На прошлой неделе, 25-26 июня в Санкт-Петербурге прошел форум "ИТ-Диалог", где мне довелось уже второй год подряд модерировать (вместе с руководителем ИБ Санкт-петербургского Комитета по информатизации Андреем Лихолетовым) одну из секций - "Россия защищенная". Мероприятие было целиком ориентировано на государственные и муниципальные структуры; поэтому и докладчики в секции были соответствующие:
и самого 31-го приказа ФСТЭК. Предваряя классический вопрос, почему 31-й приказ является обязательным и из какого федерального закона вытекает его исполнение, был представлен и такой вот слайд с указанием ключевых ФЗ, которые требуют обеспечения безопасности, в том числе и информационной, и детали реализации которой описаны в 31-м приказе.
Наконец, представитель УФСБ показал статистику классических нарушений в области применения СКЗИ, выявляемых ими при проверках. В заключение он напомнил всем участникам, что за несоблюдение мер защиты информации, установленных в обязательных документах ФСТЭК (152-й и 378-й приказы ФСБ) существует административная ответственность по части 6 ст.13.12 КоАП. На вопрос о практике применения этой статьи ответ был положительным :-) ФСТЭК, кстати, также подтвердила, что они эту статью используют в отношении тех госорганов и муниципалитетов, которые не выполняют требования 17-го приказа.
- 3 регулятора - ФСТЭК, ФСБ и РКН.
- 4 представителя госорганов из разных регионов - Санкт-Петербург, Ленинградская область, Республика Коми и Хабаровский край.
- 3 спонсора, среди которых в том числе и мой работодатель - Cisco.
Свои впечатления я разобью на несколько заметок, так как все доклады были очень интересными и в каждом я почерпнул что-то новое, а местами и полезное. Поэтому в одну заметку я не вмещусь; начну с регуляторов. Кстати, я не буду рассказывать об организации мероприятия - она была вполне на уровне, а уж выбранное место (Константиновский дворец) вообще было вне конкуренции. В президентской резиденции удается бывать не так часто; тем более в таком историческом месте.
Первым выступал представитель питерского ФСТЭК с рассказом о защите АСУ ТП. Был дан обзор и тех объектов, которые есть в Северо-Западном федеральном округе (даже систему управления движением судов есть)
и самого 31-го приказа ФСТЭК. Предваряя классический вопрос, почему 31-й приказ является обязательным и из какого федерального закона вытекает его исполнение, был представлен и такой вот слайд с указанием ключевых ФЗ, которые требуют обеспечения безопасности, в том числе и информационной, и детали реализации которой описаны в 31-м приказе.
Но наиболее интересным, как это часто бывает, была секция вопросов и ответов, которые я сформулирую в виде тезисов:
- Новые документы ФСТЭК (17, 21, 31 приказы), в отличие от предыдущих, дают свободу выбора для владельцев защищаемых систем. В докладе замминистра ИТ Хабаровского края Кирилла Бермана позже была высказана мысль, что такая свобода - это благо для владельцев государственных систем, но многие лицензиаты к ней пока еще не готовы, так как привыкли работать по СТР-К, по закрытым перечням защитных мер, не подразумевающим никакой свободы выбора.
- Кстати, об СТР-К. Представителем ФСТЭК была высказана, как он сам сказал, крамольная мысль, что СТР-К является нелегитимным документом, так как он не зарегистрирован в Минюсте. А посему для госорганов и муниципалов единственным документом остается 17-й приказ, что подтверждает и Минкомсвязи применительно к различным типам информационных систем, обрабатываемых в госорганах и муниципальных учреждениях. Вопрос про утечки по техническим каналам не поднимался (кроме СТР-К эта тема больше нигде и не описана в виде требований). Но ввиду принятия в скором времени 5 (!) документов по этой теме думаю, что СТР-К действительно скоро перестанет быть актуальным документом (хотя слухи о его переработке всплывают регулярно).
- Во время рассказа о банке данных угроз и уязвимостей возник вопрос, как получить доступ к закрытой части банка, в котором публикуется информация о дырах, либо еще не устраненных, либо в специфическом ПО. Ответ был следующий - писать запрос на имя директора ФСТЭК с просьбой предоставить такой доступ. Коммерческим компаниям можно не беспокоиться - доступ только для госов.
