейшей детализации по 4-м классам. Списки лиц и так все оформляли. Сертифицированные решения кто не использовал, тот и не будет их использовать. Моделирование угроз проводить надо по закону уже почти полтора года. Электронный журнал как был непонятной субстанцией, так и остался. Однако это не мешает находить в Интернет регламенты по ведению такого журнала, что помогает проходить проверки.
Но главное не изменилось.Ни ФСТЭК, ни ФСБ так и не получили права проводить проверки негосударственных организаций. Модель угроз как делал оператор, так и будет делать он же. Ждать, что органы исполнительной власти вот прямо сейчас разродятся своими отраслевыми моделями угроз не приходится (разве что кроме Банка России). А без них оператор либо может забить болт на моделирование, либо сделать это самостоятельно. И тут он волен делать все, что считает нужным.
Детальные требования по ИБ как разрабатывлись ФСТЭК и ФСБ, так и будут ими разрабатываться. Что же касается их конкретного содержания, то неужели кто-то рассчитывает увидеть там что-то еще невиданное. По линии ФСБ ничего нового не будет. Применение сертифицированных СКЗИ, выполнение 152-го приказа ФАПСИ - вот и все вокруг чего будет крутиться новый приказ. Хуже быть не может. Лучше? Вполне. Так это плюс, что может быть лучше. Новый документ ФСТЭК либо будет похож на 58-й приказ (а что в нем такого неизведанного и непонятного), либо на проект "нового СТР-К". Так он тоже известен и в работе над ним как раз приглашали поучаствовать всех желающих - но многие и тут остались верны себе - покритиковали в Facebook, а что-то предлагать отказались.
Так что стало хуже-то?
По сути не поменялось ничего. Та же оценка соответствия, тот же непонятный электронный журнал, то же требование утверждения списка допущенных лиц, то же требование установление режима безопасности в помещениях, та же отсылка к нормативным документам ФСТЭК и ФСБ. Что стало хуже-то? Просто многие и 781-е не выполняли в полном объеме. Поэтому и про невыполненные требования забыли (все-таки 4 года прошло с моменты выхода ПП-781). Вот и кажется, что 1119-е стало хуже предыдущего текста. А на самом деле оно лучше. Лучше своего предшественника. Но хуже, чем могло бы быть и чем предлагали эксперты.
Но что меняет новый нормативный акт? По сути ничего. Да, придется менять классификацию ИСПДн. Но имеющаяся классификация ничего кроме ругани не вызывала и многие операторы ПДн все равно классифицировали свои системы как специальные без дальнейшей детализации по 4-м классам. Списки лиц и так все оформляли. Сертифицированные решения кто не использовал, тот и не будет их использовать. Моделирование угроз проводить надо по закону уже почти полтора года. Электронный журнал как был непонятной субстанцией, так и остался. Однако это не мешает находить в Интернет регламенты по ведению такого журнала, что помогает проходить проверки.
Но главное не изменилось.Ни ФСТЭК, ни ФСБ так и не получили права проводить проверки негосударственных организаций. Модель угроз как делал оператор, так и будет делать он же. Ждать, что органы исполнительной власти вот прямо сейчас разродятся своими отраслевыми моделями угроз не приходится (разве что кроме Банка России). А без них оператор либо может забить болт на моделирование, либо сделать это самостоятельно. И тут он волен делать все, что считает нужным.
Детальные требования по ИБ как разрабатывлись ФСТЭК и ФСБ, так и будут ими разрабатываться. Что же касается их конкретного содержания, то неужели кто-то рассчитывает увидеть там что-то еще невиданное. По линии ФСБ ничего нового не будет. Применение сертифицированных СКЗИ, выполнение 152-го приказа ФАПСИ - вот и все вокруг чего будет крутиться новый приказ. Хуже быть не может. Лучше? Вполне. Так это плюс, что может быть лучше. Новый документ ФСТЭК либо будет похож на 58-й приказ (а что в нем такого неизведанного и непонятного), либо на проект "нового СТР-К". Так он тоже известен и в работе над ним как раз приглашали поучаствовать всех желающих - но многие и тут остались верны себе - покритиковали в Facebook, а что-то предлагать отказались.
Так что стало хуже-то?
Про "электронный журнал сообщений" действительно непонятно. Сообщений о чем??? Раньше в п.15 ПП-781 речь шла об "электронном журнале обращений" пользователей к ресурсам.
ОтветитьУдалитьАлексей, нет смысла рассматривать отдельно ПП, когда систему защиты создают ФЗ, ПП, приказ трех и ведомственные РД. Поэтому в ПП можно оценивать только саму идею классификации по НДВ. Она - бредовая. Если такое начало, то достигаемую в итоге безопасность я себе уже представляю. Заранее, да.
