После выхода приказа ФСТЭК №17 прошло уже больше года. Еще больше времени прошло с момента выхода 21-го приказа ФСТЭК по ПДн. Поделюсь только одним наблюдением, которое у меня сформировалось по результатам выступления на различных мероприятиях и после общения с целевой аудиторией, на которую распространяются эти приказы. Речь пойдет об алгоритме выбора защитных мер, а точнее о той свободе выбора, которая дается этим алгоритмом.
Ведь как было раньше, в СТР-К, в приказе №58 (а до него в четверокнижии по ПДн), в документах по КСИИ? Был жесткий набор требований, которые надо было выполнить в зависимости от класса автоматизированной системы. Жесткий. От и до. Шаг вправо, шаг влево были не предусмотрены. С одной стороны это вызывало нарекания по причине отсутствия гибкости в выборе защитных мер для различных объектов защиты. Очевидно же, что защитные меры для сервера, планшетного компьютера, ноутбука и смартфона будут различными. С другой стороны такая жесткость заставляла не думать, а просто делать то, что написано. Сказано, что нужно поставить антивирус и систему разграничения доступа, мобильные устройства запретить, а беспроводной доступ отключить, значит надо именно так и сделать. Все просто. К этой простоте все и привыкли. Шутка ли, эти неизменяемые списки требований в России приняты с 92-го года - больше 20-ти лет.
И вдруг ФСТЭК делает ход конем и дает своим подопечным свободу выбора. Критиковали за отсутствие свободы? Получайте. Хотели самостоятельно выбирать защитные меры? Вот вам, пожалуйста. Добивались возможности увязывать список защитных мер с технологией обработки данных, особенностями информационной системы и актуальными угрозами? Вперед, разрешаем.
И вот тут случился облом (я надеюсь временный). Отвыкли специалисты по защиты, нацеленные на выполнение нормативных документов ФСТЭК, от свободы принятия решения. Привыкли, что за них все решает регулятор. Но ладно бы потребители. Так и лицензиаты тоже отвыкли. Теперь же думать надо :-) Всем сторонам. Заказчик должен теперь самостоятельно определить актуальные для себя угрозы (раньше можно было к этому этапу подойти спустя рукава - список защитных мероприятий от угроз почти не зависел). А еще заказчик может сказать, что та или иная мера экономически нецелесообразна и защищаемая информация дешевле стоимости защитных мер. Мы настолько привыкли к прежнему подходу регулятора, что классический постулат "система защиты не должна стоить дороже защищаемой информации" нами воспринимался как нечто с другой планеты и неприменимое в России. Но сейчас ФСТЭК дала наконец-то возможность на практике реализовать эту аксиому. А заказчик боится. А вдруг я что-то не так сделаю? А вдруг я какую-то угрозу забуду включить в свою модель угроз? А вдруг регулятор не согласится с моим мнение о дороговизне средства защиты? А вдруг меня не аттестуют?
Органы по аттестации тоже не могут перестроиться на новые условия работы. Еще бы. Разработав типовые документы, можно было штамповать их направо и налево. А сейчас нет. Сейчас каждый заказчик уникален - у него своя модель угроз, своя информационная система, своя граница экономической целесообразности. В итоге система защиты на выходе тоже будет своя, уникальная, отличная от других. Это непривычно. Вот и происходят сплошь и рядом ситуации, когда заказчик поверив в добрую волю ФСТЭК сталкивается с неприятием со стороны лицензиата, или лицензиат, пытаясь предложить заказчику новый взгляд на систему защиты получает "это сложно, давайте по старинке".
