15.2.17

Конференция ФСТЭК: мониторинг ИБ и SOCи

По SOCам на конференции ФСТЭК особо ничего нового не прозвучало, кроме нескольких отдельных моментов:
  • Все опубликованные ФСТЭК требования к SOC (услуге по мониторингу) придуманы не ФСТЭК, а поставщиками услуг ФСТЭК, которые были приглашены в ноябре в ФСТЭК для обсуждения требований к новому виду деятельности. Это прозвучало интересно на фоне того, что во время обсуждения моей заметки в Фейсбуке, участвующие во встрече поставщики услуг SOC, заявили, что они были против того, что появилось в финальной версии документа. Если все были против, а ФСТЭК сама ничего не придумала, то кто все это придумал?
  • Требования к SOC прописаны по максимуму, что было мотивировано тем, что к владельцу SOC может обратиться владелец ГИС 1-го класса защищенности и владелец врядли откажется от денег за мониторинг. Отсюда и максимальные требования. При этом никаких делений по видам деятельности клиентов не предусмотрено, так как закон о лицензировании отдельных видов деятельности, как и 79-е Постановление Правительства также не проводят никакого водораздела. 
  • Позицию ФСТЭК по списку обязательного для получении лицензии ФСТЭК оборудования я не понял. С одной стороны мысль о том, что SOC, имеющий доступ к средствам защиты заказчика, должен и сам быть защищенным, вполне разумна. Но вот дальше не совсем понятно. Почему список используемых средств именно такой? И ЧТО ТАМ ДЕЛАЮТ WAF?  На конференции прозвучало, что WAF должен быть не у SOC, а у заказчика, которого взяли на мониторинг. ЗАЧЕМ??? Если уж SOC должен быть аттестован на соответствие требованиям к ГИС 1-го класса, то зачем отдельно устанавливать еще какие-то требования к номенклатуре средств защиты, применяемых для защиты SOC? 
  • SOC должен быть аттестован по требованиям к ГИС 1-го класса. Эта позиция была уже обоснована выше. Если к владельцу SOC придет владелец ГИС 1-го класса, то два владельца смогут подружиться, только имея системы с одинаковым уровнем защиты. А то, что владелец SOC может быть ориентирован только на малый бизнес и вообще не хотеть работать с госорганами, так это ФСТЭК не особо волнует, так как они исходят из худшего сценария развития событий (worst case).
  • Непрозвучавшая на конференция тема с применением только сертифицированных СКЗИ от SOC до объектов мониторинга особо развернута не была. С одной стороны ФСТЭК утверждает, что это придумали сами владельцы SOC. С другой - в кулуарах была высказана версия, что как раз Национальный координационный центр по компьютерным инцидентам при ФСБ (НКЦКИ), отвечающий за ГосСОПКУ, такие требования даже не планировал устанавливать, понимая, что это малореально. А малореально это потому, что существует большое количество сценариев, где сертифицированных СКЗИ попросту нет. Но владельцы SOC дышат оптимизмом - в запале дискуссий на эту тему они даже заявляют, что у них и сейчас клиенты присоединяются к SOC с помощью сертифицированных VPN.

Ситуация с SOCами мне сейчас видится не очень позитивной. С одной стороны отрадно, что регулятор столь оперативно обратился к ней. А с другой, выставленные требования не очень-то и разовьют эту нишу рынка ИБ. И дело тут не в отсутствии конкуренции (иностранным SOCам кислород перекрыли, видимо, опасаясь сравнения не в свою пользу), а в недальновидности. Любой только зарождающийся рынок надо развивать и стимулировать, а не ставить препоны в виде жестких требований, которые в России способны выполнить единицы. В любом случае посмотрим, что с этой темой выгорит.