15.1.20

Метод "пяти почему" в ИБ

Основатель компании Toyota, господин Тойода, постоянно пользовался правилом "пяти почему" или "пять зачем", которое помогало ему добраться до сути многих сложных процессов и разбираться во многих непонятных ситуациях.

Давайте попробуем применить его к кибербезопасности. Например, стоите вы перед выбором, купить вам межсетевой экран с сертификатом ФСТЭК или купить что-то более функциональное. И продавцы сертифицированных МСЭ так и вьются вокруг вас, а вы находитесь в раздумьях. И вот вы начинаете применять к этой ситуации метод "пяти почему".

Спрашиваете себя - почему я хочу сертифицированный МСЭ? Это первое «почему». Отвечаете: потому что так написано в законодательстве. ОК, переходим ко второму «почему». Почему вы думаете, что так написано в законодательстве? Ответ: Потому что все про это говорят и продавцы МСЭ тоже. Третье «почему»: Почему все, включая продавцов, говорят о необходимости сертификации МСЭ? Ответ: Потому что они хотят заработать денег на мне. Четвертое «почему». Почему они хотят заработать денег? Ответ: Потому что по другому их продукция не продается. Пятое «почему». Почему она не продается? Ответ: Потому что их продукция говно менее функциональная и может похвастаться только сертификатом с высоким уровнем соответствия требованиям регулятора. Ну вроде очевидный ответ, но он ни слова не говорит вам, почему именно вам нужен именно сертифицированный МСЭ? Может вас устроит и несертифицированное решение?

Давайте попробуем пройти эту процедуру еще раз. Начнем сразу со второго "почему". Почему вы думаете, что так написано в законодательстве? Ответ: Потому что я верю тем, кто говорит средства защиты должны иметь сертификат. Третье «почему». Почему я им верю на слово? Ответ: Потому что они лучше меня разбираются в законодательстве. Четвертое «почему»: Почему они лучше разбираются? Ответ: Потому что им надо продать мне свою продукцию. Пятое «почему»: Почему она не продается? Ответ: Потому что их продукция говно... Ой, опять тоже самое :-)

Давайте снова запустим метод "пяти почему". Начнем с третьего "почему". Почему я им верю на слово? Ответ: Потому что я сам не разбирался в хитросплетениях нашего сложного законодательства. Четвертое «почему»: Почему я не разбирался в законодательстве? Ответ: Потому что мне не хочется разбираться в скучном законодательстве. Пятое «почему»: Почему мне не хочется разбираться в скучном законодательстве? Ответ: Потому что... вот тут может несколько причин. Мне не хочется спорить с регуляторами. У меня нет юридического образования. У меня нет юристов, которые бы помогли мне. Мне, у меня, я... Последнее "почему" можно сформулировать проще, не прячась за отговорками. Я НЕ ХОЧУ НАПРЯГАТЬСЯ и МНЕ ТАК ПРОЩЕ.

И скажите теперь, при чем тут сертификат на МСЭ? Мы покупаем сертифицированное решение по одной простой причине, если, конечно, мы не госорган, - нам не хочется напрягаться, чтобы разобраться в отечественном законодательстве и понять, кому и в каких ситуациях требуется сертификат ФСТЭК, а в каких можно обойтись иными формами оценки соответствия.

Какой еще пример можно привести? Допустим, в компании утекла база данных и был нанесен слишком большой ущерб. Мы хотим понять, в чем причина этого и почему утекло так много данных. Первое "почему" так и будет звучать: Почему у нас утекло так много данных? Ответ: потому что мы слишком поздно среагировали на инцидент. Второе "почему" мы сформулируем как: Почему мы слишком поздно среагировали на инцидент? Ответ: потому что мы слишком долго расследовали утечку. Третье "почему": Почему мы слишком долго расследовали утечку? Ответ: у нас не хватает компетенций (вариацией ответа может быть "у нас не хватает соответствующего playbook" или "у нас не хватает нужного инструмента" или "у нас не выстроен процесс борьбы с утечками" или "у нас не вся организация покрыта средствами мониторинга" или "). Четвертое "почему": Почему у нас не хватает компетенций? Ответ: нас не учили бороться с утечками (или "мы не проводили практические киберучения" или ""). Финальное "почему": Почему нас не учили бороться с утечками? Ответ: у нас нет денег (у нас нет понимания необходимости обучения).