А если вспомнить про компенсирующие меры, то ситуация становится и вовсе патовой. Раньше все было четко. Есть требование установки антивируса на объекте защиты?! Выполняй. А сейчас я могу посчитать, что это сделать либо нецелесообразно, либо дорого и попробовать заменить антивирус чем-то другим. Например, создав замкнутую программную среду с целью недопущения попадания чего-то постороннего и вредоносного. Или использовав технологию NAC (Network Admission Control), которая определяет наличие вредоносного кода при доступе к защищаемой сети. Или вовсе можно перенаправить весь входящий/исходящий трафик через корпоративный периметр и шлюз, который и будет проверять весь трафик на предмет вредоносности. Во всех этих случаях установка антивируса на компьютере или мобильном устройстве становится избыточной и ненужной. Но это приводит к увеличению числа степеней свободы. Если без компенсирующих мер у меня проблема только с изменяющимся числом защитных мер, то вводя компенсационные меры я сталкиваюсь не только с количественными изменениями системы защиты, но и качественными. Теперь заказчик должен обосновать замену одной меры другой, лицензиат должен с этим согласиться (и наоборот), а орган по аттестации подтвердить. Это ж какой взрыв мозга получается :-)
Буквально позавчера в Хабаровске на семинаре для органов исполнительной власти возникла именно такая ситуация. Например, один заказчик говорит, что ему проще выполнить СТР-К (для новой системы!) с его 26-тью требованиям и не напрягаться с гибкостью и свободой выбора 17-го приказа. В другом случае, заказчик хочет реализовать контроль целостности в виртуализированной среде с помощью компенсирующих мер, а орган по аттестации опасается, что у него местный ФСТЭК отзовет лицензию, если он такую замену согласует и выдаст аттестат.
Когда год назад предложенный ФСТЭК алгоритм выбора защитных мер только появился, я считал это замечательным достижением и подспорьем в деятельности многих специалистов по безопасности. Я и сейчас продолжаю так считать, но практика показывает, что не все готовы быстро перестраиваться под новые изменения. Кого-то устраивает прежняя ситуация. А учитывая отсутствие четкого ответа регулятора по поводу статуса СТР-К, неразберихи с термином "государственная информационная система" и продолжением существования РД на АС, 17-й приказ ФСТЭК внедряется не так быстро, как хотелось бы.
Решить эту задачу мог бы рост числа мероприятий, которое бы ФСТЭК проводило для своих территориальных управлений, где многие сотрудники живут по-прежнему в прошлом веке и не понимают нововведений в нормативную базу (или трактуют их по старому). И проведение регулярных мероприятий (особенно в формате вебинаров) для государственных и муниципальных учреждений тоже не помешало бы. Но самое главное - это проведение мероприятий для органов по аттестации и лицензиатов со стороны авторов 17-го приказа. Именно они должны начать повышение осведомленности на местах, а потом уже можно будет делегировать эту задачу территориальным управлениям ФСТЭК. Новые знания нужно проталкивать в массы - сами они не распространяются :-)
Ведь как было раньше, в СТР-К, в приказе №58 (а до него в четверокнижии по ПДн), в документах по КСИИ? Был жесткий набор требований, которые надо было выполнить в зависимости от класса автоматизированной системы. Жесткий. От и до. Шаг вправо, шаг влево были не предусмотрены. С одной стороны это вызывало нарекания по причине отсутствия гибкости в выборе защитных мер для различных объектов защиты. Очевидно же, что защитные меры для сервера, планшетного компьютера, ноутбука и смартфона будут различными. С другой стороны такая жесткость заставляла не думать, а просто делать то, что написано. Сказано, что нужно поставить антивирус и систему разграничения доступа, мобильные устройства запретить, а беспроводной доступ отключить, значит надо именно так и сделать. Все просто. К этой простоте все и привыкли. Шутка ли, эти неизменяемые списки требований в России приняты с 92-го года - больше 20-ти лет.
И вдруг ФСТЭК делает ход конем и дает своим подопечным свободу выбора. Критиковали за отсутствие свободы? Получайте. Хотели самостоятельно выбирать защитные меры? Вот вам, пожалуйста. Добивались возможности увязывать список защитных мер с технологией обработки данных, особенностями информационной системы и актуальными угрозами? Вперед, разрешаем.
И вот тут случился облом (я надеюсь временный). Отвыкли специалисты по защиты, нацеленные на выполнение нормативных документов ФСТЭК, от свободы принятия решения. Привыкли, что за них все решает регулятор. Но ладно бы потребители. Так и лицензиаты тоже отвыкли. Теперь же думать надо :-) Всем сторонам. Заказчик должен теперь самостоятельно определить актуальные для себя угрозы (раньше можно было к этому этапу подойти спустя рукава - список защитных мероприятий от угроз почти не зависел). А еще заказчик может сказать, что та или иная мера экономически нецелесообразна и защищаемая информация дешевле стоимости защитных мер. Мы настолько привыкли к прежнему подходу регулятора, что классический постулат "система защиты не должна стоить дороже защищаемой информации" нами воспринимался как нечто с другой планеты и неприменимое в России. Но сейчас ФСТЭК дала наконец-то возможность на практике реализовать эту аксиому. А заказчик боится. А вдруг я что-то не так сделаю? А вдруг я какую-то угрозу забуду включить в свою модель угроз? А вдруг регулятор не согласится с моим мнение о дороговизне средства защиты? А вдруг меня не аттестуют?
