Pages - Menu

Страницы

16.4.13

У американцев будет свой ЦИБ ФСБ ;-)

В прошлом году ФСТЭК начала работу над законопроектом, который вносит изменения в 149-ФЗ в части расширения требований по защите госорганов и критически важных объектов. Американцы тоже решили обновить свой закон по этой тематике - FISMA (Federal Information Security Amendment Act). Пройдя основные согласования новый законопроект ушел в Белый дом и ожидается, что в ближайшее время он будет подписан.

В декабре я уже писал, как выстраивается система защиты государственных информационных систем в США. Интересно, что же такого придумали американцы по сравнению с тем, что у них уже было сделано. Изменений немало:
  1. В каждом госоргане вводится обязательная должность CISO (руководителя ИБ, который отвечает за обучение и повышение осведомленности сотрудников, за разработку и внедрение новых политик, за реагирование на инциденты, за compliance, за взаимодействие с NIST в части участия в совместной разработке стандартов по ИБ, за ежегодный аудит, за регулярную отправку (до 1 марта календарного года) отчетов о соответствии требованиям ИБ в Конгресс США.
  2. Создается новая структура - Федеральный центр реагирования на инциденты ИБ, который должен помогать госорганам в расследовании и реагировании на инциденты (некий аналог нашего ЦИБ ФСБ, но более открытый).
  3. Установление обязанности обмениваться информацией по ИБ (в частности о новых угрозах) между госорганами и частными компаниями.
  4. Основное изменение коснулось парадигмы, которая у нас называется аттестацией ;-) У американцев до недавнего времени был похожий подход, когда их проверяли по некоторому чеклисту, базирующемуся на защитных мерах из NIST SP800-53А. Но судя по публикуемым регулярно отчетам Счетной палаты это не так эффективно как хотелось бы. В отличие от механизма непрерывного мониторинга уровня защищенности, который дает свои плоды. Особенно учитывая, что за 6 лет, с 2006 года, число инцидентов в госорганах США увеличилось на 782%. Тут никакой статический чеклист не поможет - нужен непрерывный процесс.
  5. Госорганам разрешено самостоятельно принимать решения о выборе средств защиты и явно фиксируется, что решения, разработанные частными компаниями, гораздо лучше справляются с современными и динамичными угрозами (кстати, мы 16 мая про такие угрозы и способы борьбы с ними и будем рассказывать). Кто знаком с американским рынком средств защиты знает, что у них есть такое понятие - COTS (Commercial Off-The-Shelf), т.е. продукты, которые могут быть использованы в госорганах, но при этом активно продаются и на коммерческом рынке. Эти решения альтернативны собственным разработкам государства или финансируемым по госконтракту средствам защиты и позволяют существенно сэкономить и снизить TCO. Однако по мнению Министерства национальной безопасности, такие решения несли с собой угрозу, связанную с рисками в цепочке поставок, о которых я уже писал. И вот смена парадигмы - США признают, что коммерческие продукты лучше борются с угрозами, чем спонсируемые государством точечные разработки..
  6. Рекомендуется активнее использовать средства анализа защищенности и тесты на проникновение (Red Team).
  7. Законопроект распространяется на госорганы, Минобороны и ЦРУ, но информационные системы последних двух ведомств выделяются в отдельную категорию - "системы национальной безопасности" со своей спецификой.
  8. Провозглашается риск-ориентированный подход, базирующийся на ряде критериев, включая уровень (гриф) защищаемой информации, ущерб и экономическую целесообразность.
  9. Появляется обязанность сообщать об инцидентах в течение 24 часов (не позднее 48) в федеральный центр реагирования на инциденты.
  10. Каждый госорган обязан разработать собственную программу по ИБ (а не просто многостраничную концепцию, которую обычно ставят на полку и никогда к ней не прикасаются).
  11. Помимо защиты информационных систем, необходимо обеспечивать непрерывность и бесперебойность их функционирования (аналогичные требования появились и в 17-м приказе ФСТЭК по защите госорганов).

