Долго думал, писать эту заметку или нет, но в итоге несколько встреч, произошедших за пару недель, пересилили желание обойти тему молчанием. За последние полгода в ФСТЭК было проведено немало различных совещаний и методических сборов, как в рамках тематики КИИ или защиты государственных информационных систем, так и в области стандартизации (ТК362) или сертификации средств защиты информации (новые требования по сертификации, новые РД и т.п.). В итоге у меня сформировалась картина того, куда сейчас движется ФСТЭК. Допускаю, что я могу ошибаться в оценке действий регулятора, но высказанное не раз мнение от разных сотрудников ФСТЭК, заставляет меня думать, что это все-таки не случайность, а осознанный курс, который надо учитывать в собственной стратегии ИБ. Итак важных на мой взгляд изменений грядет четыре:
- ФСТЭК прямо заявляет, что они фокусируются на защите государственных органов и КИИ. Это вроде уже не новость - ФСТЭК об этом говорит уже не первый раз, дистанцируясь и от темы ПДн (проверять-то они не могут операторов ПДн), и от темы НПС (проверять участников НПС они тоже не проверяют, "делегировав" это Банку России), и от ряда других тем, где они не названы уполномоченным органом, имеющим всю полноту власти. То ли дело КИИ и госы, где ФСТЭК чувствует себя как рыба в воде и может выпускать любые приказы и регламенты и проверять их исполнение. Этот пункт важен в контексте всех последующих шагов и означает, что коммерческим организациям не стоит ждать откровений и решения всех своих вопросов и проблем - в порядке живой очереди, но госы все равно имеют приоритет.
- Из пункта номер один вытекает пункт №2 - обязательную сертификацию ФСТЭК требует только для госорганов. Точка. Все, что придумывают остальные регуляторы (ЦБ в своем ГОСТе или 382-П, Минздрав в 447-м Постановлении Правительства от 12 апреля 2018 года), это все головная боль не ФСТЭК, а придумавших это регуляторов. И как будет осуществляться сертификация АБС по ОУД4 или прикладных систем, подключающихся к единой системе в сфере здравоохранения, об этом пусть думают регуляторы, установившие это требование.
- Из пункта 1 и 2 вытекает пункт 3. Так как ФСТЭК ориентирован на госы и обязательная сертификация требуется только для госов, то ФСТЭК сейчас начинает говорить о вполне закономерном шаге, который должен повысить безопасность подопечных регулятора. Речь идет об установке "грифа" ДСП на документы ФСТЭК, в том числе и на требования по сертификации (я не буду вдаваться в детали, какие документы уже имеют такой гриф, а какие планируют его получить). Логичный вопрос для банка "а как мне устанавливать требования к средствам защиты, которые по требованию ГОСТа ЦБ должны быть сертифицированы, если РД на эти средства может быть закрыт для посторонних?" на самом деле не является головной болью ФСТЭК. Не они от банков требовали сертификации (они кстати выступали против принятия ГОСТа на заседании ТК122). Не они регулируют финансовые организации. Не им и отвечать. Это ЦБ должен думать, как доводить до всех тысяч финансовых организаций дспшные требования. То ли требовать от всех лицензию на гостайну получать, то ли лицензию на ТЗКИ. Но оба пути в никуда :-(
- Из первых двух пунктов вытекает и последняя замеченная мной тенденция - ФСТЭК постепенно отказывается от "Общих критериев" в сторону старых добрых требований к классам защищенности. Возможно это геополитически и не совсем верно, но зато проще для всех участников процесса сертификации по требованиям безопасности. Лаборатории не будут задумываться, как писать профили защиты и задачния по безопасности (это долго, дорого, и не всегда очевидно как, не имея опыта в этом процессе). Заказчики (читай, госы) четко будут понимать, что им требовать от вендоров. Вендора смогут понятным языком объяснять, какой функционал есть в их продуктах и как он накладывается на классы защищенности. Отсюда возникает вопрос, связанный с недавно принятой новой редакцией 382-П, обязывающей сертифицировать банковские и финансовые приложения на ОУД4 по линии ФСТЭК. Если лаборатории постепенно будут "забывать" про "Общие критерии", то найти того, кто возьмется за сертификацию и постоянное обновление сертифицированного изделия (а ЦБ постоянно что-то меняет в своей нормативке, что приводит к изменениям в ПО) будет непросто и недешево.
Я повторюсь, что могу ошибаться в своих оценках, но так кажется не только мне, но и ряду моих коллег, с которыми я обменивался мнениями. Поэтому можно считать, что описанные четыре направления вполне отражают реальность того, как и куда будет двигаться основной регулятор по ИБ. Отсюда, на мой взгляд, вытекают и вполне конкретные рекомендации для коммерческих организаций (у госов, в принципе, мало что меняется):
- Десять раз подумайте, нужна ли вам обязательная сертификация средств защиты, если государство от вас этого не требует на уровне ФЗ или ПП.
- Живите свои умом, но не забывайте поглядывать и в сторону документов ФСТЭК. Они написано здраво и не требуют сверъестественного. Более того, алгоритм выбора защитных мер оттуда гибкий и позволяет учесть кучу нюансов современной организации бизнеса.
- Не стоит забрасывать ФСТЭК запросами и письмами, на которые ответ либо будет расплывчатым, либо неустраивающим вас. Фактически ФСТЭК не регулирует вопросы защиты информации ни у кого, кроме госов и КИИ. Так зачем спрашивать то, на что у ФСТЭК нет ни полномочий, ни опыта, ни, следовательно, четкой позиции.
