Итак, процедура состоит из ответов всего на 5 вопросов. Первый из них звучит просто - "есть ли данное требование в НПА?". Да-да, очень часто мы спорим о требованиях, которых просто нет в нормативных актах, а он являются скорее примером "испорченного телефона". Набивший оскомину, но при этом оставшийся классическим пример связан с сертификацией средств защиты информации. Такого требования, например, а ФЗ-152 (о персональных данных) или ФЗ-187 (о КИИ) нет, но многие почему-то просто жаждут применения таких средств из все больше и больше сокращающегося списка. Поэтому я рекомендую в таких случаях самостоятельно читать НПА. Или вот вопрос о мифических требованиях ФСБ к средствам ГосСОПКИ. Таких требований нет, но я упорно слышу от заказчиков, которые услышали это ряда отечественных вендоров, что требования якобы есть и их надо выполнять.
Второй вопрос связан с легитимностью нормативного акта. Да, не каждый выпущенный нормативный акт является легитимным. И хотя число нелигитимных НПА в нашей области постоянно сокращается, все-таки стоит смотреть, насколько требования по принятию и регистрации НПА соблюдены. Третий вопрос касается надзирателей за требованиями. Важно не только иметь легитимные требования, но и орган, который имеет право надзирать за соблюдением этих требований. Например, требования по импортозамещению ПО и железа, включая средства защиты, у коммерческих компаний (с госами ситуация иная). Требования есть, но кто имеет право проверять их соблюдение? Минцифра? Увы, нет. Так стоит ли напрягаться по этому поводу и вкладываться в то, что никто не способен проконтролировать? Или требования по защите ПДн. Проверять их может ФСТЭК и ФСБ, но... только в государственных и муниципальных операторах ПДн. А для проверки коммерческих организаций им нужно отдельное распоряжение Президента страны и я что-то такого не помню за 9 лет существования такого требования.
Четвертый вопрос еще интереснее. Вот есть у вас требование и оно легитимное и даже проверяющие есть, и они даже прийти могут проверить. А наказать они нас могут, если мы что-то не выполняем? Например, по теме КИИ сейчас всего одна статья и она уголовная (ст.274.1). Да, регуляторы внесли законопроект об изменении КоАП и появлении там новых составов правонарушений, но пока их нет. А раз наказать нельзя, то стоит ли так стремиться выполнять требования? С точки зрения бизнеса, который считает свои затраты и не видит рисков, положительный ответ будет не столь очевидным. Понятно, что можно расширить этот вопрос и уточнить масштаб наказания. Например, за невыполнение требований ФЗ-152 размер штрафов незначительный, в отличие от штрафа за нарушение GDPR.
Наконец, пятый вопрос будет звучать так - "Наказание есть, но его когда-нибудь применяли?" То есть важен не только сам факт наличия наказания за невыполнение требований, но и правоприменительная практика по этому направлению. А том может оказаться, что за нарушение требований никто и никогда не наказывал. Например, есть такое Постановление Правительства №584 о защите информации в платежных системах. Там и требования, и регуляторы, и право проводить надзор, а вот проверок ноль.
Если следовать этому простому алгоритму, то число требований, который нам надо будет соблюдать с точки зрения кибербезопасности может существенно сократиться и нам не придется тратить много денег своей компании и сидеть и бояться мифических проверок. Повторюсь, что это взгляд с точки зрения бизнеса, который рассматривает любое ограничивающее его законодательство как налог, который надо оптимизировать. И ИБ должна не мешать это делать, запугивая начальство карами небесными, а способствовать разумной трате денег, которые в условиях коронавируса и так сокращаются.
Но нельзя не сказать и об обратной стороне медали. Описанный алгоритм корректен в ситуации, когда мы живем в стране, где верховенствует закон. Но у нас увы, как показывает опыт последних 2-3 месяцев, когда власти принимают нормы, ограничивающие права граждан в нарушение действующего законодательства, существует вероятность, что вас придут проверят независимо от того, есть у проверяющих права на это или нет и накажут вас даже при отсутствии соответствующих статей в КоАП. Как говорится "был бы человек, а статья найдется". И ситуация явно не становится лучше. Поэтому описанный выше алгоритм стоит вписывать в существующую в организации стратегию управления рисками и танцевать уже от нее. Кто-то вполне всерьез рассматривает риски наезда со стороны государства, кто-то нет...