Если бы меня спросили, в чем ключевое отличие нынешней редакции FISMA от предыдущей, то я бы мог ответить одной  фразой - "смена акцента в сторону большей динамичности; угроз, защитных мер, процессов защиты, реагирования на инциденты". В условиях изменяющих угроз и сдвига акцента на "кибер"-составляющую в национальной безопасности США, новый законопроект появился как нельзя кстати и к месту.

8 комментариев:

  1. >>Провозглашается риск-ориентированный подход, базирующийся на ряде критериев, включая уровень (гриф) защищаемой информации, ущерб и экономическую целесообразность.

    ээээ. А раньше какой у них был подход?

    >>Каждый госорган обязан разработать собственную программу по ИБ (а не просто многостраничную концепцию, которую обычно ставят на полку и никогда к ней не прикасаются).

    Ну это утопия. Как сделать так (НЕ заставить!), чтобы такое огромное количество людей вдруг концептуально изменила свои взгляды и свои ДЕЙСТВИЯ?!

    >>В каждом госоргане вводится обязательная должность CISO (руководителя ИБ, который отвечает за обучение и повышение осведомленности сотрудников, за разработку и внедрение новых политик, за реагирование на инциденты, за compliance, за взаимодействие с NIST в части участия в совместной разработке стандартов по ИБ, за ежегодный аудит, за регулярную отправку (до 1 марта календарного года) отчетов о соответствии требованиям ИБ в Конгресс США.

    1. Дирехтор по ИБ в каждом федеральном, областном, муниципальном и местном органе исполнительной власти - это КРУТО! Интересно, кого они решили сократить, чтобы не менять штатки и не раздувать бюджеты? Ведь директора по ИБ стоят колоссальных денег.
    2. Работа такого человека напрямую с организацией по стандартизации - это бесконечно здорово.
    3. А кому он будет подчиняться? Тем кому отчитывается, "ФЦР на инцинденты ИБ" или тому кто платит зарплату? Ведь усидеть даже на 2-х стульях могут единицы, а на трех... Скорее всего дали руководителям лишние рабочие руки, а ИБ - подождет.

    >>Создается новая структура - Федеральный центр реагирования на инциденты ИБ, который должен помогать госорганам в расследовании и реагировании на инциденты (некий аналог нашего ЦИБ ФСБ, но более открытый).

    Очень сложная подчиненность. Руководство хочет скрыть инциденты (и в США - вон все фильмы ихние про это), а помощь в расследовании и реагировании - это явное раскрытие. Конфликт на лицо. Или в США ВСЕ руководители сознательные и рассматривают свою деятельность в контексте национальной безопасности?

    >>Основное изменение коснулось парадигмы, которая у нас называется аттестацией ;-) У американцев до недавнего времени был похожий подход, когда их проверяли по некоторому чеклисту, базирующемуся на защитных мерах из NIST SP800-53А.Тут никакой статический чеклист не поможет - нужен непрерывный процесс. Госорганам разрешено самостоятельно принимать решения о выборе средств защиты и явно фиксируется, что решения, разработанные частными компаниями, гораздо лучше справляются с современными и динамичными угрозами

    1. Ага!!! Значит и у них ЕСТЬ аттестация!!! ;)
    2. "Чеклист" и "процесс" - что ближе, понимательнее и интуитивнее для человеческого разума? Это как зомбировать надо людя, чтобы он процессами думать начал?! Утопия. Все скатиться к новым чеклистам. А менять их часто никто не даст - нефиг бизнесу/госуслуге мешать изменениями.
    3. Человек, как ток, идет по пути наименьшего сопротивления. Решение о самостоятельном выборе СЗИ это как перед ослом положить две одинаковых кучи сена. Народ (в массе) не поймет (но каждый по отдельности - реальный спец). Недавно столкнулись с аналогичной ситуацией:
    - ряд организаций по наводке специалистов по ИБ своих головных организаций из Москвы не хотят ставить определенные СЗИ и аттестовывать (федеральный ресурс, доступ к которому имеют частные организации)
    - с ними согласились, чтобы они сами выбрали (правда и не пресовали - это заранее ор был)
    - предложили выполнить все требования и сообщить о выполнении нормативки, взяв на себя ответственность за их исполнение
    - они пришли спрашивать что им теперь выбрать, чтобы точно все заработало
    - они пришли спрашивать какие документы должны быть
    - они пришли спрашивать как им подтверждать, что у них все соответствует, если не аттестовывать.