ОтветитьУдалитьАлексей, твое бухтение про "как надо" и "ничегонеделанье" мы уже обсуждали, а ты все продолжаешь, скоро в каждом посте эти фразы писать станешь. Не превращайся в брюзгу.
ОтветитьУдалитьПо делу. На инфобезе, на пленарке, сидело аж 2 представителя от ФСБ, разрабатывавшие документ. Я ЛИЧНО задал вопрос - а что это у Вас такой упор на НДВ в документе? На что мне был ответ - мы считаем что это серьезная угроза. Я возразил - и меня поддержали, что наличие есть везде, а вот возможность использования - далеко не всегда, давайте поменяем формулировку? Они помялись и съехали с темы в кулуары. В кулуарах мне удалось поймать их снова и задать тот же вопрос - на что мне было сказано "ок, чувак, мы рассмотрим, дельная тема".
Рассмотрели - результат налицо. Какой смысл писать куда-то и делать что-то, если даже по одному принципиальному вопросу разногласий не удается достичь компромисса? Косметические правки вносить - это к пластическому хирургу.
Алексей!
ОтветитьУдалитьПрисоединяюсь к недовольству наездами на ничегонеделанье. Для первой редакции я составлял постатейный разбор проекта и для КАЖДОГО пункта приводил предложение формулировок или предложение по переделке. Аналогично после заявления Тачкова из ФСБ в самом начале разработки новой версии их документов составлялась и направлялась им такая портянка. Так что возмущение "пока никто не предложил" как минимум неверно )))) (По этому постановлению я не писал такой же портянки только из-за отпускной лени :) совпало так). Причем я по своим взглядам и соответственно предложениям начительно ближе к идеологии регуляторов, нежели форумное большинство. А вопросы сейчас все задают только в надежде, что регуляторы читают блоги и в приказах развеют все эти вопросы, учтут недопонимание исполнителей так сказать. Можно сказать форма предложений несколько отличается от стандартно-бюрократической, и настало время проявить "профессиональную гражданскую позицию" работникам регуляторов )))) (сразу отмету возражения "а оно им надо", как нивилирующее написание замечаний экспертами").
Принципиально же проблема лежит гораздо глубже, как вчера с моей таблицей и ее "удобностью". Сейчас я начал знакомиться с "теорией клубов" (http://polit.ru/media/files/2012/10/27/Dolgin_Blok_Final_1.pdf), которая достаточно четко описывает модель "ничегонеделанья" и способы преодоления такой ситуации. Так вот, на мой взгляд, бессмысленно организовывать совместную работу без ВЗАИМНЫХ уступок и ЧЕТКО ЗАЯВЛЕННЫХ ПРАВИЛ. Гражданского (бесплатной работы для всех, волонтерстdа на ниве ИБ) взаимодействия при таком раскладе не получится. Действующая модель уже себя дискредитировала. Я пока не слышал ни от кого, что его замечания ФСБ или ФСТЭК при разработке документов учел. Причем Вы явно сейчас не в "нашем" клубе - "сотрудник" ТК и различных отгосударственных комиссий есть в глазах общественности "бюрократ" ))) и заявление, что Ваше замечание було реализовано, только будет подтверждать правило "пробившегося" )))))
Это конечно лично Ваше мнение, но, наверное, неправильно себя противопоставлять "обидевшемуся" на отсутствие "обратной связи" "сообществу". Регуляторам не так сложно было бы взять и открыто разобрать предложения и причины их отклоненний, например в узком кругу, с приглашением Емельянникова, Волкова, Лукацкого, Бондаренко, Тораненко (простите, если ошибся в фамилиях), которые бы потом остальным донесли бы о самом факте такого встречного движения, что явно бы подстегнуло то самое "волонтерство ИБ".
Заранее с извинениями за "если кого обидел", но свое мнение хотел донести.
Алексей, все не так. Делали и предлагали очень много - все в урну. С Ригелем полностью солидарен - сама идея зависимости от угроз НДВ при полном, подчеркиваю, полном, отсутствии механизмов противостояния им или хотя бы снижения рисков - бредовая. От насморка предлагают лечиться гипсованием ноги. Признал НДВ в ОС актуальной угрозой - защищайся сертифицированным МЭ и IDS, ну, и создай подразделение по техзащите. Если нет требования сертификации ОС и приклада по НДВ - зачем вообще говорить о таких угрозах. Про незнание законов умолчу - и про общедоступные данные, и про сотрудников оператора, и про журналы сообщений и журналы безопасности. И не верю, что всем разрешат идти очевидным путем- признать угрозы НДВ неактуальными и спать спокойно. Тогда все это городить было не за чем.