- Не ждите каких-то разъяснений, которые сделают вашу жизнь легче. А дальше см.п.3. И даже для КИИ не стоит ждать от регулятора манны небесной и ответа на вопросы: "А как мне категорировать мои объекты КИИ?", "А где мне провести границы объекта КИИ?", "А я субъект КИИ?", "А я могу объединить несколько объектов КИИ в один?". Помните, что в отличие от коммерческой организации, живущей по принципу "все, что не запрещено явно, разрешено", ФСТЭК, как и любой госорган, следуют прямо противоположному принципу - "Все что не разрешено явно, запрещено". Ну откуда ФСТЭК знает, как категорировать подстанцию, ТЭЦ, АЗС, автовокзал или районную больницу? Не она же управляет ими и не она обладает исходными данными для категорирования. Она может оценить (и то за ограниченное время) правильность ваших действий, но не решить это за вас. Да и правильность ФСТЭК оценить может только спустя какое-то время, получив опыт работы с кучей актов категорирования.
Ну вот как-то так...
10 коммент.:
доброе утро. вопрос про пункт 3 - а почему гостайна, если документы ДСП???
ДСП нет...но он есть.
А ФСТЭК не пришлет Вам ДСП документ, если у Вас нет либо лицензии на гостайну либо на ТЗКИ либо на разработку и производство средств зашиты государственной тайны
В свете изложенного фраза "основной регулятор по ИБ" становится весьма спорной. Сколько проживет ФСТЭК в виде самостоятельной структуры, если будет отстранятся от решения возникающих проблем формально в своей области деятельности?
ФСТЭК, ФСБ, ЦБ, структуры госкорпораций - где появятся грамотные спецы, которые таки смогут развивать ИБ на государственном уровне до достойного состояния? Или мы только на хакеров богаты, ломать не строить?
1.Грифа ДСП нет, есть пометка. И для получения документов ДСП никаких лицензий не требуется (другое дело, отдельные неграмотные должностные лица запросто ее могут потребовать - вот с ними и придется бороться центробанкам и минздравам, если они хотят сертификации).
2.Возвращение "к старым добрым классам защищенности" (1992 г) вряд ли возможно, поскольку по ним защитить/сертифицировать современные ИС/СЗИ не представляется возможным: такие ИС будут бесполезны с практической точки зрения (хотя и защищены).
3.Лабораториям не нужно задумываться о том, как писать профиль защиты - это головная боль заказчика. А ЗБ лаборатория напишет, если заказчик представил ей ПЗ.
4. Забыть про "Общие критерии" лаборатории не смогут, поскольку требования ФСТЭК к большинству СЗИ сейчас написаны именно по ОК.
Евгений: Почему спорной? Они никогда и не требовали полномочий для контроля финансовы организаций и лр. Им госов с КИИ за глаза хватает.
Александр: 1. Это так кажется. Передавать ДСП за пределы госов не предусмотрено различными регламентами и процедурами. Поэтому и возникает формальное требование наличия лицензии на ГТ или ТЗКИ.
2. Вполне возможно - ОУДы - это те же классы. Вопрос наполнения каждого класса.
3. Заказчик в массе своей вообще не в состоянии написать ПЗ.
4. Перепишут - не сложно.
Понятно, что ФСТЭК будет делать акцент на ГИС и КИИ. Потому что КИИ - это все, что есть в РФ. Зачем усложнять жизнь негосударственными ПДн и т.п.? Унифицируют по максимальному уровню требования (меры) и классы (уровни) защищенности без реального учета возможного ущерба от нарушения безопасности, и выставят их для всех. Контроль КИИ в отличии от контроля ИСПДн (не ГИС), ФСТЭК России проводить будет (если потребуется). Таким образом, государственный контроль и регулирование в области ИБ расширены на все "значимые" информационные ресурсы РФ. Личные устройства тоже скоро зарегулируют ФЗ "Об основах криптографической деятельности в РФ" и сертифицированной криптографией КС3 на SIM-картах. Больше ничего нет. Но имеется вечная проблема влияния централизованной схемы развития (ИКТ, ИБ или любой другой области деятельности) на эффективность и конкурентную способность. Опыт показывает, что децентрализованное развитие бывает значительно эффективнее, быстрее, лучше адаптируется и с меньшими затратами. Хотя иные проблемы, конечно, возникают (действительно ли это проблемы?). Например, централизуют в рамках Программы ЦЭ управление ЕСЭ, ССОП, Интернетом и создадут тем самым удобную точку атаки. Для децентрализованных систем такой выраженной проблемы не возникнет. Может было бы лучше регулировать и строить выделенные ИКТ/ИБ для действительно "критических" объектов: оборонки, некоторых ГИС, опасных производств и т.п.? И дать нормально развиваться "гражданскому" сектору, где критического ущерба нет, но вопросы конкуренции, развития, в т.ч. ЦЭ, актуальны?
С комментарием касательно ФСТЭК не согласен - не будут они контролировать все и всех. Да и даже в теме КИИ у них только значимые объекты.
Большинство из нас уж очень углубились в требования, а реальность гораздо прозаичнее. Я бы ещё добавил, что ФСТЭК на словах рекомендует, в части КИИ как минимум, обеспечить вообще хоть какой-то уровень защищённости теми средствами которые уже имеются в составе инфраструктуры и ИС. Так как на словах у заказчиков и интеграторов всё упирается в соответствие нормативке, с вытекающими гигантскими бюджетами и как правило они упускают текущие реальные возможности нарушителей по отношению к собственным системам. Можно очень многие вещи сделать руками не прибегая к специализированным средствам...ну за исключением тех случаев, когда уже печень отвалилась ;)
Отправить комментарий