    се ля ви...


    ОтветитьУдалить
  2. Нет, конечно )))) Только по написанному и из опыта ))))) Очень хотелось подробностей...

    ОтветитьУдалить
  3. Ну так прочитай - он короткий, а ссылку я привел

    ОтветитьУдалить
  4. Уважаемый Алексей!

    Честно пытался прочитать - но языковой барьер ломает ноги. Частично я понимаю о чем документ, но в целом, особенно с отсылками - в голове сюжет не откладывается. К сожалению, английский - это серьезное препятствие для, наверно, большинства "специалистов" по безопасности в РФ. Особенно не в Москве (((( Это же скорее всего и основное препятствие при внедрении офигенных импортных документов (CMMI, COBIT, PMBOK, PRINCE2, и многих других) транслирующих опыт ненаступания на грабли.

    ОтветитьУдалить
  5. Но из попытки я вынес 2 интереснейших наблюдения:
    1. Нумерация строк - это граната, которая почему-то не приходит в голову нашим законодателям, хотя идея лежит на поверхности.
    2. Нумерация перечислений в тексте - это ядерная бомба!!! Пример (за уши, но главное суть):

    1. Настоящим Федеральным законом регулируются отношения, (1) связанные с обработкой персональных данных, (а) осуществляемой федеральными органами государственной власти, (б) органами государственной власти субъектов Российской Федерации, (в) иными государственными органами (далее - государственные органы), (г) органами местного самоуправления, не входящими в систему органов местного самоуправления муниципальными органами (далее - муниципальные органы), (д) юридическими лицами, (е) физическими лицами (2) с использованием средств автоматизации или (3) без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации.

    преобразуется в:
    1. Настоящим Федеральным законом регулируются отношения,
    (1) связанные с обработкой персональных данных,
    (а) осуществляемой федеральными органами государственной власти,
    (б) органами государственной власти субъектов Российской Федерации,
    (в) иными государственными органами (далее - государственные органы),
    (г) органами местного самоуправления, не входящими в систему органов местного самоуправления муниципальными органами (далее - муниципальные органы),
    (д) юридическими лицами,
    (е) физическими лицами
    (2) с использованием средств автоматизации или
    (3) без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации.

    1. Настоящим Федеральным законом регулируются отношения, связанные с обработкой персональных данных, (1) осуществляемой федеральными органами государственной власти, (2) органами государственной власти субъектов Российской Федерации, (3) иными государственными органами (далее - государственные органы), (4) органами местного самоуправления, не входящими в систему органов местного самоуправления муниципальными органами (далее - муниципальные органы), (5) юридическими лицами, (6) физическими лицами с использованием средств автоматизации или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации.

    преобразуется в:
    1. Настоящим Федеральным законом регулируются отношения, связанные с обработкой персональных данных,
    (1) осуществляемой федеральными органами государственной власти,
    (2) органами государственной власти субъектов Российской Федерации,
    (3) иными государственными органами (далее - государственные органы),
    (4) органами местного самоуправления, не входящими в систему органов местного самоуправления муниципальными органами (далее - муниципальные органы),
    (5) юридическими лицами,
    (6) физическими лицами с использованием средств автоматизации или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации.

    Сравните смысл последних двух вариантов. А? Каково?
    Эдак можно передавать дух и смысл законов, а не порождать многотолкование и бардак!!!
    Жаль что эти схемы НЕПРИВЫЧНЫ русскому языку.

    P.S. Не сказать, что эти моменты я увидел впервые, но именно сейчас сложилось в мыслю.

    ОтветитьУдалить
  6. Значит не зря пробовал. Две мысли из одного нормативного акта на иностранном языке - это хорошо. Можешь ли ты похвастаться тем же, читая наши законы?

    ОтветитьУдалить
  7. уууу... от наших мыслей очень много )))) Только все равно практически вся нормативка не исполняется.

    ОтветитьУдалить

Примечание. Отправлять комментарии могут только участники этого блога.