ОтветитьУдалитьОтвечая на поставленный вопрос: Хуже стало то, что не стало ни хуже, ни лучше. А что изменилось то по большому счету – а перелили из пустого в порожнее и как бы вот …. Складывается впечатление, что все кто на этом блоге обсуждают данную проблему, похожи на «ёжика» в тумане, слышать то мы слышим и даже видим, а вот откуда ….., хотелось бы ознакомиться с концептом, глядишь и поутихло бы, и зря мы все это …. Может в этом кроется причина, что ни Вас, уважаемые господа, ни Нас не слышат или от лукавого все это ….
ОтветитьУдалитьОпять же возвращаясь …. Что бы понять «средину», надо увидеть «начало».
Да явно видно что постановление писали ”под лоббистов“. Они скоро себя проявят. Больше всего бесит, что его писали ФСБшники-специалисты в РЕЖИМЕ, а кроме вялых: назначение ответственного и определение списка лиц, ничего выдать не смогли. Сдулись все специалисты...
ОтветитьУдалить"Так что стало хуже-то?"
ОтветитьУдалитьА то и стало, что без изменений, все также плохо. При этом история цивилизации нам говорит, что государство, которое постоянно не улучшается, не усиливается, в итоге проигрывает и сходит с мировой сцены. И усиление это не в гранитноподобном Путине, который всегда готов показать кузькину мать западу, и поддерживающих его силовиках, а в постоянной работе по увеличению эффективности всех частей государства - органов власти, бизнеса, граждан. Так вот эффективности ИБ в нашей стране нет уже 20 лет. Догоним ли?
"(все только критикуют)"
ОтветитьУдалитьАлексей - слишком часто обобщаешь...
Но твой прием и позиция теперь понятны. Таким вот провокационным образом "шевелишь сонный рой"...
Это не вполне честно ?!
Коллеги тебе этого не простят ;)
Ну и с праздником ВОСР !!! ? ноября все-таки...
Кстати проблемы с "наличием НДВ" не только независимые эксперты отмечали, но и вполне зависимые специалисты ФСТЭК. Налицо принцип "предлагай не предлагай". Позиция аффтора уже давно вызывает непонимание... Свой среди чужих, чужой среди своих :-)
ОтветитьУдалитьПо поводу актуальности НДВ.
ОтветитьУдалитьПрошу подумать вот о такой парадигме:
Любая информационная система состоит из слоев определяющих уровни абстракции. Например, вспомним модель сетевого взаимодействия OSI.
Важно понимать, что обеспечение нормальной работы прикладного уровня прямо зависит от работы транспортного, канального и т.п. - всех уровней которые ниже!
Тоже самое и с информационной системой - наличие любой актуальной угрозы высшего уровня может быть отображено на угрозы более низкого уровня.
Понимаете о чем глаголю! Если в системе есть хоть одна актуальная угроза - она может быть вызвана уязвимостями/закладками более низкого, скажем системного уровня! Это про НДВ... Но опустимся ниже. Даже внезапное отключение питания - актуальная угроза приводящая к уничтожению защищаемых данных.
Посему - любая угроза на системном уровне (по определению НДВ - закладка) - не может не влиять на прикладной уровень.
ОтветитьУдалитьЕсли угрозы, работающие на низших уровнях, имеют отражение в высшие, это не отменяет существования на высших уровнях своих собственных угроз, не имеющих причин в низших, угу?
ОтветитьУдалить"По поводу актуальности НДВ.
ОтветитьУдалитьПрошу подумать вот о такой парадигме:..."
О чем я вчера и написал. Уровни абстракции явно связаны с НДВ. Их определение жизненно необходимо для понимания своих действий и их планирования, т.к. существование человека в условиях неопределенности не естественно и вызывает отторжение.
В связи с поднятым вопросом вспомнились системы лечения детей с ДЦП с помощью БОС (http://ru.wikipedia.org/wiki/%C1%E8%EE%EB%EE%E3%E8%F7%E5%F1%EA%E0%FF_%EE%E1%F0%E0%F2%ED%E0%FF_%F1%E2%FF%E7%FC). Ну очень много аналогий ((((
Ну и про системы. Системы состоят из подсистем, надсистем и т.п. Попытка разработать систему без учета и понимания надсистемы и подсистем вряд ли может называться системных подходом. Но постулируется именно он. Вот если бы мы работали по теории хаоса... ну или какой другой не системный подход имели.
Ригель - угу конечно !
ОтветитьУдалитьА самый главный вопрос все обходят - что дальше? Поручение правительства выполнено, все отчитались, ждем документы ФСТЭК и ФСБ. Сколько, когда, как?Зачем выпускать одно ПП, подвешенное в воздухе? Опять неразбериха, суета, тревога, проекты тормозятся, конец года - деньги остаются. Вы верите в скорый выход документов регуляторов? Я лично нет. И ни у кого нет надежды, что они все расставят по своим местам.Скорее опять все запутают. И дело не в корыстных непрофессиональных интеграторах, дело в непоследовательности регуляторов - выпускайте всё сразу, не томите...В общем возвращаемся в 2006 год, а 6 лет работы можно в топку...
