27.02.2020

Дифференциация требований по ИБ на примере новой системы сертификации МинОбороны

Наблюдая за тем, что делает ФСТЭК (ФСБ тоже), а точнее как, замечаешь одну вещь. Регулятор воспринимает только два цвета - белое или черное. Вспоминается дискуссия во время принятия последней редакции Постановления Правительства о лицензировании отдельных видов деятельности и перечня требования к лицензиатам на мониторинг ИБ. Кто помнит, там есть такие пункты, которые обязывают владельца коммерческого SOC иметь ряд сертифицированных средств защиты, например, SIEM, а также аттестовать SOC по требованиям ГИС1. Первое требование обходится всеми российскими SOCами, которые для лицензии покупают один SIEM, а в работе использует другой :-) И проверять это регулятор не хочет, хотя нередко упоминает, что они используют стратегию "тайного покупателя". Второе же требование по сути не только запрещает виртуальные и мобильные SOCи, но и закрывает доступ на российский рынок вход SOCам иностранным.

Когда обсуждался пункт про аттестацию на ГИС1 доводы ФСТЭК звучали следующим образом: вдруг к SOCу придет госорган, который захочет купить услугу мониторинга ИБ для своих ГИС 1-го класса? SOC должен иметь тот же уровень аттестации. А на закономерный вопрос, что SOCов, к которым могут прийти госорганы, у нас в стране можно пересчитать по пальцам одной руки, и поэтому устанавливать в качестве обязательного требования аттестацию ГИС1 не совсем разумно - это отсечет многие региональные SOCи, которые будут ориентироваться на малый бизнес, который крупным федеральным SOCам пока мало интересен. Но увы, деля все на черное и белое, на все или ничего, регулятор не захотел пересматривать свои взгляды. И так во всем - сертифицированное или несертифицированное, отечественное или зарубежное, под контролем или не под контролем, аттестованная или неаттестованная, лицензиат или нелицензиат...

А возможна ли ситуация с 50 оттенками серого между черным и белым? Да, вполне. Например, так поступило МинОбороны США, которое выпустило на днях систему сертификации компаний с точки зрения кибербезопасности (Cybersecurity Maturity Model Certification), которую должны соблюдать все компании, которые работают с американским военным ведомством, а их число насчитывает около 300 тысяч.

Я не буду подробно рассказывать о самой системе (желающие могут почитать про это сами), а коснусь только ключевых тезисов, показывающих ключевую идею новой системы:

  • Система разработана не для всех организаций, а только для тех, кто работает с МинОбороны США. Как не хватает нам в России такой же дифференциации. Вот есть требования, они жесткие, но они только для тех, кто имеет доступ к ВПК/ОПК. А вот есть требования для тех, кто работает с госорганами. Они различаются по уровню защищаемой информации. А для тех, кто работает с гражданским сектором требования устанавливаются на основе лучших практик или гражданского законодательства. Но нет... у нас всех под одну гребенку :-(
  • Система охватывает не только прямых поставщиков, но и всю цепочку поставщиков. Причем речь идет не о требованиях к продуктам или компонентам, а о требованиях именно к самим компаниям, производящим или поставляющим что-то в интересах военного ведомства. Это связано с тем, что по мнению разработчиков системы, злоумышленники часто действуют не напрямую на военные организации или их прямых подрядчиков, а через поставщиков вплоть до 6-8 уровней.
  • Новая система базируется на уже известных требованиях NIST SP800-53, ISO 27001, ISO 27032, NIST SP800-171.
  • Малый бизнес, работающий в интересах МинОбороны, очень важен для него, но не всегда в состоянии выполнить те же самые требования, что и крупные игроки типа Lockheed Martin или Raytheon. Поэтому требования системы CMMC являются дифференцированными.
  • На сертификацию выделяется 3 года. Невыполнение требований приведет не к штрафу, а к отказу от заключения контрактов. Такое "наказание" выглядит вполне действенным, так как серьезно бьет по карману собственников, не давая им зарабатывать; в отличие от штрафов, которые обычно фиксированные и их легко платить.
  • Сертификацию проводят независимые аккредитованные организации, правила выбора и аккредитации которых еще предстоит разработать.
  • Все требования по безопасности разбиваются на 5 уровней - от базовой кибергигены до продвинутого. Правила соотнесения определенного военного контракта и нужного уровня соответствия пока неясны - они находятся в разработке.
  • Взлом компании не означает потерю контракта или потерю сертификата, но может потребовать повторной сертификации


Система CMMC, которую сейчас внедряет американское МинОбороны, находится только в самом начале своего пути и пока еще не отвечает на все вопросы (например, должны ли ей соответствовать поставщики обычного коммерческого софта, продаваемого на открытом рынке; а поставщики в рамках микрозакупок типа канцелярки или поставщики бухгалтерских услуг?). Но сама идея оценки состояния ИБ поставщиков, а также дифференциация требований по ИБ в зависимости от типа контракта и уровня защищаемой информации, является достаточно здравой и позволяющей учесть различные типы компаний, которые работают с министерством, а не грести всех под одну гребенку.

1 коммент.:

Unknown комментирует...

Do you realize there is a 12 word sentence you can say to your crush... that will induce deep emotions of love and instinctual attraction for you buried inside his heart?

That's because hidden in these 12 words is a "secret signal" that fuels a man's instinct to love, adore and look after you with all his heart...

12 Words Who Trigger A Man's Love Instinct

This instinct is so built-in to a man's genetics that it will make him work harder than ever before to make your relationship the best part of both of your lives.

In fact, fueling this mighty instinct is absolutely mandatory to having the best possible relationship with your man that the second you send your man a "Secret Signal"...

...You will instantly find him expose his heart and mind for you in a way he's never experienced before and he will recognize you as the one and only woman in the galaxy who has ever truly interested him.