15 коммент.:
Есть практика проверок прокуратурой по выполнению требований к ЗО КИИ, вы писывают представление об устранении обязательных требований ( сейчас по КИИ это перечень и категория), и давят пока не выполнят. Судя по тенденции - это устойчивый процесс, и он будет только набирать обороты. В отличии от штрафов за использование не сертифицированных сзи - там практика разовая, штрафы смешные (500 рублей)
Да, и это тоже укладывается в алгоритм :-)
"сертификацией средств защиты информации. Такого требования, например, а ФЗ-152 (о персональных данных) или ФЗ-187 (о КИИ) нет"
а 19.2.3 ? или речь о другом?
А там есть слово сертификация? Или все-таки оценка соответствия?
Ну, под оценкой соответствия понимают процесс определения соответствия чему-либо. Результатом этой оценки должен быть какой-либо документ. В нашем случае, при положительном истечении - сертификат, при отрицательном - отказ и поиск нового СЗИ. На мой взгляд, там всё логично написано.
Мы говорим не о логике, а о законодательстве. Термин "оценка соответствия" вполне конкретен и определен в ФЗ-184 о техническом регулировании, в котором четко сказано, в каких формах и в каких случаях проводится оценка соответствия. Ровно той же позиции придерживается и ФСТЭК, которая в своих официальных ответах четко пишет, что сертификация по ФЗ-152 не является обязательной.
"Или вот вопрос о мифических требованиях ФСБ к средствам ГосСОПКИ. Таких требований нет..."
Есть же довольно не мифический приказ ФСБ от 06.05.2019 N 196 "Об утверждении Требований к средствам, предназначенным для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты", где прописаны те самые требования.
Я ждал этого коммента :-) Но речь о другом. Должна быть процедура оценки соответствия этим требованиям, без которой эти требования не работают. А они и не работают, так 2/3 российских SOCов, заключивших соглашения с НКЦКИ, работают на ArcSight или QRadar, которые никак не соответствуют 196-му приказу.
Как посмотреть, если ArcSight или QRadar используется\рассматривается как единое\единоличное средство ГосСОПКИ, то да на 100% они не будут соответствовать 196-му приказу, если же мы добавим сюда IDS\IPS, анализаторы, сканеры угроз\уязвимостей, то тогда уже можно говорить о соответствии требованиям.
Из этого вывод (именно для этого случая), есть четкие требования (по большей части) к средствам ГосСОПКИ и есть регулятор, который согласовывает или нет подключение.
Но это я так зацепился, именно, к тому что таких требований нет:)
У вас не же не средствО, а средствА, то есть они разные. Есть SIEM, есть сканеры, есть СОА и т.п. И они все должны быть российскими, что не выполняется применительно к ArсSight или QRadar
Я и сделал уклон в предыдущем комментарии, что не средствО, а средствА надо применять.
Опять же я говорю про требования (требования эти есть, они четко прописаны в 196-м приказе ФСБ), а вы про то что средства должны быть российскими (в тексте 196 приказа я такого не увидел, скорее всего вы имеете ввиду "импортозамещение", но это уже чуть другой вопрос, который не относится к НАЛИЧИЮ требований к средствам ГосСОПКИ).
ArсSight или QRadar частично закрывают требования в рамках 196-ого приказа, но не все конечно (поэтому и нужны дополнительно СОА\СОВ, сканеры и т.п.).
Это не требования, а хрень полная. Вот требования ФСБ к СОА - это требования. И требования ФСТЭК к МСЭ - это тоже требования. А 196-й приказ - это "нате, отвалите. вот вам хоть что-то, что можно назвать требованиями". И речь идет не про импортозамещение, а про требования 3.3 и 3.4
Отправить комментарий