ОтветитьУдалитьА не, забыл, популярность эксплуатируемого нами в качестве форума блога за эти 6 лет выросла неимоверно :-)))))
ОтветитьУдалитьАлексей Т.: документ ФСБ уже готов. ФСТЭКовский на подходе. Если власти не затеят очередную игру по смене руководства того или иного ведомства или не начнется каких-либо социальных волнений, то выпустят до конца года. ФСБшный так уж точно.
ОтветитьУдалитьЧто касается популярности блога, то спасибо ;-) Но наверное это еще и потому, что темы поднимаются актуальные. Но не такие актуальные как угрозы НДВ
В первой редакции проектов постановлений не было типов угроз - были типы нарушителей, которые тоже были привязаны к НДВ и которые вытекали из 6-ти классов нарушителя ФСБ. КН1-КН3 были равны УН3 (а сейчас это уровень актуальных угроз 3). КН4-КН5 = УН2, а сейчас угрозы типа 2. Ну и КН6 = УН1, т.е. угрозы 1-го типа. Т.к. большинство компаний живет у нас в модели КН1-КН3, то и угрозы у них будут только 3-го типа.
ОтветитьУдалитьЧто в мире актуальнее
ОтветитьУдалитьУгрозы НДВ?
С утра вода холодная?
проверка МВД?
Икра, вино игристое?
С колбаской бутерброд?
Чего вы так волнуетесь?
Идемте спать, народ!
НДВ и МВД? Рифма неудачная ;-)
ОтветитьУдалитьЭто ты товарищу сержанту расскажешь ;)
ОтветитьУдалитьА вообще да... Не к ночи.... Тьфу тьфу...
Ознакомился с проектом ФСТЭК, Требования
ОтветитьУдалитьо защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах.
В данном документе классификация ИС - по Классам защищенности (К) = [уровень значимости информации; масштаб системы].УЗ = [(конфиденциальность, степень ущерба) (целостность, степень ущерба) (доступность, степень ущерба)], масштаб ИС делится на федеральный, региональный, объектовый. Уровней значимости 4ре, в зависимости от ущерба обладателю КИ (оператору) при нарушении К/Ц/Д, при чем Информация имеет минимальный уровень значимости (УЗ 4), если ущерб от нарушения свойств безопасности информации (конфиденциальности, целостности, доступности) не установлен, но при этом информация подлежит защите в соответствии с законодательством Российской Федерации.) Если проводить параллель с ПП1119 примерно так же 4 класса/уровня зависящих от масштаба и значимости информации. Но про НДВ ничего, расхождения в уровнях/классах или так и должно быть..Ну допустим так должно, глядя в будущее (я в гос.орг), что же получается, необходимо сначала определить типы угроз/масштаб, уровень защищенности -> выполнить мероприятия по ПП 1119, затем определить класс защищенности -> актуальные/неакт. угрозы-> выполнить меры указанные в требованиях ФСТЭК) Едрен батон! ФСБ еще не читал) А в целом у ФСТЭКа хороший документ получился, этапы разработки, реализации, эксплуатации...привязки к ГОСТам, подробные требования и меры, все хорошо бы, но то ли это чего ждали, читал ли ФСТЭК ПП1119?)по проекту требования применяются с 1 февраля 2013 на модернизируемые или вновь создаваемые ИС. Как по вашему, Алексей, все вяжется и нужен ли этот документ?)
Так вот кто виноват что документы такие фиговые выходят.... Недовольное экспертное сообщество ! А я то думал....
ОтветитьУдалить2 Evgeniy West Никакого отношения к ПП 1119 ФСТЭК не имеет, не разрабатывала, не консультировала. Отсюда и расхождения.
ОтветитьУдалитьЕсли смотреть в толковый словарь, то эксперт - это сведущее лицо, специалист, привлекаемый для того, чтобы высказать свое мнение, дать заключение по поводу какого-нибудь дела, вопроса.
ОтветитьУдалитьСказать "все говно" - это не экспертиза, это ...здобольство ;-) Ничего личного!
Когда был только проект - я нализировал классификацию по принципу принадлежности к НДВ.http://elvis.ru/upload/iblock/149/tam_na_nevedannyh_dorojkah.pdf Получилось, что ничего страшного, соглашусь с А. Лукацким - хуже не стало, а это уже хорошо.
ОтветитьУдалитьАлексей, не могли бы вы подсказать по п. 21 из вашей таблички: где именно в ФЗ-152 звучит это требование?
ОтветитьУдалить