Органы по аттестации тоже не могут перестроиться на новые условия работы. Еще бы. Разработав типовые документы, можно было штамповать их направо и налево. А сейчас нет. Сейчас каждый заказчик уникален - у него своя модель угроз, своя информационная система, своя граница экономической целесообразности. В итоге система защиты на выходе тоже будет своя, уникальная, отличная от других. Это непривычно. Вот и происходят сплошь и рядом ситуации, когда заказчик поверив в добрую волю ФСТЭК сталкивается с неприятием со стороны лицензиата, или лицензиат, пытаясь предложить заказчику новый взгляд на систему защиты получает "это сложно, давайте по старинке".
А если вспомнить про компенсирующие меры, то ситуация становится и вовсе патовой. Раньше все было четко. Есть требование установки антивируса на объекте защиты?! Выполняй. А сейчас я могу посчитать, что это сделать либо нецелесообразно, либо дорого и попробовать заменить антивирус чем-то другим. Например, создав замкнутую программную среду с целью недопущения попадания чего-то постороннего и вредоносного. Или использовав технологию NAC (Network Admission Control), которая определяет наличие вредоносного кода при доступе к защищаемой сети. Или вовсе можно перенаправить весь входящий/исходящий трафик через корпоративный периметр и шлюз, который и будет проверять весь трафик на предмет вредоносности. Во всех этих случаях установка антивируса на компьютере или мобильном устройстве становится избыточной и ненужной. Но это приводит к увеличению числа степеней свободы. Если без компенсирующих мер у меня проблема только с изменяющимся числом защитных мер, то вводя компенсационные меры я сталкиваюсь не только с количественными изменениями системы защиты, но и качественными. Теперь заказчик должен обосновать замену одной меры другой, лицензиат должен с этим согласиться (и наоборот), а орган по аттестации подтвердить. Это ж какой взрыв мозга получается :-)
Буквально позавчера в Хабаровске на семинаре для органов исполнительной власти возникла именно такая ситуация. Например, один заказчик говорит, что ему проще выполнить СТР-К (для новой системы!) с его 26-тью требованиям и не напрягаться с гибкостью и свободой выбора 17-го приказа. В другом случае, заказчик хочет реализовать контроль целостности в виртуализированной среде с помощью компенсирующих мер, а орган по аттестации опасается, что у него местный ФСТЭК отзовет лицензию, если он такую замену согласует и выдаст аттестат.
Когда год назад предложенный ФСТЭК алгоритм выбора защитных мер только появился, я считал это замечательным достижением и подспорьем в деятельности многих специалистов по безопасности. Я и сейчас продолжаю так считать, но практика показывает, что не все готовы быстро перестраиваться под новые изменения. Кого-то устраивает прежняя ситуация. А учитывая отсутствие четкого ответа регулятора по поводу статуса СТР-К, неразберихи с термином "государственная информационная система" и продолжением существования РД на АС, 17-й приказ ФСТЭК внедряется не так быстро, как хотелось бы.
Решить эту задачу мог бы рост числа мероприятий, которое бы ФСТЭК проводило для своих территориальных управлений, где многие сотрудники живут по-прежнему в прошлом веке и не понимают нововведений в нормативную базу (или трактуют их по старому). И проведение регулярных мероприятий (особенно в формате вебинаров) для государственных и муниципальных учреждений тоже не помешало бы. Но самое главное - это проведение мероприятий для органов по аттестации и лицензиатов со стороны авторов 17-го приказа. Именно они должны начать повышение осведомленности на местах, а потом уже можно будет делегировать эту задачу территориальным управлениям ФСТЭК. Новые знания нужно проталкивать в массы - сами они не распространяются :-)