15.06.2020

Алгоритм оценки необходимости выполнения НПА по ИБ

В последнее время, несмотря на коронавирус и самоизоляцию, наши регуляторы и законодатели не устают выпускать новые нормативные акты, а в различных чатиках, каналах и группах вновь стали подниматься вопросы выполнения нормативных актов, известных уже не первый, и даже не пятый, год (например, ФЗ-152). И часто эти вопросы звучат в контексте, а как выполнять то или иное требование (или весь НПА)? При этом почти никогда не звучит вопрос, а надо ли вообще выполнять это требование или НПА. Я прекрасно понимаю, что для классического, "законопослушного" безопасника это звучит крамольно, но с точки зрения бизнес далеко не вес нормативные акты надо бежать выполнять по мере их выхода. Я для себя сформировал некую процедуру, ответив на вопросы которой, можно понять, насколько стоит вообще задумываться о выполнении тех или иных приказов, постановлений, положений, указаний, информационных сообщений и т.п.

Итак, процедура состоит из ответов всего на 5 вопросов. Первый из них звучит просто - "есть ли данное требование в НПА?". Да-да, очень часто мы спорим о требованиях, которых просто нет в нормативных актах, а он являются скорее примером "испорченного телефона". Набивший оскомину, но при этом оставшийся классическим пример связан с сертификацией средств защиты информации. Такого требования, например, а ФЗ-152 (о персональных данных) или ФЗ-187 (о КИИ) нет, но многие почему-то просто жаждут применения таких средств из все больше и больше сокращающегося списка. Поэтому я рекомендую в таких случаях самостоятельно читать НПА. Или вот вопрос о мифических требованиях ФСБ к средствам ГосСОПКИ. Таких требований нет, но я упорно слышу от заказчиков, которые услышали это ряда отечественных вендоров, что требования якобы есть и их надо выполнять.  

Второй вопрос связан с легитимностью нормативного акта. Да, не каждый выпущенный нормативный акт является легитимным. И хотя число нелигитимных НПА в нашей области постоянно сокращается, все-таки стоит смотреть, насколько требования по принятию и регистрации НПА соблюдены. Третий вопрос касается надзирателей за требованиями. Важно не только иметь легитимные требования, но и орган, который имеет право надзирать за соблюдением этих требований. Например, требования по импортозамещению ПО и железа, включая средства защиты, у коммерческих компаний (с госами ситуация иная). Требования есть, но кто имеет право проверять их соблюдение? Минцифра? Увы, нет. Так стоит ли напрягаться по этому поводу и вкладываться в то, что никто не способен проконтролировать? Или требования по защите ПДн. Проверять их может ФСТЭК и ФСБ, но... только в государственных и муниципальных операторах ПДн. А для проверки коммерческих организаций им нужно отдельное распоряжение Президента страны и я что-то такого не помню за 9 лет существования такого требования.

Четвертый вопрос еще интереснее. Вот есть у вас требование и оно легитимное и даже проверяющие есть, и они даже прийти могут проверить. А наказать они нас могут, если мы что-то не выполняем? Например, по теме КИИ сейчас всего одна статья и она уголовная (ст.274.1). Да, регуляторы внесли законопроект об изменении КоАП и появлении там новых составов правонарушений, но пока их нет. А раз наказать нельзя, то стоит ли так стремиться выполнять требования? С точки зрения бизнеса, который считает свои затраты и не видит рисков, положительный ответ будет не столь очевидным. Понятно, что можно расширить этот вопрос и уточнить масштаб наказания. Например, за невыполнение требований ФЗ-152 размер штрафов незначительный, в отличие от штрафа за нарушение GDPR. 

Наконец, пятый вопрос будет звучать так - "Наказание есть, но его когда-нибудь применяли?" То есть важен не только сам факт наличия наказания за невыполнение требований, но и правоприменительная практика по этому направлению. А том может оказаться, что за нарушение требований никто и никогда не наказывал. Например, есть такое Постановление Правительства №584 о защите информации в платежных системах. Там и требования, и регуляторы, и право проводить надзор, а вот проверок ноль. 


Если следовать этому простому алгоритму, то число требований, который нам надо будет соблюдать с точки зрения кибербезопасности может существенно сократиться и нам не придется тратить много денег своей компании и сидеть и бояться мифических проверок. Повторюсь, что это взгляд с точки зрения бизнеса, который рассматривает любое ограничивающее его законодательство как налог, который надо оптимизировать. И ИБ должна не мешать это делать, запугивая начальство карами небесными, а способствовать разумной трате денег, которые в условиях коронавируса и так сокращаются.