Обратили внимание, что в зависимости от того, как вы выстроили цепочку из пяти "почему", у вас выявляются разные первопричины? Очень редко когда она одна. Это как корневая система у растения - есть основной, а есть дополнительные и придаточные корни.


Господин Тойода считал, что в ответе на пятое "почему" и кроется первопричина наших (или не наших) поступков и действий, которая на первый взгляд не прослеживается. Именно она отражает то, что мы скрывали сами от себя и что действительно является важным.

22 коммент.:

Сергей Борисов комментирует...

"нам не хочется напрягаться, чтобы разобраться в отечественном законодательстве и понять, кому и в каких ситуациях требуется сертификат ФСТЭК, а в каких можно обойтись иными формами оценки соответствия"
- многие не хотят заморачиваться с иными формами оценки соответствия, ведь тут нет стандартного пути (лучших практик). самому надо что то придумывать, договариваться исполнителю с заказчиком; потом остаются риски что регулятору это не понравится. Т.е. в этом пути больше рисков, а безопасники стараются избегать рисков.

Александр Германович комментирует...

Почему мы верим столь простеньким способам решения проблем? Потому что кто-то написал об этих "почему?" книжку. А почему он ее написал? Денег хотел заработать. А почему все эти умные книжки на практике нисколько не помогают решить проблемы? Потому что практика гораздо сложнее того, что написано в "умных" книжках.

Сергей Борисов комментирует...

Алексей, а если сертификация так вредна, то почему Cisco в США столько сил уделяет сертификации? Каждый месяц новый серт.
https://www.niap-ccevs.org/Product/PCL.cfm?par303=Cisco%20Systems%2C%20Inc

Алексей Лукацкий комментирует...

Сергей: а риск потратить деньги на ненужное безопасники не рассматривают?

Александр: это не способ решения проблем, это всего лишь способ докопаться до источника проблем.

Сергей: ты перепутал причину и следствие. У нас сертификат - это всего лишь вишенка на торте. А у многих российских вендоров - это и есть торт. А функциональность - та самая вишенка.

Target комментирует...

Давайте поговорим о формах подтверждения оценки соответствия СрЗИ, СЗИ или ИС в целом. Это актуально и действительно плохо регламентировано. ФСТЭК России в приказе № 239 подтвердил возможность применения форм оценки соответствия: "обязательная сертификация", "испытания", "приемка". Специально запросили в ФСТЭК письменное подтверждение о возможности использования этих же форм оценки соответствия для ПДн (не госов). Прислали подтверждение, что можно использовать все формы указанные в ФЗ № 184. Теперь возник вопрос. А как это реализовать? Предположили. "Испытания" - написать программу и методику испытаний, проверить работу функций (механизмов) защиты, которые реализуют установленные НПА меры защиты для нашего уровня защищенности ПДн. "Приемка" - если имеется тех. документация на СрЗИ, СЗИ, ИС, то можно проверить наличие в ТД ссылок на эти функции, проверить, что другие меры (если есть) реализованы с использованием сертифицированных СрЗИ или прошли "Испытания". В обоих случаях составили протокол. Алексей, Сергей, какое Ваше мнение о способах реализации форм оценки соответствия?

Target комментирует...

Для СКЗИ все, к сожалению, не так. Если ПДн, то используй сертифицированные СКЗИ установленного класса защиты. Никаких других форм. Или есть другое мнение?

Алексей Лукацкий комментирует...

Target: по оценке соответствия все так. ФСТЭК это подтверждает неофициально. Но так как они эти виды оценки не регулируют, то и официально отвечать не будут.

Для СКЗИ ровно та же концепция. Во-первых, конфиденциальность не обязательно обеспечивать с помощью СКЗИ. А во-вторых, ФСБ подчиняется ровно тому же законодательству, что и ФСТЭК. Но они проявили самодеятельность и в нарушение законодательства приняли 378-й приказ. Но так как его зарегистрировали, то формально он действует и признать его незаконность может только суд. А судиться с ФСБ никто не готов. Вот так и живем :-(

Target комментирует...