- Применительно к теме надзора за безопасность АСУ ТП и КСИИ была сказано, что ввиду отсутствия пока соответствующего закона о безопасности критической информационной инфраструктуры, проводятся мероприятия систематического наблюдения и проверки, невлекущие за собой наказания (в актах проверки нарушения не пишутся). Однако ФСТЭК собирает информацию для оценки ситуации с защитой АСУ ТП и КСИИ, а также направляет ее в воронежский ГНИИ ПТЗИ для изучения и выработки будущих рекомендаций по защите.
Вторым выступал представитель Управления ФСБ по СЗФО с рассказом о криптографии и ее использовании в госорганах, а также о защите персональных данных. Рассказ был начат с упоминания ПКЗ-2005, как основного документа в области СКЗИ, и обзора основных требований 152-го приказа ФАПСИ, как единственного открытого документа по вопросам эксплуатации СКЗИ. Ничего нового сказано не было; единственное, что упомянули, что пока 152-й приказ менять не планируется. Также был обзор требований 378-го приказа по защите ПДн и краткий рассказ о новой методике моделирования угроз ПДн для госорганов. Из интересных вещей в выступлении и ответах на вопросы представителя ФСБ могу отметить:
- СКЗИ применяются там, где такие требования вытекают из модели угроз (нарушителя) или технического задания.
- Изменения в вопросе, что такое оценка соответствия СКЗИ, не появилось. Это только обязательная сертификация в ЦЛСЗ ФСБ.
- На классический вопрос о том, что делать, когда СКЗИ под нужную задачу нет, последовал не менее классический ответ - создавать СКЗИ с нуля.
- На вопрос, что считают в ФСБ государственной ИС (ввиду непростой ситуации с трактовками), ответа четкого не было, но было сказано, что при проверках разночтений с госорганами не возникает, а вообще это Минкомсвязь должен дать окончательный ответ на данный вопрос.
- На вопрос о том, что делать, если все VPN у нас работают на базе BSD или Linux и нарушитель может иметь доступ к среде функционирования, а значит по 378-му приказу надо, чтобы СКЗИ была сертифицирована по классу КА, ответ был простой - подходите творчески к формированию модели нарушителя/угроз. Это предложение от представителей ФСБ звучало уже не раз, так что стоит к нему прислушаться. Тем более, что многие госорганы уже его используют на практике.
- При анализе методики моделирования угроз ПДн, многие (и я про это писал) обратили внимание на то, что идеология ФСБ следующая. СКЗИ для защиты ПДн при передаче в канале связи должны применяться обязательно, если не будет доказано, что в канале связи невозможно осуществление несанкционированных воздействий на ПДн. И многие задались вопросом, как и кто это может доказать. Теперь есть ответ на это - доказывать это может лицензиат ФСТЭК (не ФСБ). Именно он определяет уровень защищенности канала связи и его способность обойтись без СКЗИ. Я такие варианты уже описывал - дело осталось за малым - чтобы это подтвердил лицензиат ФСТЭК.
Наконец, представитель УФСБ показал статистику классических нарушений в области применения СКЗИ, выявляемых ими при проверках. В заключение он напомнил всем участникам, что за несоблюдение мер защиты информации, установленных в обязательных документах ФСТЭК (152-й и 378-й приказы ФСБ) существует административная ответственность по части 6 ст.13.12 КоАП. На вопрос о практике применения этой статьи ответ был положительным :-) ФСТЭК, кстати, также подтвердила, что они эту статью используют в отношении тех госорганов и муниципалитетов, которые не выполняют требования 17-го приказа.
Вот такой краткий пересказ выступлений представителей ФСТЭК и ФСБ на "ИТ-Диалоге". Сами выступления были живыми, без зачитываний по бумажке (хотя к ним и обращались как к шпаргалкам).
В следующей заметке расскажу о второй части выступлений - уже от представителей госорганов, которые делились своим опытом в решении тех или иных проблем. Это была не менее, а скорее даже более интересная часть секции. Но о ней позже.
ЗЫ. Еще из новостей, которые не прозвучали на конференции, но произошли в день ее проведения. Согласно сообщению ТК26 с 1-го января 2016-го года в России вступают в силу новые стандарты криптографической защиты информации - ГОСТ Р 34.12-2015 и Р 34.13-2015.