Но нельзя не сказать и об обратной стороне медали. Описанный алгоритм корректен в ситуации, когда мы живем в стране, где верховенствует закон. Но у нас увы, как показывает опыт последних 2-3 месяцев, когда власти принимают нормы, ограничивающие права граждан в нарушение действующего законодательства, существует вероятность, что вас придут проверят независимо от того, есть у проверяющих права на это или нет и накажут вас даже при отсутствии соответствующих статей в КоАП. Как говорится "был бы человек, а статья найдется". И ситуация явно не становится лучше. Поэтому описанный выше алгоритм стоит вписывать в существующую в организации стратегию управления рисками и танцевать уже от нее. Кто-то вполне всерьез рассматривает риски наезда со стороны государства, кто-то нет...

12 коммент.:

Unknown комментирует...

Есть практика проверок прокуратурой по выполнению требований к ЗО КИИ, вы писывают представление об устранении обязательных требований ( сейчас по КИИ это перечень и категория), и давят пока не выполнят. Судя по тенденции - это устойчивый процесс, и он будет только набирать обороты. В отличии от штрафов за использование не сертифицированных сзи - там практика разовая, штрафы смешные (500 рублей)

Алексей Лукацкий комментирует...

Да, и это тоже укладывается в алгоритм :-)

Unknown комментирует...

"сертификацией средств защиты информации. Такого требования, например, а ФЗ-152 (о персональных данных) или ФЗ-187 (о КИИ) нет"

а 19.2.3 ? или речь о другом?

Алексей Лукацкий комментирует...

А там есть слово сертификация? Или все-таки оценка соответствия?

Unknown комментирует...

Ну, под оценкой соответствия понимают процесс определения соответствия чему-либо. Результатом этой оценки должен быть какой-либо документ. В нашем случае, при положительном истечении - сертификат, при отрицательном - отказ и поиск нового СЗИ. На мой взгляд, там всё логично написано.

Алексей Лукацкий комментирует...

Мы говорим не о логике, а о законодательстве. Термин "оценка соответствия" вполне конкретен и определен в ФЗ-184 о техническом регулировании, в котором четко сказано, в каких формах и в каких случаях проводится оценка соответствия. Ровно той же позиции придерживается и ФСТЭК, которая в своих официальных ответах четко пишет, что сертификация по ФЗ-152 не является обязательной.

Дмитрий комментирует...

"Или вот вопрос о мифических требованиях ФСБ к средствам ГосСОПКИ. Таких требований нет..."
Есть же довольно не мифический приказ ФСБ от 06.05.2019 N 196 "Об утверждении Требований к средствам, предназначенным для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты", где прописаны те самые требования.

Алексей Лукацкий комментирует...

Я ждал этого коммента :-) Но речь о другом. Должна быть процедура оценки соответствия этим требованиям, без которой эти требования не работают. А они и не работают, так 2/3 российских SOCов, заключивших соглашения с НКЦКИ, работают на ArcSight или QRadar, которые никак не соответствуют 196-му приказу.

Дмитрий комментирует...

Как посмотреть, если ArcSight или QRadar используется\рассматривается как единое\единоличное средство ГосСОПКИ, то да на 100% они не будут соответствовать 196-му приказу, если же мы добавим сюда IDS\IPS, анализаторы, сканеры угроз\уязвимостей, то тогда уже можно говорить о соответствии требованиям.

Из этого вывод (именно для этого случая), есть четкие требования (по большей части) к средствам ГосСОПКИ и есть регулятор, который согласовывает или нет подключение.

Но это я так зацепился, именно, к тому что таких требований нет:)

Алексей Лукацкий комментирует...

У вас не же не средствО, а средствА, то есть они разные. Есть SIEM, есть сканеры, есть СОА и т.п. И они все должны быть российскими, что не выполняется применительно к ArсSight или QRadar

Дмитрий комментирует...

Я и сделал уклон в предыдущем комментарии, что не средствО, а средствА надо применять.

Опять же я говорю про требования (требования эти есть, они четко прописаны в 196-м приказе ФСБ), а вы про то что средства должны быть российскими (в тексте 196 приказа я такого не увидел, скорее всего вы имеете ввиду "импортозамещение", но это уже чуть другой вопрос, который не относится к НАЛИЧИЮ требований к средствам ГосСОПКИ).

ArсSight или QRadar частично закрывают требования в рамках 196-ого приказа, но не все конечно (поэтому и нужны дополнительно СОА\СОВ, сканеры и т.п.).

Алексей Лукацкий комментирует...

Это не требования, а хрень полная. Вот требования ФСБ к СОА - это требования. И требования ФСТЭК к МСЭ - это тоже требования. А 196-й приказ - это "нате, отвалите. вот вам хоть что-то, что можно назвать требованиями". И речь идет не про импортозамещение, а про требования 3.3 и 3.4