Алексей, у меня имеется официальный ответ из ФСТЭК. Вопрос в том, как реализовать подтверждение соответствия в форме "испытание" и "приемка"? Так как я написал ранее или есть другие примеры?
Про СКЗИ все понятно было. Когда в Совете Федерации в узком кругу под руководством сенатора Гаттарова обсуждали проект приказа № 378, то представитель регулятора прямо сказал (почти цитата) "несертифицированное средство защиты информации не является средством защиты информации". Доводы про уровни доверия, отсутствие на оконечных устройствах субъектов ПДн сертифицированных СКЗИ, невозможность выполнять такие требования при трансграничной передаче ПДн и т.п. не принимались.

Алексей Краснов комментирует...

Заметка о методе анализа первопричин (root cause analysis) превратилась в заметку о необходимости сертификации и форме оценки соответствия.

Алексей, предлагаю написать заметку об использовании в ИБ теории ограничений (и так называемых мыслительных процессов), описанных Элияху Голдраттом в его книгах "Цель" и "Цель-2".

Алексей Лукацкий комментирует...

Алексей: вот ты загнул :-)

Алексей Лукацкий комментирует...

Target: да, все так. Берется ПМИ, например, от сертификации, удаляется все ненужное, проводится оценка и выписывается акт. Все, как в ГОСТах по приемо-сдаточным испытаниям.

А у Гаттарова, кстати, при обсуждении 378-го приказа представители ФСБ прямо говорили, что никто не заставляет использовать сертифицированные СКЗИ и вообще шифрование, если есть правильная модель нарушителя :-)

Алексей Краснов комментирует...

Дополню, что для данного метода анализа рекомендуется использовать диаграмму Исикавы (диаграмма "рыбья кость")

Александр Германович комментирует...

"Берется ПМИ, например, от сертификации, удаляется все ненужное, проводится оценка и выписывается акт"

Берется где? Ни одна лаборатория своей ПМИ никому не даст. А написать ПМИ самостоятельно простой покупатель/эксплуатант СЗИ не сможет.

Алексей Лукацкий комментирует...

Это зависит от ряда условий (выдача ПМИ)

Target комментирует...

Алексей, больше интересует форма подтверждения соответствия - "приемка" (без испытаний!). Какое мнение? Как делать?

Про 378. Говорят, но сделать такую модель нарушителя невозможно. Есть канал связи ССОП - шифруй, если ты не оператор связи со своими узлами и каналами. (((

Алексей Лукацкий комментирует...

Для меня разница между испытаниями, приемкой и сертификация простая. Во всех случаях нужна ПМИ, но в одном случае испытания и приемка проводится самим заказчиком. Во втором - с помощью внешней компании, например, интегратора. В третьем - с помощью испытательной лаборатории и ФСТЭК.

По 378. Возможно. Вот куча вариантов - https://lukatsky.blogspot.com/2015/07/blog-post_29.html

Target комментирует...

Спасибо. Но все же не понятно, зачем и по каким основаниям необходим внешний представитель при приемке? И зачем необходима ПМИ? Существуют официальные документы, которые устанавливают порядок?

Алексей Лукацкий комментирует...

Есть ГОСТы по испытаниям и приемке АС. Ими и руководствуемся. Больше ничего другого нет

Александр Германович комментирует...

Target,
на мой взгляд, испытания и приемка по целям и по содержанию работы не отличаются. Отличие чисто юридическое.
Если я все купил-установил-настроил сам - провожу испытания.
Если это для меня сделал кто-то - принимаю результат, т.е. провожу приемку.

С СКЗИ "установил сам" не прокатит, т.к. на установку нужна лицензия ФСБ.

Алексей Лукацкий комментирует...

Лицензия на установку для собственных нужд? Это нонсенс. 99% компаний ее не имеет и не планирует

Александр Германович комментирует...

Не имеет, конечно, пока ФСБ молчит...
Почитайте 313 постановление, там все написано. Это, конечно, нонсенс, но имеющий юридическую силу. И КоАП пока тоже не отменили.

Алексей Лукацкий комментирует...

А она и будет молчать. Попытка массово наказывать по 13.13 КоАП или 171 УК приведет к худшим для ФСБ последствиям. Да и проверка "нарушителей" тоже маловероятна. Но в целом да, законодательство в данном вопросе, как часто бывает, убогое